Verifiointi

Mitä verifiointi on?


Varmenteen ostamisen jälkeen käynnistyy verifiointiprosessi, joka tehdään meillä Wesentralla Suomesta. Verifiointispesialistimme tekevät varmennetta varten tarvittavat tarkastukset julkisista tietolähteistä ja soittavat varmistukseen tarvittavat puhelut työaikaan ja suomenkielellä.

Kun varmenne on ostettu ja asiakastiedot kirjattu, lähettää Entrust Datacard asiakkaalle sähköpostia. Kun kyseessä on esimerkiksi uusi asiakas ja uusi domain, saa Authorizing Contactiksi kirjattu henkilö sähköpostia, jossa on linkki hyväksyttäviin Subscription Agreement ja Consent Form -lomakkeisiin.

Me Wesentralla jatkamme tästä eteenpäin ja suoritamme verifiointia varten tarvittavat tietojen tarkastukset. Tiedot tarkastetaan virallisista, hyväksytyistä tietolähteistä, esimerkiksi yrityksen omilta kotisivuilta löytyvät tiedot eivät ole riittäviä.

OV verifioinnissa vaiheet ovat seuraavat:

Business check – yrityksen tietojen todentaminen. Etsimme yrityksen tai organisaation virallisen, laillisen nimen, rekisteröintitunnuksen (Y-tunnus), tilan (onko yritys aktiivinen, lopetettu/ei toiminnassa), osoitetiedot yms. Tällä varmistetaan se, että laillinen ja olemassaoleva organisaatio on hakemuksen takana. Nämä tiedot tyypillisesti löytyvät Suomessa Yritys- ja yhteisötietojärjestelmästä (YTJ). Yrityksen nimen tulee virallinen, rekisteröity toiminimi.

Domain check – tarkastamme kyseisen domainin omistussuhteen sekä rekisteröintitiedot. Näiden omistajuuden on oltava todennettavissa jollain kolmesta vaihtoehdosta: Email, Web Server tai DNS.

Email

Domainin hyväksymiseksi lähetetään sähköposti domainin WHOIS-tiedoista löytyvään osoitteeseen tai tiettyyn geneeriseen sähköpostiosoitteeseen. Vastaanottajan on hyväksyttävä domainin käyttö vastaamalla sähköpostiin tai avaamalla viestissä oleva hyväksymislinkki.

Web Server

Domainin hyväksymiseksi toimitetaan pieni tiedosto ja ohjeet sen sijoittamiseksi web serverille kyseisen domainin osoitteen alle. Kun tiedosto havaitaan ja sisältö on oikea, niin domain hyväksytään.

DNS

Domainin hyväksymiseksi toimitetaan teksti-/numerosarja lisättäväksi domainin DNS:n TXT-tietueelle. Kun oikea teksti-/numerosarja löytyy, domain hyväksytään.

 

Authorizing Contact check - tarkastamme, että henkilö, joka on nimetty Authorization Contactiksi, on yrityksen/organisaation palveluksessa. Soitamme tälle henkilölle käyttäen kolmannen osapuolen numeroa ja varmistamme puhelimitse, että hän on hyväksynyt online subscription agreement ja consent form -lomakkeet sekä vahvistaa, että tekniset yhteyshenkilöt voivat toimia rooleissaan.

Tämä tarkastus voidaan tehdä myös sähköpostitse, jos Authorization Contact -henkilön sähköpostiosoitteen domain-osa on sama kuin esim. YTJ:n tiedoissa olevat www-sivun osoite.

EV verifioinnin vaiheet ovat seuraavat:

EV-varmenteen osalta verifiointi on laajempi kokonaisuus. Siinä tehdään OV-varmenteen verifiointivaiheiden lisäksi Higher Authority employment check, eli tarkastetaan, että Higher Authorityksi ilmoitettu henkilö on ko. organisaation palveluksessa ja hänellä on oikeus valtuuttaa EV-hakemuksessa ilmoitetut henkilöt hoitamaan heille määriteltyä tehtävää varmenteiden hallinnassa. Tämä tieto haetaan käyttäen virallisia yritysrekistereitä tai soittamalla kolmannen osapuolen kautta löydettyyn keskuksen numeroon tai henkilöstöhallintoon, josta suullisesti varmistetaan em. henkilön asema organisaatiossa. Wesentra käyttää kolmannen osapuolen rekisterin mukaista puhelinnumeroa (YTJ, Hoovers, D&B) ja soittaa Higher Authority -roolissa olevalle henkilölle ja varmistaa puhelimitse, että Contract Signer/ Authorization Contact rooleihin nimetyt henkilöt ovat oikeutettuja toimimaan kyseisissä rooleissa sekä heidän yhteystietojensa oikeellisuuden.

Tämän lisäksi tehdään Contract Signer/ Authorization Contact employment check, missä varmistetaan, että Higher Authorityn valtuuttama henkilö (Contract Signer/ Authorization Contact), on vastaanottanut ja hyväksynyt hänelle lähetetyn hyväksymislomakkeen (Subscription Agreement ja Online Consent Form). Samalla varmistetaan, että hän valtuuttaa hakemuksessa määritellyn henkilön hallinnoimaan/hakemaan varmenteita organisaation puolesta (Certificate Requester) ja toimimaan hänelle määritellyssä roolissa varmenteiden hallinnassa.

Kun verifiointi on tehty meillä Wesentralla, toimitamme tarvittavat dokumentit Entrustille, missä tiedot auditoidaan ja verifiointi hyväksytään. Tämän jälkeen varmenteita päästään tekemään. *)

*) Tämä esimerkki kuvaa Wesentran suorittamaa Entrust-varmenteen verifiointia. Telialla on vastaava prosessi. DV-tasoisen AffirmTrust -varmenteen verifiointi on automaattinen ja perustuu sähköpostin käyttöön.