Swisscom Trust Services ist ein reiner Plattformdienst, der die gesetzlich vorgeschriebenen Signaturdienste als Fernsignatur für viele europäische Kunden in einer hoch standardisierten und regulierten Weise unter Verwendung von Standard-Workflows für die Verarbeitung bereitstellt. Der entsprechende Standardvertrag ist den Aufsichtsbehörden vorgelegt und entsprechend geprüft worden. Swisscom Trust Services erbringt daher keine projektspezifischen Dienstleistungen im Rahmen der Signatur bzw. Registrierung oder Aufwendungen für Vertragsabläufe, die vom Standardvertragsworkflow abweichen, mit Ausnahme von separat beauftragten Beratungsleistungen im Vorfeld.
Wir können daher allen Kunden und Partnern die gleichen günstigen Preise gemäss der Service- und Preisliste anbieten. Wir bitten um Ihr Verständnis.
Dies gilt auch in dieser Hinsicht und insbesondere (aber nicht ausschliesslich):
- Abschluss aller zusätzlichen Vereinbarungen und Verträge, z. B. Code of Conducts, Vereinbarungen zur Aufnahme in das Lieferantenverzeichnis, Beschaffungsrichtlinien, Antikorruptionsrichtlinien, projekt- oder kundenspezifische AGB, Datenschutzerklärungen, Datenschutzverarbeitungen usw., da auch diese die standardisierten, geregelten Verträge unterlaufen könnten.
- Vertragsänderungen, insbesondere geltendes Recht, weichen von den Wünschen der Versicherung ab.
- Abweichungen von den Vertragsprozessen, z. B. die Nutzung zusätzlicher Plattformen für die Lieferantenregistrierung/Vertragsunterzeichnung.
- Besondere Vereinbarungen über die Einsichtnahme in die Architektur oder die Offenlegung von Implementierungsdetails (z. B. Backup-Verfahren, Programmierung und Sicherheitsdetails wie Zugriffsschutz, Zugänge, kryptografische Techniken, Disaster Recovery usw.). Swisscom veröffentlicht alle Informationen über die Praxis der Leistungserbringung in ihrem CP/CPS (https://trustservices.swisscom.com/repository/) und dem Basisdokument für das CP/CPS. Aus Sicherheitsgründen werden keine weiteren Details an Kunden weitergegeben, sodass kein Wissen aufgebaut werden kann, um gegebenenfalls gezielte Angriffe zu entwerfen.
- Verbindungsanfragen zur internen Überwachung, Swisscom veröffentlicht Störungen ihres Dienstes über Service Status, der auch im Rahmen des RSS-Protokolls abonniert werden kann. Aus Sicherheitsgründen können Sie zu Überwachungszwecken keine weiteren Eingriffe in das System vornehmen.
Die Zertifizierungs- und Vertrauensdienste müssen ihre Praktiken und Verfahren zur Erbringung eines Dienstes in einem sogenannten "CP/CPS"-Dokument (Certificate Policy/Certificate Practice Statement) beschreiben. Die Dienste werden zu Beginn der Tätigkeit und in regelmäßigen Abständen von staatlich anerkannten Prüfern auditiert. Die staatliche Anerkennungsstelle (Schweiz) oder die Aufsichtsbehörde (EU) entscheidet auf der Grundlage der Audits über die Zulassung, den Weiterbetrieb oder die Erweiterung der Zertifizierungs- und Vertrauensdienste. Auf diese Weise wird für alle Unterzeichner ein hoher Qualitätsstandard auf dem Markt sichergestellt. Zusätzlich zu den allgemeinen gesetzlichen Anforderungen müssen zahlreiche ETSI- und CEN-Normen der europäischen Normungsgremien eingehalten werden.
Der Staat veröffentlicht die Einhaltung der Normen und Auditstandards und damit auch die Zulassung als anerkannter Zertifizierungs- oder Vertrauensdienst auf seinen Webseiten: