Il Certificatore è tenuto a garantire che
- siano soddisfatte le regole tecniche specificate nel DPCM [2];
- il Sistema Qualità sia conforme alle norme ISO9001;
- la richiesta di certificazione sia autentica;
- la chiave pubblica di cui si richiede la certificazione non sia già stata certificata, per un altro soggetto titolare, nell'ambito del proprio dominio. Per la verifica nel dominio degli altri certificatori, il Certificatore si impegna a stabilire accordi con gli altri certificatori presenti nell'Albo AIPA, in base alle attuali conoscenze tecnologiche, per l'attivazione di tali controlli;
- il certificato sia rilasciabile e accessibile per via telematica;
- i richiedenti siano informati in modo compiuto e chiaro sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi;
- il proprio sistema di sicurezza dei dati sia rispondente alle misure minime di sicurezza per il trattamento dei dati personali, secondo il DPR 318/99 [7];
- il certificato sia revocato tempestivamente in caso di richiesta da parte del titolare o del terzo da cui ne derivino i poteri, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti di abusi o falsificazioni;
- sia certa l'associazione tra chiave pubblica ed utente titolare;
- il codice identificativo assegnato a ciascun titolare sia univoco nell'ambito dei propri utenti;
- non si rende depositario di chiavi private;
- le proprie chiavi private siano accuratamente protette mediante dispositivi hardware e software adeguati a garantire i necessari criteri di sicurezza;
- siano conservate per almeno 10 anni le informazioni ottenute in fase di registrazione, di richiesta di certificazione, di revoca e di rinnovo;
- siano custodite per 10 anni in forma accessibile i certificati delle proprie chiavi pubbliche di certificazione.