UREDBA O USLOVIMA ZA PRUŽANJE KVALIFIKOVANIH USLUGA OD POVERENJA("Sl. glasnik RS", br. 37/2018) |
Ovom uredbom uređuju se uslovi za pružanje kvalifikovanih usluga od poverenja.
Svi pojmovi koji se koriste u ovoj uredbi u muškom rodu, obuhvataju iste pojmove u ženskom rodu.
Obavljanje kvalifikovanih usluga od poverenja u skladu sa propisima standardima i preporukama
Pružalac kvalifikovane usluge od poverenja (u daljem tekstu: pružalac usluge) obavlja kvalifikovane usluge od poverenja saglasno zahtevima standarda ETSI EN 319 401 "Electronic Signatures and Infrastructures (ETSI); General Policy Requirements For Trust Service Providers" (u daljem tekstu: EN 319 401) uključujući zahteve iz drugih standarda na koje se iz tog standarda direktno i indirektno upućuje, kao i saglasno drugim standardima, dokumentima i preporukama koje se odnose na pružanje kvalifikovanih usluga od poverenja, utvrđenim ovom uredbom i drugim propisima donetim na osnovu Zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju (u daljem tekstu: Zakon).
Ugovor o pružanju kvalifikovanih usluga od poverenja
O pružanju kvalifikovane usluge od poverenja zaključuje se ugovor između pružaoca i korisnika usluge, na zahtev korisnika.
U okviru akata iz člana 31. stav 2. Zakona pružalac usluge, između ostalog, precizira:
1) opšte uslove pružanja usluga;
2) politike pružanja usluga;
3) praktična pravila za pružanje usluge i
4) politike informacione bezbednosti.
Opšti uslovi za pružanje usluga
U skladu sa članom 31. stav 2. tačka 1) Zakona, saglasno zahtevima standarda EN 319 401 koji se odnose na dokument iz odeljka "6.2 Terms and Conditions", pružalac usluge donosi Opšte uslove za pružanje usluga (u daljem tekstu: Opšti uslovi) koji su dostupni svim korisnicima usluga i pouzdajućim stranama.
Opšti uslovi, između ostalog, određuju politike pružanja usluga koje se primenjuju i za svaku politiku preciziraju sledeće:
1) obaveze korisnika usluga;
2) informacije za pouzdajuće strane;
3) ograničenja u korišćenju usluge;
4) ograničenja odgovornosti, uključujući ograničenje odgovornosti za štetu nastalu pri korišćenju usluge van okvira istaknutih ograničenja;
5) vremenski period čuvanja zapisa u dnevniku događaja koji su povezani sa pružanjem usluge;
6) pravni okvir koji se primenjuje na pružanje usluge;
7) način rešavanja prigovora i sporova;
8) na koji način je ocenjeno da se pružanje usluge vrši saglasno politici pružanja usluge;
9) podaci za kontakt pružaoca usluge;
10) garantovani nivo dostupnosti usluge;
11) uslovi tehničke podrške korisniku usluga.
Korisnici usluga treba da budu precizno informisani o Opštim uslovima pre nego što zaključe ugovor o pružanju usluga.
Pouzdajuće strane treba da budu informisane o Opštim uslovima na način koji je pogodan i primenjiv za datu uslugu.
Pružalac usluge obezbeđuje javnu dostupnost Opštih uslova na svom veb sajtu, na način koji obezbeđuje njihovu jednostavnu i stalnu dostupnost.
Politika pružanja usluge i praktična pravila za pružanje usluga
Politikom pružanja usluga se preciziraju pravila pružanja kvalifikovane usluge od poverenja.
U okviru jedne kvalifikovane usluge od poverenja iz člana 41. stav 2. Zakona pružalac usluge može imati jednu ili više politika pružanja usluge koje su prilagođene pojedinim ciljnim grupama korisnika usluga odnosno prilagođene određenim zahtevima vezanim za bezbednost.
Praktična pravila definišu operativne procedure i druge uslove u cilju ispunjenja zahteva određenih politikom pružanja usluge, a saglasno zahtevima standarda EN 319 401 iz odeljka "6.1 Trust Service Practice statement".
Praktična pravila za pružanje kvalifikovanih usluga od poverenja treba da budu javno dostupna u okviru akata koji su jasno istaknuti na veb sajtu pružaoca usluge.
Forma i sadržaj politika i praktičnih pravila pružanja usluga mogu biti dodatno uređeni odredbama ovog i drugih propisa kojima se uređuje pružanje pojedinih usluga od poverenja.
Na pružaoca usluge se shodno primenjuju odredbe o merama zaštite iz Uredbe o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja ("Službeni glasnik RS", broj 94/16) koje se odnose na operatora IKT sistema od posebnog značaja.
Aktom koji utvrđuje politiku informacione bezbednosti pružalac usluge treba da ispuni zahteve standarda EN 319-401 koji se odnose na informacionu bezbednost, kao i da predvidi primenu mera iz stava 1. ovog člana.
U skladu sa članom 31. stav 1. tačka 1) Zakona, i saglasno zahtevima standarda EN 319 401 koji se odnose na ljudske resurse, pružalac usluge obezbeđuje neophodne ljudske resurse, i sa njima povezane preduslove.
Osiguranje od odgovornosti za štetu nastalu vršenjem kvalifikovane usluge od poverenja
U skladu sa članom 31. stav 1. tačka 2) Zakona, i saglasno zahtevima standarda EN 319 401 koji se odnose na osiguranje od odgovornosti, pružalac usluge obezbeđuje finansijske resurse za osiguranje od odgovornosti za štetu nastalu vršenjem kvalifikovanih usluga od poverenja.
Način osiguranja, kao i odgovarajući iznos sredstava, moraju biti jasno navedeni u Opštim uslovima odnosno politici pružanja usluge i usklađeni sa propisanim najnižim iznosom osiguranja iz podzakonskog akta donetog na osnovu člana 32. Zakona.
Korišćenje sigurnih uređaja i proizvoda
Pružalac usluge je dužan da koristi sigurne uređaje i proizvode koji su zaštićeni od neovlašćene promene tako da garantuju tehničku bezbednost i pouzdanost procesa koje podržavaju, koristi sigurne sisteme za čuvanje podataka koji su mu povereni i provodi mere protiv falsifikovanja i krađe podataka sve saglasno zahtevima iz odeljka 7 standarda EN 319 401, kao i zahtevima standarda čija primena je propisana za pojedine tipove usluga od poverenja.
Pružalac usluge pre početka obavljanja kvalifikovanih usluga od poverenja, kao i periodično, tokom operativnog rada, vrši analizu rizika kojom identifikuje kritične servise koji zahtevaju korišćenje sigurnih uređaja i proizvoda i visoke nivoe sigurnosti.
Čuvanje relevantnih informacija
Informacije iz člana 31. stav 1. tačka 6) Zakona, uključuju podatke o registraciji korisnika i informacije o značajnim događajima vezanim za operativni rad pružaoca usluge, kao i za upravljanje ključevima i sertifikatima, pružalac usluge čuva saglasno zahtevima iz odeljka 7.10 standarda EN 319 401.
Plan završetka rada pružaoca usluge
Plan završetka pružaoca usluge iz člana 31. stav 1. tačka 8) Zakona, pružalac usluge donosi i ažurira saglasno zahtevima iz odeljka 7.12 standarda EN 319 401, a imajući u vidu neophodnost ispunjenja uslova iz člana 36. Zakona u slučaju izdavanja kvalifikovanih elektronskih sertifikata.
II IZDAVANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Kvalifikovani elektronski sertifikat
Odredbe ove uredbe koje se odnose na izdavanje kvalifikovanih elektronskih sertifikata primenjuju se na izdavanje kvalifikovanih sertifikata za elektronski potpis, izdavanje kvalifikovanih sertifikata za elektronski pečat i izdavanje kvalifikovanih sertifikata za autentikaciju veb sajtova.
Primena standarda ETSI EN 319 411-2
Usluga izdavanja kvalifikovanih elektronskih sertifikata obavlja se saglasno zahtevima standarda ETSI EN 319 411-2 "Electronic Signatures and Infrastructures (ETSI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates" (u daljem tekstu: EN 319 411-2), uključujući zahteve iz drugih standarda na koje se iz tog standarda direktno i indirektno upućuje, odgovarajućim međunarodnim standardima i preporukama, odnosno drugim standardima, dokumentima i preporukama koje se odnose na pružanje usluge izdavanja kvalifikovanih elektronskih sertifikata, utvrđenim ovom uredbom.
Primena indikatora politika u standardu EN 319 411-2
Prilikom primene standarda EN 319 411-2 kod izdavanja kvalifikovanih elektronskih sertifikata namenjenih za kvalifikovan elektronski potpis uzima se u obzir indikator politike izdavanja sertifikata "[QCP-n-qscd]".
Prilikom primene standarda EN 319 411-2 kod izdavanja kvalifikovanih elektronskih sertifikata namenjenih za kvalifikovan elektronski pečat uzima se u obzir indikator politike izdavanja sertifikata "[QCP-l-qscd]".
Prilikom primene standarda EN 319 411-2 kod izdavanja kvalifikovanih elektronskih sertifikata namenjenih za autentikaciju veb sajtova uzima se u obzir indikator politike izdavanja sertifikata "[QCP-l-w]".
Politika izdavanja sertifikata i praktična pravila za izdavanje sertifikata
Politika pružanja usluge izdavanja kvalifikovanih elektronskih sertifikata (u daljem tekstu: politika izdavanja sertifikata) definiše zahteve koje treba da ispunjava usluga izdavanja kvalifikovanih elektronskih sertifikata, dok praktična pravila za pružanje usluge izdavanja kvalifikovanih elektronskih sertifikata (u daljem tekstu: praktična pravila za izdavanje sertifikata) definišu operativne procedure u cilju ispunjenja tih zahteva, tj. način na koji izdavalac kvalifikovanih elektronskih sertifikata (u daljem tekstu: izdavalac sertifikata) ispunjava tehničke, organizacione i proceduralne zahteve poslovanja koji su određeni u politici izdavanja sertifikata.
Politika izdavanja sertifikata se definiše nezavisno od specifičnog operativnog okruženja izdavaoca sertifikata, dok praktična pravila izdavanja sertifikata daju detaljan opis organizacione strukture, operativnih procedura, kao i fizičko i računarsko okruženje izdavaoca sertifikata.
Uslovi koje treba da ispunjavaju politika i praktična pravila
Politika izdavanja sertifikata i Praktična pravila izdavanja sertifikata moraju biti usklađeni sa odredbama Zakona, odredbama propisa donetih na osnovu Zakona, kao i zahtevima standarda koji su tim propisima propisani da se primenjuju.
Politika izdavanja sertifikata treba da ispunjava zahteve iz standarda EN 319 411-2, uključujući zahteve iz drugih standarda na koje se iz tog standarda direktno i indirektno upućuje, a koji se odnose na politiku sertifikata (engl. "certificate policy").
Praktična pravila za izdavanje sertifikata treba da ispunjavaju zahteve iz standarda EN 319 411-2, uključujući zahteve iz drugih standarda na koje se iz tog standarda direktno i indirektno upućuje, a koji se odnose na izjavu o pravilima sertifikacije (engl. "certification practice statement").
Odredbe politike izdavanja sertifikata kao i odredbe praktičnih pravila za izdavanje sertifikata treba da budu struktuirane u skladu sa standardom RFC 3647 "Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework".
Servisi koje obuhvata usluga izdavanja sertifikata
Izdavalac sertifikata dužan je da obezbedi usluge izdavanja sertifikata koje uključuju sledeće servise:
1) registraciju korisnika;
2) formiranje kvalifikovanih elektronskih sertifikata;
3) distribuciju kvalifikovanih elektronskih sertifikata korisnicima;
4) upravljanje životnim vekom (kao što je obnavljanje, suspenzija, opoziv) kvalifikovanih elektronskih sertifikata;
5) obezbeđivanje pouzdanog i javno dostupnog servisa za proveru statusa opozvanosti kvalifikovanih elektronskih sertifikata.
Izdavalac sertifikata može, pored servisa iz stava 1. ovog člana, da priprema, isporučuje ili čini dostupnim korisniku i sredstva za kreiranje elektronskog potpisa odnosno pečata i druge bezbedne uređaje ukoliko je to predviđeno politikom izdavanja sertifikata.
Izdavalac sertifikata utvrđuje i posebna interna pravila rada i zaštite sistema izdavanja sertifikata (u daljem tekstu: interna pravila) u kojima su sadržani i detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja kvalifikovanim elektronskim sertifikatima.
Interna pravila ne mogu biti javna i mogu predstavljati poslovnu tajnu izdavaoca sertifikata.
Interna pravila sadrže detaljne odredbe o:
1) sistemu fizičke kontrole pristupa u pojedine prostorije izdavaoca sertifikata;
2) sistemu logičke kontrole pristupa računarskim resursima izdavaoca sertifikata;
3) sistemu za čuvanje privatnog ključa izdavaoca sertifikata;
4) sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa izdavaoca sertifikata;
5) postupcima i radnjama u vanrednim situacijama (npr. požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem izdavaoca sertifikata).
Postupanje u slučaju teških incidenata
Izdavalac sertifikata obezbeđuje da u slučaju katastrofa operativni rad bude obnovljen što je moguće pre, a u skladu sa politikom izdavanja sertifikata i praktičnim pravilima za izdavanje sertifikata.
U slučaju kompromitacije svog asimetričnog privatnog ključa, izdavalac sertifikata:
1) prestaje sa izdavanjem kvalifikovanih elektronskih sertifikata;
2) informiše sve korisnike i druge zainteresovane strane o kompromitaciji privatnog ključa;
3) javno objavljuje informacije o tome da izdati kvalifikovani elektronski sertifikati, kao i informacije o statusu opozvanosti kvalifikovanih elektronskih sertifikata, više nisu važeće;
4) vrši opoziv svih izdatih kvalifikovanih elektronskih sertifikata odmah, a najkasnije u roku od 24 časa u skladu sa Zakonom.
Evidencija izdatih sertifikata
Izdavalac sertifikata vodi ažurnu, tačnu i bezbednu evidenciju izdatih kvalifikovanih elektronskih sertifikata.
Izdavalac sertifikata vodi ažurnu i bezbednu evidenciju nevažećih (opozvanih i suspendovanih) kvalifikovanih elektronskih sertifikata i mora za svaki sertifikat za koji je izdao informaciju o njegovoj validnosti učiniti javno dostupnom putem servisa za proveru statusa opozvanosti elektronskih sertifikata.
Utvrđivanje vremena izdavanja sertifikata
Za pouzdano određivanje vremena izdavanja i opoziva kvalifikovanih elektronskih sertifikata, izdavalac sertifikata mora obezbediti izvor tačnog vremena koji je sinhronizovan sa izvorom referentnog vremena koji odredi ministarstvo nadležno za poslove informacionog društva (u daljem tekstu: Ministarstvo) i objavljuje na veb sajtu Ministarstva.
Tačno vreme izdavanja kvalifikovanog elektronskog sertifikata izdavalac sertifikata ugrađuje u izdati kvalifikovani elektronski sertifikat.
Tačno vreme izdavanja i opoziva kvalifikovanih elektronskih sertifikata izdavalac sertifikata čuva u evidenciji izdatih i opozvanih sertifikata iz člana 22. ove uredbe.
Pre izdavanja kvalifikovanog elektronskog sertifikata izdavalac kvalifikovanih elektronskih sertifikata vrši registraciju korisnika u okviru koje pouzdano utvrđuje identitet korisnika kojima izdaje kvalifikovani elektronski sertifikat, kao i proveru svih drugih podataka koji će biti sadržani u sertifikatu u skladu sa članom 33. Zakona.
Postupke registracije iz stava 1. ovog člana vrši ovlašćeni službenik izdavaoca kvalifikovanih elektronskih sertifikata ili registracionog tela na udaljenoj registracionoj lokaciji koje uspostavlja izdavalac sertifikata za potrebe registracije korisnika.
Registraciono telo, u smislu ove uredbe, jeste organizaciona jedinica izdavaoca sertifikata ili drugo pravno lice koje je od strane izdavaoca sertifikata ovlašćeno za vršenje poslova registracije korisnika odnosno odgovarajuća organizaciona jedinica takvog pravnog lica.
Asimetrični kriptografski ključevi
Podaci za kreiranje elektronskog potpisa odnosno pečata i podaci za validaciju elektronskog potpisa odnosno pečata tehnički se realizuju kao asimetrični par kriptogafskih ključeva koga čine asimetrični privatni i asimetrični javni ključ, pri čemu asimetrični privatni ključ predstavlja podatke za kreiranje elektronskog potpisa odnosno pečata, a asimetrični javni ključ predstavlja podatke za validaciju elektronskog potpisa odnosno pečata.
Uslovi za postupak registracije korisnika
Izdavalac sertifikata je dužan da pri registraciji korisnika obezbedi:
1) da pre uspostavljanja ugovornog odnosa sa korisnikom, javno informiše korisnika na jasnom i razumljivom jeziku o svim relevantnim uslovima korišćenja kvalifikovanih elektronskih sertifikata;
2) da se, ukoliko se korisnik identifikuje kao fizičko lice, utvrdi i proveri identitet korisnika na bazi isprave koja na osnovu zakona služi za utvrđivanje identiteta, i to:
(1) uz fizičko prisustvo, a na osnovu lične karte, putne isprave, strane putne isprave, putne isprave za strance ili lične karte za strance ili
(2) putem javne isprave koja služi kao sredstvo identifikacije na daljinu u skladu sa zakonom;
3) da se, ukoliko se korisnik identifikuje kao pravno lice:
(1) u skladu sa tačkom 2) ovog stava utvrdi i proveri identitet ovlašćenog lica korisnika koje u ime korisnika zahteva izdavanje kvalifikovanog elektronskog sertifikata;
(2) proveri ovlašćenje na bazi akta korisnika kojim se ovlašćeno lice ovlašćuje da u ime korisnika zahteva izdavanje kvalifikovanog elektronskog sertifikata;
(3) provere podaci o korisniku kao pravnom licu na bazi uvida u podatke Agencije za privredne registre ili na bazi akta nadležnog organa o registraciji pravnog lica;
4) da se, ukoliko se korisnik identifikuje kao fizičko lice koje je pripadnik pravnog lica ili neke organizacije, nakon postupka iz tačke 2), ovog stava iskazana pripadnost proveri na bazi:
(1) dokaza da je korisnik ovlašćen od strane tog pravnog lica ili organizacije za dobijanje kvalifikovanog elektronskog sertifikata u kome se iskazuje pripadnost pravnom licu odnosno organizaciji;
(2) uvida u podatke Agencije za privredne registre ili na bazi akta nadležnog organa o registraciji pravnog lica odnosno organizacije;
5) da se, ukoliko se korisnik identifikuje sa dodatnim specifičnim atributima, kao što je oznaka organizacione jedinice ili uloga u organizaciji gde je zaposlen, proverava tačnost informacija koje su iskazana u takvim atributima;
6) proveru da li je uredno registrovan naziv internet domena sadržan u kvalifikovanom elektronskom sertifikatu, u slučaju izdavanja kvalifikovanog sertifikata za autentikaciju veb sajta;
7) da informacije sadržane u kvalifikovanom elektronskom sertifikatu budu pouzdane i tačne;
8) da se od korisnika pribave tačne i pouzdane informacije o fizičkoj adresi, ili drugim atributima, koji opisuju kako se korisnik može kontaktirati;
9) čuvanje svih informacija korišćenih za verifikaciju identiteta korisnika i dokumentacije korišćene za identifikacije, kao i bilo koja ograničenja njene važnosti;
10) da se sa korisnikom zaključi ugovor koji treba, naročito, da sadrži:
(1) obaveze korisnika,
(2) obaveze korisnika koje se odnose na korišćenje kvalifikovanog sredstva za formiranje elektronskog potpisa odnosno pečata, ukoliko se korisniku izdaje takvo sredstvo,
(3) obavezu izdavaoca sertifikata da čuva podatke korišćene u registraciji korisnika i sve informacije o životnom ciklusu izdatog kvalifikovanog elektronskog sertifikata korisnika. Prosleđivanje ovih informacija trećim stranama je pod uslovima definisanim odgovarajućom politikom izdavanja sertifikata,
(4) uslove za publikaciju sertifikata,
(5) potvrdu da su informacije sadržane u sertifikatu korektne;
11) ugovor iz tačke 10) ovog stava se čuva u roku iz člana 45. Zakona;
12) osim kod izdavanja kvalifikovanog sertifikata za autentikaciju veb sajta, da, ukoliko asimetrični par ključeva korisnika nije generisan od strane tela za izdavanje kvalifikovanih elektronskih sertifikata, proces generisanja zahteva za kvalifikovanim elektronskim sertifikatom u potpunosti obezbeđuje da korisnik poseduje asimetrični privatni ključ koji je matematički, na bazi asimetričnog kriptografskog algoritma, povezan sa javnim ključem koji je prezentiran za sertifikaciju. U tom slučaju korisnik mora obezbediti da se asimetrični par ključeva generiše isključivo u kvalifikovanom sredstvu za kreiranje elektronskog potpisa odnosno pečata;
13) da se poštuju odredbe važećih propisa kojima se uređuje zaštita podataka o ličnosti.
Dodatni uslovi za ugovor kod sertifikata za elektronski potpis i pečat
U slučaju izdavanja kvalifikovanog sertifikata za elektronski potpis ili pečat, ugovor iz člana 26. stava 1. tačka 10) ove uredbe, u okviru utvrđivanja obaveza korisnika iz člana 26. stav 1. tačka 10) podtačka (1) ove uredbe, mora da uključi obaveze korisnika da:
1) dostavi tačne i kompletne informacije izdavaocu sertifikata u skladu sa procedurom registracije definisanom u politici izdavanja sertifikata u skladu sa ovom uredbom;
2) isključivo koristi svoj asimetrični privatni ključ za formiranje kvalifikovanog elektronskog potpisa odnosno pečata u skladu sa ugovorom;
3) onemogući neovlašćen pristup svom privatnom ključu;
4) ukoliko korisnik sam generiše asimetrični par ključeva:
(1) koristi kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata koje je upisano u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata,
(2) koristi propisanu dužinu ključa i algoritam u skladu sa propisima donetim na osnovu Zakona,
(3) obezbedi da jedino on poseduje svoj privatni ključ;
5) odmah obavesti izdavaoca sertifikata ako pre isteka važnosti sertifikata koji je naznačen u samom sertifikatu:
(1) korisnikov privatni ključ se izgubi, ukrade ili nastupi osnovana sumnja da je kompromitovan,
(2) prestane kontrola nad korišćenjem korisnikovog privatnog ključa iz razloga kompromitacije aktivacionih podataka (PIN kod ili lozinka) za sredstvo za formiranje kvalifikovanog elektronskog potpisa ili drugih razloga,
(3) ustanovi netačnost ili izmena sadržaja kvalifikovanog elektronskog sertifikata;
6) prekine korišćenje svog privatnog ključa ukoliko postoji osnovana sumnja u kompromitaciju ključa ili kontrolu nad aktivacionim podacima za sredstvo za formiranje kvalifikovanog elektronskog potpisa.
Izdavanje kvalifikovanog elektronskog sertifikata prethodno registrovanom korisniku
Korisnik koji ima važeći kvalifikovani elektronski sertifikat za elektronski potpis ili pečat može od strane istog pružaoca usluga zahtevati izdavanje novog kvalifikovanog elektronskog sertifikata za elektronski potpis odnosno pečat bez ponovne registracije (u daljem tekstu: ponovno izdavanje sertifikata) ukoliko je to predviđeno politikom izdavanja sertifikata koja se primenjuje.
Politika izdavanja sertifikata iz stava 1. pitanja ponovnog izdavanja sertifikata uređuje saglasno zahtevima standarda ETSI EN 319 411-1. "Electronic Signatures and Infrastructures (ETSI)", odeljku 6.3.6 "Certificate renewal".
Zahtev za ponovno izdavanje sertifikata korisnik potpisuje kvalifikovanim elektronskim potpisom odnosno pečatom na bazi sertifikata iz stava 1. ovog člana.
Prilikom ponovnog izdavanja sertifikata shodno se primenjuju odredbe člana 26. ove uredbe prim čemu nije potrebna ponovna identifikacija korisnika iz člana 26. stav 1. tačka 2) ove uredbe odnosno identifikacija ovlašćenog lica iz člana 26. stav 1. tačka 3) podtačka (1) ove uredbe ukoliko se podaci o korisniku odnosno ovlašćenom licu nisu promenili.
Ljudski resursi koje zapošljava izdavalac sertifikata
Izdavalac sertifikata obezbeđuje neophodne ljudske resurse, i sa njima povezane preduslove, a pored uslova iz člana 8. ove uredbe naročito treba da obezbedi:
1) da zaposleni kod izdavaoca sertifikata moraju da poseduju ekspertsko znanje, iskustvo i neophodnu kvalifikaciju za usluge koje izdavalac sertifikata nudi, kao i za odgovarajuće poslovne funkcije, i to:
(1) najmanje dva zaposlena sa višom ili visokom školskom spremom iz oblasti informaciono-komunikacionih tehnologija i radnim iskustvom od najmanje tri godine u oblasti održavanja i bezbednosti informacionih sistema i položen najmanje jedan od ispita: CompTIA Security+, ISC2 CISSP ili SANS GSEC, kao i da zaposleni redovno, a najmanje jednom godišnje pohađaju obuke i seminare u cilju obnavljanja znanja o novim bezbednosnim pretnjama i aktuelnim bezbednosnim procedurama,
(2) najmanje dva zaposlena sa visokom školskom spremom i pet godina radnog iskustva u oblasti informacionih sistema i položen najmanje jedan od ispita: ISC2 CISSP ispit ili SANS GSEC, kao i da zaposleni redovno, a najmanje jednom godišnje pohađaju obuke i seminare u cilju obnavljanja znanja o novim bezbednosnim pretnjama i aktuelnim bezbednosnim procedurama;
2) uloge i funkcije bezbednosti, utvrđene u politici izdavanja sertifikata i praktičnim pravilima za izdavanje sertifikata, moraju biti dokumentovane i detaljno specificirane sa opisima svakog radnog mesta kod izdavaoca sertifikata. Poslovne funkcije od najvišeg nivoa poverljivosti, od kojih najviše zavisi bezbednost izdavanja kvalifikovanih elektronskih sertifikata, moraju biti posebno i jasno identifikovane;
3) zaposleni i radno angažovani kod izdavaoca sertifikata moraju imati opise poslova definisane sa stanovišta razdvajanja dužnosti i privilegija. Opisi poslova moraju razlikovati opšte poslove i specifične funkcije izdavaoca kvalifikovanih elektronskih sertifikata. Preporučuje se da opisi poslova uključe i definicije zahteva za specifičnim veštinama i iskustvom koja se traže od zaposlenih;
4) zaposleni u upravljačkoj strukturi izdavaoca kvalifikovanih elektronskih sertifikata moraju da poseduju ekspertizu u tehnologiji infrastrukture javnih ključeva i elektronskog potpisa, da su dobro upoznati sa bezbednosnim procedurama za zaposlene i sa odgovornostima u domenu bezbednosti, kao i da imaju odgovarajuća iskustva u primeni bezbednih informacionih sistema i proceni rizika;
5) svi zaposleni kod izdavaoca sertifikata sa bezbednosnim funkcijama ne smeju imati sukobe interesa koji mogu uticati na nepristrasnost rada u okviru izdavanja kvalifikovanih elektronskih sertifikata;
6) bezbednosne funkcije kod izdavaoca sertifikata uključuju sledeće uloge:
(1) glavnog administratora bezbednosti - sveukupnu odgovornost za administriranje i implementaciju bezbednosnih funkcija i procedura, kao i upravljanje aktivnostima na dodatnom unapređenju poslova generisanja, opoziva i suspenzije kvalifikovanih elektronskih sertifikata,
(2) sistem administratore - autorizovanu odgovornost za instalaciju, konfigurisanje i održavanje bezbednih sistema izdavaoca kvalifikovanih elektronskih sertifikata tela za registraciju korisnika, generisanje kvalifikovanih elektronskih sertifikata, obezbeđenje sredstava za formiranje kvalifikovanog elektronskog potpisa za korisnike i upravljanje opozivom kvalifikovanih elektronskih sertifikata,
(3) sistem operatore - odgovornost za rad bezbednih sistema izdavaoca sertifikata u tekućem radu na dnevnom nivou i autorizovanu odgovornost za implementaciju sistema za formiranje rezervnih kopija i procedure oporavka,
(4) sistem evidentičare - autorizovanu odgovornost za pregledanje i održavanje arhiva i log fajlova bezbednih sistema izdavaoca sertifikata;
7) zaposlenima kod izdavaoca sertifikata moraju biti formalno dodeljene bezbednosne funkcije od strane više upravljačke strukture nadležne za bezbednost;
8) izdavalac sertifikata ne sme dodeliti bezbednosne ni upravljačke funkcije osobama koje su osuđivane ili koje su na bilo koji način kažnjavane u odnosu na njihovu podobnost za rad na odgovornim funkcijama. Zaposleni ne smeju imati pristup bezbednosnim funkcijama pre završetka neophodnih provera.
Upravljanje sopstvenim asimetričnim ključevima
Izdavalac sertifikata obezbeđuje da su asimetrični ključevi koje koristi u svom radu generisani u strogo kontrolisanim i bezbednim uslovima, a naročito da se:
1) generisanje asimetričnih ključeva vrši u fizički zaštićenom okruženju od strane i uz minimalan broj autorizovanih zaposlenih (najmanje dva zaposlena lica) za izvršavanje ove funkcije a prema zahtevima i procedurama definisanim u praktičnim pravilima za izdavanje sertifikata;
2) generisanje asimetričnih ključeva vrši u sredstvu koje:
(1) je pouzdan sistem po EAL4 ili višem nivou, u skladu sa standardom ISO/IEC 15408 (delovi 1 do 3) "Information technology - Security techniques - Evaluation criteria for IT security" i ispunjava zahteve iz standarda ISO/IEC 19790:2012 "Information technology - Security techniques - Security requirements for cryptographic modules" ili
(2) ispunjava zahteve standarda FIPS PUB 140-2 (2001) "Security Requirements for Cryptographic Modules" nivo 3;
3) da rezervne kopije privatnih ključeva za elektronsko potpisivanje kvalifikovanih elektronskih sertifikata imaju isti ili viši nivo bezbednosnih kontrola u odnosu na ključeve koji se operativno koriste.
Izdavalac sertifikata obezbeđuje:
1) tajnost i integritet tekućih i arhiviranih zapisa o kvalifikovanim elektronskim sertifikatima;
2) kompletno i pouzdano arhiviranje informacija o kvalifikovanim elektronskim sertifikatima u skladu sa politikom izdavanja sertifikata i praktičnim pravilima za izdavanje sertifikata;
3) da su zapisi u vezi kvalifikovanih elektronskih sertifikata, kao i registracione i druge informacije o korisniku, raspoloživi za potrebe pravnih poslova kao dokaz izvršenog izdavanja sertifikata;
4) pouzdano arhiviranje tačnog vremena značajnih događaja kod izdavaoca sertifikata;
5) da se informacije u vezi kvalifikovanih elektronskih sertifikata čuvaju onoliko vremena koliko je potrebno da se koriste u pravnim poslovima vezanim za upotrebljene sertifikate;
6) evidentiranje svih događaja na način da se ne mogu lako obrisati ili uništiti (izuzev u cilju prenosa na dugotrajne medije za čuvanje) u okviru vremenskog perioda u kome se moraju čuvati;
7) dokumentovanje specifičnih događaja i podataka koji treba da se evidentiraju;
8) evidentiranje svih događaja koji se odnose na registraciju korisnika, uključujući i zahteve za obnavljanjem sertifikata, a naročito:
(1) tip identifikacione isprave koja je prezentovana od strane korisnika odnosno ovlašćenog lica pravnog lica,
(2) podaci o korisniku preuzeti iz identifikacionih isprava,
(3) mesto čuvanja kopija aplikativnih dokumenata i identifikacionih akata, uključujući i potpisan ugovor sa korisnikom,
(4) specifične elemente iz ugovora sa korisnikom,
(5) identitet službenika registracionog tela koji je izvršio registraciju korisnika,
(6) podatke o metodi koja je korišćena za validaciju identifikacionih akata,
(7) ime izdavaoca sertifikata koje je primilo registracione informacije i/ili ime registracionog tela koje je poslalo informacije;
9) zaštitu privatnosti podataka korisnika;
10) evidentiranje svih događaja u vezi sa životnim ciklusom ključeva izdavaoca sertifikata;
11) evidentiranje svih događaja u vezi sa životnim ciklusom kvalifikovanih elektronskih sertifikata;
12) evidentiranje svih događaja u vezi sa životnim ciklusom ključeva kojima upravlja izdavalac sertifikata, uključujući i korisničke ključeve ako su generisani od strane izdavaoca sertifikata;
13) evidentiranje svih događaja koji se odnose na pripremu kvalifikovanih sredstava za kreiranje elektronskog potpisa;
14) da se svi zahtevi i izveštaji koji se odnose na proceduru opoziva sertifikata evidentiraju, uključujući i sve odgovarajuće aktivnosti.
Izdavalac sertifikata obezbeđuje minimalnu moguću štetu korisnicima i drugim zainteresovanim stranama u slučaju njegovog prestanka rada i kontinuirano čuvanje podataka koje se zahteva u pravnim procedurama kao dokaz izvršene usluge sertifikacije, a naročito:
1) pre prestanka pružanja usluga izdavanja kvalifikovanih elektronskih sertifikata, izvršava sledeće aktivnosti:
(1) informiše sve korisnike i druge zainteresovane strane o prestanku rada,
(2) uništava, ili potpuno onemogućava korišćenje, svojih asimetričnih privatnih ključeva koji su korišćeni za formiranje kvalifikovanog elektronskog potpisa kvalifikovanih elektronskih sertifikata;
2) obezbeđuje neophodna finansijska sredstva za realizaciju zahteva iz tačke 1) ovog stava;
3) Politikom izdavanja sertifikata i Praktičnim pravilima za izdavanje sertifikata definiše proceduru prestanka rada, koja obuhvata:
(1) obaveštavanje zainteresovanih strana,
(2) eventualni prenos obaveza drugim izdavaocima sertifikata,
(3) proceduru opoziva izdatih kvalifikovanih elektronskih sertifikata kojima nije istekao rok važnosti i prenos listi opozvanih sertifikata drugom izdavaocu sertifikata.
Kvalifikovano sredstvo koje obezbeđuje izdavalac
Ukoliko izdavalac kvalifikovanog sertifikata za elektronski potpis ili pečat obezbeđuje kvalifikovana sredstva za formiranje elektronskog potpisa odnosno pečata za korisnike, to čini na bezbedan način a naročito obezbeđuje da:
1) priprema sredstva mora biti bezbedno kontrolisana od strane izdavaoca sertifikata;
2) sredstva moraju biti bezbedno čuvana i distribuirana;
3) deaktiviranje i reaktiviranje sredstava mora biti bezbedno kontrolisano od strane izdavaoca sertifikata;
4) ukoliko sredstva imaju pridružene aktivacione podatke (PIN kod ili lozinka) isti moraju biti bezbedno pripremljeni i distribuirani odvojeno u odnosu na sredstvo. Odvojeno slanje može biti obezbeđeno ili dostavom u različito vreme ili na različiti način.
Uručenje kvalifikovanog sredstva
Izdavalac kvalifikovanog sertifikata za elektronski potpis koji korisnicima isporučuje kvalifikovano sredstvo za formiranje elektronskog potpisa korisnicima mora da garantuje tajnost aktivacionih podataka (PIN kod, lozinka), nakon što se ugrade u ista.
Lice koga je ovlastio izdavalac sertifikata iz stava 1. ovog člana korisnicima lično uručuje kvalifikovano sredstvo za formiranje elektronskog potpisa i tom prilikom od korisnika uzima potvrdu uručenja u pisanom obliku sa svojeručnim potpisom ili u elektronskom obliku sa kvalifikovanim elektronskim potpisom datog korisnika.
Izdati kvalifikovani elektronski sertifikat ne sme da bude sa mogućnošću verifikacije, kao i sa mogućnošću raspoloživosti trećim licima uz dopuštenje korisnika, sve dok korisnik kome je sertifikat izdat ne potvrdi prijem kvalifikovanog sredstva za formiranje elektronskog potpisa i odgovarajućih aktivacionih podataka.
III UPRAVLJANJE KVALIFIKOVANIM SREDSTVOM ZA KREIRANJE ELEKTRONSKOG POTPISA ODNOSNO PEČATA
Osnovne odredbe o usluzi upravljanja kvalifikovanim sredstvom
Uslugu upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata može da obavlja samo izdavalac kvalifikovanih elektronskih sertifikata kao dodatnu uslugu za korisnike kojima izdaje kvalifikovane elektronske sertifikate.
Pri izdavanju kvalifikovanog elektronskog sertifikata iz stava 1. ovog člana izdavalac sertifikata generiše asimetričan par ključeva i obezbeđuje kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata koje postaje dostupno korisniku putem usluge upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata.
Kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata iz stava 2. ovog člana mora biti upisano u Registar kvalifikovanih sredstava za kreiranje elektronskih potpisa i elektronskih pečata kao sredstvo koje je predviđeno da koristi putem usluge upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata.
Politika i praktična pravila za pružanje usluge upravljanja kvalifikovanom sredstvom
Politika pružanja usluge upravljanja sredstvom za kreiranje elektronskog potpisa je sastavni deo odgovarajuće politike izdavanja sertifikata.
Praktična pravila za pružanje usluge upravljanja sredstvom za kreiranje elektronskog potpisa odnosno pečata su sastavni deo odgovarajućih praktičnih pravila za izdavanje sertifikata.
Isključiva kontrola korisnika nad asimetričnim privatnim ključem
Usluga upravljanja kvalifikovanim sredstvom za kreiranje elektronskog potpisa odnosno pečata mora da bude zasnovana na politici pružanja usluge, praktičnim pravilima za pružanje usluge, internim pravilima i tehničkom rešenju kojima se obezbeđuje da korisnik ima isključivu kontrolu nad svojim asimetričnim privatnim ključem, kao i da se potpisivanje odnosno pečatiranje korišćenjem tog asimetričnog privatnog ključa može izvršiti isključivo pod kontrolom korisnika čiji je to privatni ključ.
Za autentikaciju korisnika prilikom korišćenja usluge upravljanja sredstvom za kreiranje elektronskog potpisa odnosno pečata koristi se šema elektronske identifikacije koja ispunjava uslove za šemu elektronske identifikacije srednjeg nivoa pouzdanosti.
Ukoliko je šema elektronske identifikacije iz stava 1. ovog člana delom ili u celini poverena trećem licu, tada odgovarajuća usluga elektronske identifikacije mora biti registrovana za srednji ili visok nivo pouzdanosti u skladu za Zakonom.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".