Pravilnik o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

NN 107/2010 (13.9.2010.), Pravilnik o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

MINISTARSTVO GOSPODARSTVA, RADA I PODUZETNIŠTVA

2864

Na temelju članka. 7., članka 18. stavka 6. i članka 32. stavka 2. Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02 i 80/08) ministar gospodarstva, rada i poduzetništva donosi

PRAVILNIK

O IZRADI ELEKTRONIČKOG POTPISA, UPORABI SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA, OPĆIM I POSEBNIM UVJETIMA POSLOVANJA ZA DAVATELJE USLUGA IZDAVANJA VREMENSKOG ŽIGA I CERTIFIKATA

I. OPĆE ODREDBE

Članak 1.

(1) Ovim Pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektroničkog potpisa, i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa i naprednog elektroničkog potpisa, ugradnja vremenskog žiga i naprednog vremenskog žiga, obavljanje usluga izdavanja vremenskog žiga i naprednog vremenskog žiga, zaštite sustava za obavljanje usluga certificiranja i podataka o potpisnicima, postupci provjere identiteta potpisnika prilikom izdavanja elektroničkih certifikata kao i najniži iznos svote za koju se osigurava rizik od odgovornosti za štete koji se kod davatelja usluga certificiranja koji izdaju kvalificirane certifikate pojavljuje kao obvezno osiguranje.

Članak 2.

U smislu ovoga Pravilnika pojmovi imaju sljedeća značenja:

certifikat – potvrda u elektroničkom obliku izdana od davatelja usluge izdavanja certifikata, koja povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe;

kvalificirani certifikat – potvrda u elektroničkom obliku izdana od davatelja usluge izdavanja kvalificiranih certifikata, koja udovoljava zahtjevima iz članka 11. Zakona o elektroničkom potpisu (u daljnjem tekstu: Zakon);

potpisnik – osoba koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja;

pouzdajuća strana – primatelj elektroničkog zapisa koji se pouzdaje u elektronički zapis potpisan elektroničkim potpisom ili naprednim elektroničkim potpisom;

provjera elektroničkog potpisa i naprednog elektroničkog potpisa – postupak iniciran od pouzdajuće strane za provjeru valjanosti potpisa i certifikata potpisnika kod davatelja usluga certficiranja;

vremenski žig – je elektronički potpisana potvrda izdavatelja koja potvrđuje sadržaj podataka na koje se odnosi u navedenom vremenu,

napredan vremenski žig – je elektronički potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektronički potpis

davatelj usluga izdavanja vremenskog žiga – pravna ili fizička osoba koja daje usluge izdavanja vremenskog žiga i/ili usluga certificiranja

Članak 3.

Davatelj usluga certificiranja koji izdaje certifikate i kvalificirane certifikate primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s važećim međunarodnim normama, a koje se odnose na:

– opća pravila davanja usluga certificiranja,

– obrazac (profil) certifikata,

– sigurnost kriptografskih modula (sredstava za izradu elektroničkog potpisa),

– sigurnost sustava certificiranja.

Članak 4.

Davatelj usluga izdavanja vremenskog žiga i naprednog vremenskog žiga za ugradnju u elektronički potpis i napredni elektronički potpis primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s važećim međunarodnim normama, a koje se odnose na:

– opća pravila davanja usluga izdavanja vremenskog žiga,

– obrazac (profil) certifikata za izradu vremenskog žiga,

– sigurnost kriptografskih modula (sredstava za izradu vremenskog žiga),

– sigurnost sustava za izdavanje vremenskog žiga.

II. ELEKTRONIČKI POTPIS

Izrada i korištenje elektroničkog potpisa i naprednog elektroničkog potpisa

Članak 5.

(1) Postupak izrade elektroničkog potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina potpisivanja.

(2) Potpisnik u elektronički potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako bi pouzdajuća strana mogla provjeriti potpis temeljem iste ili sukladne tehnologije i postupaka.

(3) Pravila uporabe potpisa sadrže opis postupka potpisivanja u čitljivom obliku s najmanje sljedećim skupom podataka:

upozorenje – sadržaj pravnih i drugih činjenica povezanih s potpisivanjem, koji mora biti iskazan prije čina potpisivanja;

izjava potpisnika – o prihvaćanju pravila uporabe potpisa i saznanju o sadržaju koji potpisuje;

potpisni skup podataka – dio je elektroničkog potpisa i dodaje se potpisanom elektroničkom zapisu, a sadrži ime potpisnika, vrijeme i mjesto potpisivanja.

(4) U elektronički potpis se može ugraditi identifikator ili sažetak pravila uporabe potpisa.

Članak 6.

(1) Potpisnik izrađuje i koristi elektronički potpis i napredni elektronički potpis u skladu s uvjetima sadržanim u Zakonu i ovom Pravilniku.

(2) Podaci za izradu elektroničkog potpisa su logički povezani sa elektroničkim potpisom.

(3) Potpisnik je dužan zaštiti podatke za izradu elektroničkog potpisa od neovlaštenog pristupa, otuđivanja i nepravilne uporabe.

(4) Smatrat će se da struktura i sadržaj elektroničkog potpisa udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti čiji je popis objavljen u »Narodnim novinama«.

Članak 7.

(1) Potpisniku prije procesa uporabe elektroničkog potpisa moraju biti predstavljena pravila uporabe potpisa ukoliko su određena.

(2) Elektronički potpis koriste potpisnik i pouzdajuća strana u skladu s utvrđenim pravilima uporabe potpisa, ukoliko su određena.

(3) Potpisnik i pouzdajuća strana moraju koristiti ista pravila uporabe potpisa radi postizanja jednakog tumačenja valjanosti potpisa kod njegove izrade i provjere, ukoliko su ona određena.

(4) Korisnici elektroničkog potpisa u međusobnoj regulaciji odnosa u pogledu elektroničkog potpisa dužni su poštivati odredbe Zakona i ovoga Pravilnika.

Članak 8.

(1) Za potrebe strojnog, odnosno automatskog obrađivanja elektroničkog potpisa nužno je izraditi pravila uporabe potpisa i u formatiranom obliku za potrebe izravnog preuzimanja od strane računalnih programa (aplikacija).

(2) Kod računalnih aplikacija koje koriste velik broj istorodnih dokumenata s jednim pravilom uporabe elektroničkog potpisa ili naprednog elektroničkog potpisa dopušteno je unaprijed definirati ugradnju tih pravila u elektronički potpis, napredni elektronički potpis ili u aplikaciju.

Provjera elektroničkog potpisa i naprednog elektroničkog potpisa

Članak 9.

(1) Pouzdajuća strana prilikom provjere elektroničkog potpisa i naprednog elektroničkog potpisa mora biti u mogućnosti kod davatelja usluga certificiranja provjeriti da li je certifikat na listi opozvanih certifikata.

(2) Pouzdajuća strana prilikom provjere naprednog elektroničkog potpisa mora biti u mogućnosti provjeriti:

– podatke o potpisniku

– podatke o davatelju usluga certificiranja koji izdaje certifikate i kvalificirane certifikate

– rok valjanosti certifikata,

– nepostojanje u registru (opozvanih) certifikata.

Ugradnja vremenskog žiga i naprednog vremenskog žiga u elektronički potpis

Članak 10.

(1) Ugradnju vremenskog žiga ili naprednog vremenskog žiga može pokrenuti potpisnik i/ili pouzdajuća strana u skladu s utvrđenim pravilima uporabe potpisa.

(2) Vremenski žig ili napredni vremenski žig ugrađuje se u elektronički potpis u skladu s utvrđenim pravilima uporabe potpisa i smatrat će se da udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

III. SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA

Članak 11.

(1) Odredbe ovoga poglavlja moraju se primijeniti na sredstva za izradu naprednog elektroničkog potpisa.

(2) Odredbe ovoga poglavlja primjenjuju se na odgovarajući način i na sredstva za izradu elektroničkog potpisa.

Članak 12.

(1) Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od neovlaštenog pristupa, krađe i oštećivanja.

(2) U slučajevima kada sredstvo za izradu elektroničkog potpisa sadrži i certifikat te elektronički potpis davatelja usluga certificiranja koji je izdao certifikat, potrebno je sredstvo za izradu elektroničkog potpisa uskladiti sa zahtjevima za zaštitu i sigurnost opreme za izradu naprednog elektroničkog potpisa.

(3) Smatrat će se da je usklađivanje iz stavka 2. ovoga članka provedeno sukladno propisanim zahtjevima ukoliko se provodi primjenom odgovarajućih hrvatskih normizacijskih dokumenta, čiji je popis objavljen u »Narodnim novinama«, te ukoliko se primjenjuju i bar jedan od sljedećih obrazaca zaštite sredstava za izradu naprednog elektroničkog potpisa:

– CEN/ISSS SSCD-PP (Secure Signature Creation Device-Protection Profile) opći obrazac zaštite sredstava za izradu naprednog elektroničkog potpisa koji je Europska unija prihvatila sukladno preporukama sadržanim u Direktivi o elektroničkom potpisu (Directive 1999/93) u dodatku II kojim se pobliže opisuju zahtjevi koje mora ispunjavati sredstvo za izradu naprednog elektroničkog potpisa kroz dokument CWA (CEN Workshop Agreement) 14169,

– opći obrazac za sigurnost kriptografskih modula FIPS 140-1, razina 1, poželjno 2 ili FIPS 140-2, razina 1, poželjno 2 (američko tijelo za standardizaciju National Institute of Standards and Technology – Federal Information Processing Standard).

Članak 13.

(1) Kod izrade naprednog elektroničkog potpisa prilikom primjene sustava asimetrične kriptografije (PKI), dužina ključa potpisnika za izradu elektroničkog potpisa mora biti najmanje 1024 bita, uz primjenu kriptografskih algoritama iz klase RSA/DSA i usklađena s međunarodnom normom PKCS#1 (Verzija 2.1 na više).

(2) Kriptografski moduli moraju se temeljiti na algoritmima i parametrima koji tvore radno okruženje za izradu naprednog elektroničkog potpisa sukladno trenutno važećim obrascima ugrađenim u dokument Algoritmi i parametri sigurnog elektroničkog potpisa (Algorithms and Parameters for Secure Electronic Signatures)- verzija 2.1, 2001-10 ili novija, kojega za potrebe Europske unije vodi NISSG-Nadzorni odbor za mrežnu i informacijsku sigurnost Network and Information Security Steering Group).

Članak 14.

(1) Programska oprema kojom se provodi provjera elektroničkog potpisa mora u potpunosti onemogućiti dobivanje podataka za izradu elektroničkog potpisa pomoću podataka za ovjeru.

(2) Programska oprema koja generira podatke za izradu elektroničkog potpisa mora zaštititi te podatke od neželjenog ili neovlaštenog pristupa odgovarajućim skupom mjera informacijske sigurnosti.

Članak 15.

Programska oprema za izradu naprednog elektroničkog potpisa mora imati ugrađene osnovne oblike zaštite sukladno dokumentima o osnovnim pravilima zaštite i sigurnosti sredstva za izradu naprednog elektroničkog potpisa – SSCD/PP odnosno EAL4+ preporukama

Članak 16.

(1) Potpisnik koji izgubi ili mu je otuđeno sredstvo za izradu elektroničkog potpisa te u slučajevima kada mu je onemogućen pristup podacima za izradu elektroničkog potpisa, dužan je o tome odmah obavijestiti davatelja usluga certificiranja odnosno njegovu prijavnu službu.

(2) Davatelj usluga certificiranja koji je zaprimio obavijest prema stavku 1. ovoga članka provodi postupak opoziva izdatog certifikata i dalje postupa po utvrđenim pravilima opozivanja izdanih certifikata a u skladu s internim dokumentom o postupcima certificiranja temeljem kojega pruža uslugu certificiranja.

IV. OPĆI UVJETI POSLOVANJA ZA DAVATELJE USLUGA CERTIFICIRANJA I IZDAVANJA VREMENSKOG ŽIGA I NAPREDNOG VREMENSKOG ŽIGA

Članak 17.

Davatelj usluga certificiranja koji izdaje certifikate i/ili kvalificirane certifikate može obavljati i usluge izdavanja vremenskog žiga i/ili naprednog vremenskog žiga ako ispunjava uvjete iz Zakona i ovoga Pravilnika.

Financijska sredstva

Članak 18.

(1) Davatelj usluga certificiranja mora raspolagati financijskim sredstvima koja osiguravaju nesmetano pružanje usluga certificiranja neovisno o broju korisnika usluga i za cijelo vrijeme obavljanja usluga certificiranja.

(2) Davatelj usluga certificiranja mora imati vlastiti poslovni račun i garanciju poslovne banke na tekuće poslovanje vidljivo kroz javno dostupno poslovno godišnje izvješće.

Članak 19.

(1) Davatelj usluga koji izdaje kvalificirane certifikate i davatelj usluga koji izdaje napredan vremenski žig dužan je osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga.

(2) Osiguranje sadržano u stavku 1. ovoga članka predstavlja obvezno osiguranje.

(3) Najniži iznos na koji davatelj usluga iz stavka 1. ovoga članka mora osigurati odgovornost za štete iznosi 2.000.000,00 kuna.

Osoblje

Članak 20.

(1) Izdavanje certifikata mora obavljati isključivo osoba koja je za to ovlaštena i zaposlena je kod davatelja usluga certificiranja koji izdaje kvalificirane certifikate.

(2) Osobe koje rade na poslovima upravljanja računalnim sustavom ne mogu raditi poslove izdavanja i opoziva certifikata.

(3) Osoblje zaposleno u sustavu certificiranja provodi poslove i operativne zadaće u sustavu certificiranja kroz odvojene organizacijske točke (službe, odjeli i slično) za upravljanje informacijskim sustavom, sustavom upravljanja certifikatima, poslovima zaštite i kontrole te poslovima pravne zaštite i nadzora djelovanja sustava certificiranja

Članak 21.

Zaposleno osoblje davatelja usluga certificiranja mora imati stručna znanja u radu s tehnologijom certificiranja, kao i stručna znanja za postupke zaštite računalne opreme i programa u primijenjenom sustavu certificiranja te osigurano konstantno usavršavanje znanja i vještina potrebnih za rad u sustavu certificiranja

Članak 22.

Zaposleni kod jednog davatelja usluga certificiranja ne smiju biti u radnom, odnosno poslovnom odnosu s drugim davateljima usluga certificiranja.

Članak 23.

Davatelj usluga koji izdaje kvalificirane certifikate i davatelj usluga koji izdaje napredan vremenski žig mora imati stalno zaposleno:

– najmanje dva stručnjaka s visokom stručnom spremom tehničkog, prirodoslovno-matematičkog ili informatičkog usmjerenja, specijaliziranih za rad s kriptografskim tehnologijama

– najmanje tri visoko obrazovana stručnjaka tehničkog usmjerenja za zaštitu računalnih sustava i informacijskih baza te s iskustvom u radu sa sustavima izdavanja, opoziva i održavanja certifikata

– najmanje jednog visokoobrazovanog pravnika s poznavanjem sustava zaštite osobnih podataka, uporabe i pravne sukladnosti elektroničkog potpisa.

Strojna i programska oprema

Članak 24.

(1) Davatelj usluga certificiranja za obavljanje usluge certificiranja koristi strojnu i programsku opremu koja u okviru svoje tehnologije i postupaka osigurava jedinstvenost podataka za provjeru potpisa i nedvosmisleno i sigurno utvrđivanje istovjetnosti potpisnika.

(2) Smatrat će se da programska oprema udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«, sigurnosni uvjeti sistema upravljanja certifikatima usklađeni sa zahtjevima iz dokumenta CWA (CEN Workshop Agreement) 14167-1 i 14167-2, te odlukama i preporukama IETF RFC skupine.

Članak 25.

(1) Informacijski sustav na kojem se generiraju podaci za izradu elektroničkog potpisa predstavlja informacijski sustav u kojem se obrađuju, pohranjuju ili prenose neklasificirani podaci.

(2) Informacijski sustav na kojem se generiraju podaci za izradu naprednog elektroničkog potpisa predstavlja informacijski sustav u kojem se obrađuju, pohranjuju ili prenose podaci stupnja tajnosti »Ograničeno«.

(3) Strojna oprema iz stavka 1. i stavka 2. ovoga članka mora biti smještena najmanje u Sigurnosnoj zoni II iz propisa koji uređuje mjere informacijske sigurnosti.

(4) Pristup strojnoj opremi iz stavka 1. ovoga članka može se provoditi isključivo uz prisustvo najmanje dvije ovlaštene osobe koje imaju pristup informacijskom sustavu davatelja usluga certificiranja.

Članak 26.

Informacijski sustav davatelja usluga certificiranja koji izdaje kvalificirane certifikate mora biti izgrađen od računalne i programske osnovice namijenjene isključivo za poslove certificiranja.

V. OPĆI POSTUPCI ZAŠTITE SUSTAVA ZA DAVANJE USLUGA IZDAVANJA KVALIFICIRANIH CERTIFIKATA I USLUGE IZDAVANJA NAPREDNIH VREMENSKIH ŽIGOVA

Članak 27.

(1) Davatelj usluga izdavanja kvalificiranih certifikata i usluga izdavanja naprednih vremenskih žigova mora sustav za davanje usluga i informacijski sustav prilagoditi zahtjevima koji se traže za izdavanje kvalificiranog certifikata.

(2) Sustav za davanje usluga i informacijski sustav koji koristi davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova smatrat će se da udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

Članak 28.

(1) Davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova dužan je izraditi jedinstveni sustav zaštite i sigurnosti obavljanja usluga.

(2) U svrhu izvedbe i održavanja jedinstvenog sustava zaštite i sigurnosti obavljanja usluga iz stavka 1. ovoga članka davatelj usluga izrađuje interni dokument o provođenju zaštite sustava davanja usluga.

Članak 29.

(1) U slučaju neovlaštenog pristupa računalnoj i programskoj opremi odnosno informacijskom sustavu, davatelj usluga mora zaustaviti normalan rad i provoditi mjere predviđene za rad u izvanrednim situacijama sve do potpunog otkrivanja uzroka te otklanjanja mogućih šteta.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora rad s računalnom i programskom opremom povjeriti samo osobama s visokom stručnom spremom i specijalističkih znanja u rukovanju opremom ugrađenom u sustav certificiranja.

(3) Središnji računalni sustav mora imati osigurano trajno napajanje energijom uz potrebno radno okruženje kao što je stupanj vlažnosti i topline, dozvoljena razina zračenja i ostale vrijednosti specifične za računalni sustav u upotrebi.

(4) Računalni sustav mora biti smješten na mjestu koje je osigurano od poplave uz adekvatnu protupožarnu zaštitu.

Članak 30.

(1) Davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova mora prije početka obavljanja usluga ili nakon značajnih promjena u sustavu za vrijeme obavljanja usluga, te redovito svake godine provoditi provjeru svih dijelova sustava u odnosu na sigurnost, pouzdanost i kvalitetu djelovanja na temelju izrađenog internog dokumenta o provođenju zaštite sustava za obavljanje usluga.

(2) Najveći vremenski razmak između dva postupka provjere ne može biti duži od jedne godine.

Članak 31.

Davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova može nastaviti pružati usluge ako se utvrdi u provjerama iz članka 30. ovoga Pravilnika da je sustav usklađen sa zahtjevima sadržanim u dokumentu o provođenju zaštite sustava za pružanje usluga iz članka 28. ovoga Pravilnika.

Članak 32.

Davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova mora za poslove zaštite sustava davanja usluga, temeljem provedene procjene rizika zaposliti kvalificirano osoblje za:

– kontrolu fizičkog pristupa računalnoj opremi

– ugradnju i konfiguraciju programskog sklopa zaštite kao i sustavno mijenjanje kriptografskih ključeva

– analizu rada u svima fazama rada, bilježenje i arhiviranje tih podataka te obavješćivanje

– upravljačke funkcije i operacije otklanjanja problema u funkcioniranju propisanih mjera zaštite

– izvješćivanje o pokušajima narušavanja propisanih mjera zaštite te identifikacija subjekata koji provode narušavanje.

Članak 33.

Provjera sustava iz članka 30. ovoga Pravilnika mora se provesti najmanje za područje:

– informacijskog sustava,

– tehnologije kriptozaštite,

– radnog prostora,

– računalne i mrežne opreme

– relevantnih propisa u Republici Hrvatskoj.

VI. POSEBNI UVJETI POSLOVANJA ZA DAVATELJA USLUGA CERTIFICIRANJA

Opća pravila davanja usluga certificiranja

Članak 34.

(1) Davatelj usluga certificiranja mora prije početka obavljanja usluga utvrditi opća pravila davanja usluga certificiranja koja potpisnicima i pouzdajućim stranama pružaju dovoljno informacija na temelju kojih mogu odlučiti o prihvaćanju usluga i u kojem opsegu.(2) Opća pravila iz stavka 1. ovoga članka davatelj usluga certificiranja ugrađuje u dokument »Opća pravila davanja usluga certificiranja«.

(3) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora izraditi i posebna unutarnja pravila o postupcima izdavanja certifikata i zaštite sustava certificiranja u kojem su sadržani i detaljno opisani postupci i mjere koje primjenjuje prilikom izdavanja i rukovanja certifikatima.

Članak 35.

(1) Opća pravila davanja usluga certificiranja kao i dokumenti o postupcima certificiranja smatrat će se da udovoljavaju propisanim zahtjevima ukoliko su strukturirani sukladno preporuci IETF RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework i ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

(2) Obvezni sadržaj dokumenata koju davatelj usluga certificiranja mora izraditi prije početka obavljanja usluga certificiranja obuhvaća:

Naziv dionice

Sadržaj dionice

1. Uvodne oznake i temeljni podaci

Opis usluga

Identifikacijski podaci i identifikator tipa objekta (OID oznaka)

Korisnici i područje primjene usluga

Adresni podaci

2. Opće odredbe

Obveze davatelja usluga, potpisnika i pouzdajuće strane

Odgovornost

Financijska odgovornost

Usklađenost sa zakonom

Naknada za usluge

Objava i repozitorij certifikata

Provjera usklađenosti

Povjerljivost i tajnost poslovanja i podataka

Zaštita intelektualnog vlasništva (prava autora)

3. Identifikacija i potvrđivanje identiteta potpisnika

Registracija potpisnika

Inicijalno izdavanje certifikata

Obnavljanje cerfikata

Zahtjevi za opoziv certifikata

Zahtjevi za suspenziju i reaktivaciju certifikata

4. Osnovni zahtjevi u radu sa certifikatima

Zaprimanje zahtjeva za izdavanje certifikata

Izdavanje certifikata

Dostava/prihvat certifikata

Zahtjevi za opoziv, suspenziju i reaktivaciju certifikata

Postupci provjere sigurnosnih mjera

Arhiviranje certifikata i podataka

Postupci otklanjanja posljedica šteta, nezgoda

Prestanak rada/davanja usluga

5. Kontrola sigurnosti opreme, postupaka i osoblja

Kontrola prostora, opreme i sredstava

Kontrola postupaka i provedbe i radnih zadaća

Kontrola osoblja – broj, stručnost i ovlaštenja

6. Kontrola tehničke sigurnosti rada sustava certificiranja

Izrada vlastitog certifikata

Zaštita podataka za izradu vlastitog elektroničkog potpisa

Upravljanje podacima za izradu elektroničkog potpisa

Podaci za pristup certifikatu davatelja usluga certificiranja

Kontrola sigurnosti računalnog sustava

Kontrola sigurnosti radnog vijeka sustava

Kontrola sigurnosti mrežnog sustava

Kontrola sigurnosti kriptografskih modula

7. Sadržaj certifikata i lista opozvanih certifikata

Sadržaj (obrazac) certifikata

Sadržaj liste opozvanih certifikata

8. Postupci s dokumentacijom

Postupci kod promjene sadržaja dokumentacije

Objavljivanje dokumentacije

Postupci prihvaćanja/odobravanja dokumentacije

Dopunska pravila

Članak 36.

(1) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora izraditi i dopunski sklop pravila (unutarnja pravila) kojima se osigurava ispravno provođenje zaštitnih i sigurnosnih mjera u sustavu certificiranja.

(2) Unutarnja pravila djelovanja sustava certificiranja uređuju dopunski:

– postupke pristupa i kretanja kroz poslovni prostor davatelja usluga certificiranja– postupke i tehnike dopunske zaštite informacijskog sustava, uporabe elektroničke komunikacijske opreme/sustava u radnjama s podacima u sustavu certificiranja

– postupke i radnje u izvanrednim situacijama posebice kod požara i drugih nepogoda, nepredvidivih upada u fizički prostor davatelja usluga certificiranja odnosno kod zlonamjernih upada u informacijski sustav davatelja usluga

– pravila vođenja evidencija o prisustvu zaposlenika u sustavu certificiranja, pristupa sustavu certificiranja

Članak 37.

(1) Davatelj usluga dužan je svojim internim aktima o općim pravilima davanja usluga, predvidjeti način postupanja u slučajevima prigovora u vezi odstupanja sadržaja usluga u odnosu na ugovoreno.

(2) Za slučajeve prigovora potpisnika zbog odstupanja usluge u odnosu na ugovoreni sadržaj usluge iz općih pravila, davatelj usluga certificiranja i potpisnik mogu u okviru ugovora o pružanju usluga, predvidjeti arbitražnu klauzulu koju prihvaćaju obje strane.

Infrastruktura

Članak 38.

(1) Zaštita opreme i prostora koju koristi davatelj usluga certificiranja koji izdaje kvalificirane certifikate smatrat će se da udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora obavljanje usluga certificiranja prilagoditi novim normama, odlukama i preporukama iz stavka 1. ovoga članka.

(3) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora uslugu certificiranja obavljati svojim sredstvima za rad i stalno uposlenim djelatnicima.

(4) Postupke u svezi s najsloženijom opremom (software, hardware) koji se mogu provesti jedino od strane proizvođača te opreme, davatelj usluga certificiranja koji izdaje kvalificirane certifikate može obaviti uz odgovarajuće sudjelovanje djelatnika proizvođača te opreme, njegovog ovlaštenog predstavnika ili zastupnika i uz pomoć njihove opreme.

Članak 39.

(1) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za obavljanje usluga certificiranja imati poslovni prostor prikladne veličine za smještaj opreme i rad osoblja koje obavlja usluge certificiranja.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora poslove generiranja kriptografskih ključeva i izrade certifikata provoditi u specijaliziranom prostoru izdvojenom za tu namjenu.

(3) Pristup prostoru u kojem se provode radnje iz stavka 2. ovoga članka, mogu imati samo ovlaštene osobe i o svakom pristupu prostoru mora se voditi evidencija.

Članak 40.

(1) Oprema koju koristi davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora imati odgovarajući nivo zaštite. Smatrat će se da oprema udovoljava propisanim zahtjevima zaštite ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«, te ukoliko je ista usklađena najmanje s FIPS 140-1 (gornje razine).

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora postupke i oblike zaštite sustava za cijelo vrijeme davanja usluga certificiranja usklađivati s trenutno važećim preporukama i normama u području zaštite i sigurnosti djelovanja informatičkih sredstava i sustava.

Postupci izdavanja certifikata

Članak 41.

Davatelj usluga certificiranja mora osigurati jedinstvenost podataka za provjeru elektroničkog potpisa na način koji omogućuje nedvojbeno utvrđivanje (identifikacija) potpisnika.

Članak 42.

(1) Potpisnik koji traži uslugu certificiranja zahtjev za izdavanje certifikata podnosi osobno, poštom ili na drugi posredan način, u prijavnoj službi davatelja usluga certificiranja ili na drugom za to određenom mjestu.

(2) Potpisnik pravno i materijalno odgovara za točnost i ispravnost podataka.

(3) Davatelj usluga certificiranja može drugoj pravnoj osobi ugovorom povjeriti obavljanje poslova provjere identiteta i prikupljanja zahtjeva za izdavanje certifikata i osobnih podataka potpisnika.

(4) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je u cijelosti razmotriti i provjeriti podatke koje je potpisnik predao u zahtjevu za izdavanje certifikata te u prisustvu potpisnika provesti fizičku identifikaciju potpisnika temeljem osobne iskaznice ili druge javne isprave s fotografijom potpisnika kojima se potvrđuje identitet potpisnika koji traži uslugu certificiranja. U slučaju podnošenja zahtjeva za izdavanje certifikata poštom ili na drugi posredan način, fizička identifikacija potpisnika provodi se prilikom preuzimanja izdanog certifikata.

Članak 43.

(1) Podaci iz urednih zahtjeva za izdavanje certifikata upisuju se i arhiviraju se u informacijskom sustavu davatelja usluga certificiranja.

(2) Sadržaj certifikata upisuje se u Registar (izdanih i opozvanih) certifikata.

Član 44.

(1) Izdavanje certifikata mora obavljati isključivo osoba koja je za to ovlaštena i zaposlena je kod davatelja usluga certificiranja koji izdaje kvalificirane certificate.

(2) Potpisnik kojemu je odobreno izdavanje certifikata mora osobno ili putem ovlaštenog punomoćnika, zakonskog zastupnika ili skrbnika, kod davatelja usluga certificiranja ili na drugom za te poslove određeno mjestu preuzeti izdani certifikat. U slučaju kada je zahtjev za izdavanje kvalificiranog certifikata podnijet poštom ili na drugi posredan način, potpisnik izdani certifikat preuzima osobno.

(3) Smatrat će se da sadržaj kvalificiranog certifikata udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«, te ukoliko se ujedno temelji na obrascu preporuke IETF RFC 3039 – Qualified Certificate Profile, IETF RFC 3739 ili novijem.

Period valjanosti certifikata

Član 45.

(1) Davatelj usluga certificiranja utvrđuje vremenski period valjanosti izdanog kvalificiranog certifikata odnosno rok do kada se priznaje važenje izdanog certifikata u pravnom prometu.

(2) Rok iz stavka 1. ovoga članka za kvalificirane certifikate mora se utvrditi u trajanju najviše do pet godina od dana izdavanja certifikata.

Postupci opoziva certifikata

Članak 46.

(1) Opoziv je prestanak važenja certifikata prije isteka roka valjanosti

(2) Opozvani certifikat ne može se reaktivirati ili obnoviti

(3) Opozvani certifikat upisuje se u listu opozvanih certifikata s statusom »OPOZVAN«

(4) Lista opozvanih certifikata mora biti stalno (on-line) dostupna pouzdajućim stranama.

Članak 47.

(1) Izdani certifikat opoziva se na zahtjev:

– potpisnika,

– osobe ovlaštene za zastupanje potpisnika,

– izdavatelja certifikata ako se utvrdi da podatak u certifikatu nije točan ili potpun,

– izdavatelja certifikata ako je primljena službena obavijest o gubitku poslovne sposobnosti potpisnika fizičke osobe,

– izdavatelja certifikata koji primi službeni obavijest o smrti fizičke osobe potpisnika

– izdavatelja certifikata otvaranjem stečajnog postupka nad pravnom osobom

(2) Zahtjev za opoziv može biti u papirnatom ili elektroničkom obliku.

(3) Zahtjev za opoziv certifikata u elektroničkom obliku mora biti potpisan naprednim elektroničkim potpisom.

(4) Opozvani certifikati upisuju se u listu opozvanih certifikata koja mora biti dostupna svim subjektima koji imaju pristup uslugama davatelja usluga certificiranja.

(5) Lista opozvanih certifikata mora se trenutno obnoviti za slučaj svake nastale izmjene, a redovno, u roku ne dužem od 24 sata

Sadržaj liste opozvanih certifikata

Članak 48.

(1) Lista opozvanih certifikata mora sadržavati najmanje sljedeće elemente:

– verzija liste

– redni broj liste

– certifikat i napredan elektronički potpis davatelja usluga certificiranja

– kriptografski algoritam korišten pri izradi elektroničkog potpisa davatelja usluga certificiranja

– ime davatelja usluga certificiranja

– datum izrade liste.

(2) Svaki opozvani certifikat u listi opozvanih certifikata sadrži:

– serijski broj certifikata dodijeljen kod izdavanja

– datum opoziva (od kada certifikat više nije važeći)

– kôd razloga opoziva.

Postupci arhiviranja

Članak 49.

(1) Podaci o potpisnicima, izdani certifikati, liste opozvanih certifikata kao i tehnički podaci nastali bilježenjem rada sustava certificiranja moraju se arhivirati na medije koji osiguravaju trajnost zapisa od najmanje 20 godina.

(2) U svrhu čuvanja zapisa moraju se izraditi i sigurnosne kopije koje moraju biti smještene na drugoj lokaciji, izdvojeno od sustava certificiranja u upotrebi.

(3) Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog potpisa čuvati u najmanje dva primjerka na odvojenim lokacijama u za to namjenski uređenom prostoru zaštićenom od oštećivanja u slučaju požara, poplave i drugih štetnih utjecaja, te osigurati razdvajanje osnovnog skupa podataka za izradu elektroničkog potpisa u najmanje dva dijela.

(4) Raspoloživost podataka za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja koji izdaje kvalificirane certifikate mora biti jednokratna i to za vrijeme izrade elektroničkog potpisa i mora prestati nakon svake izrade elektroničkog potpisa.

Članak 50.

(1) Arhivirani podaci moraju se čuvati i zaštititi od neovlaštenog pristupa i mogućih gubitaka u zapisu.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora u svrhu očuvanja čitkosti i ispravnosti zapisa na medijima, provoditi postupke provjere i po potrebi, osvježivanje zapisa na medijima najmanje dva puta godišnje.

Članak 51.

(1) Potpisnik, kao i pouzdajuća strana ili druga ovlaštena osoba može zatražiti kod davatelja usluga certificiranja povremeno provjeravanje podataka za izradu elektroničkog potpisa.

(2) Potpisnik kao i pouzdajuća strana ili druga ovlaštena osoba zahtjev za provjeru prema stavku 1. ovoga članka podnosi osobno kod davatelja usluga certificiranja, a može i u elektroničkom obliku ako je takav zahtjev ispravno elektronički potpisan od strane podnositelja zahtjeva.

Postupci zaštite osobnih i poslovnih podataka

Članak 52.

Davatelj usluga certificiranja koji prikuplja podatke za izdavanje certifikata mora osobne podatke o potpisnicima i poslovne podatke o poslovnim subjektima prikupljati, pohranjivati, koristiti i brisati u skladu s odgovarajućim propisima o zaštiti osobnih i poslovnih podataka.

Postupci zaštite elektroničkog potpisa davatelja usluga izdavanja kvalificiranih certifikata

Članak 53.

Svi podaci za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja moraju biti kriptografski zaštićeni uz primjenu:

– sredstava za izradu naprednog elektroničkog potpisa sukladno najmanje FIPS 140-1 (gornje razine) ili FIPS 140-2 te kojima je moguća upotreba posebnih pristupnih tehnika za rad s podacima za izradu elektroničkog potpisa

– podataka za izradu potpisa primjenom RSA ili DSA algoritma dužine najmanje 2048 bita odnosno odgovarajuće razine Elliptic Curve algoritma, te SHA-2 (SHA-224, SHA-256, SHA-384 i SHA-512)

– kriptografskih algoritama (3DES algoritma – 128 bitni ili AES tehnika) u svrhu zaštite pristupa podacima.

Članak 54.

(1) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora podatke za izradu svog elektroničkog potpisa odvojeno rasporediti na najmanje dvije osobe koje zajedno izrađuju elektronički potpis.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora podatke za izradu svog elektroničkog potpisa fizički i elektronički zaštititi u skladu s utvrđenim pravilima i normama u svrhu sprječavanja fizičkog ili elektroničkog pristupa od strane neovlaštenih osoba.

Opća pravila usluga izdavanja vremenskog žiga ili naprednog vremenskog žiga

Članak 55.

(1) Davatelj usluga izdavanja vremenskog ili naprednog vremenskog žiga mora prije početka obavljanja usluga izraditi Opća pravila davanja usluga ugradnje vremenskog i/ili naprednog vremenskog žiga.

(2) Smatrat će se da pravila iz stavka 1. ovog članka udovoljavaju propisanim zahtjevima ukoliko su za strukturu primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

(3) Obavezni je sadržaj dokumenta:

Naziv dionice

Sadržaj dionice

1. Uvodne oznake i

temeljni podaci

Opis usluga

Identifikacijski podaci i identifikator tipa objekta (OID oznaka)

Korisnici i područje primjene usluga

Adresni podaci

2. Opće odredbe

Obveze davatelja usluga, potpisnika i pouzdajuće strane

Odgovornost

Financijska odgovornost

Usklađenost sa zakonom

Naknada za usluge

Provjera usklađenosti

Povjerljivost i tajnost (poslovanja i podataka)

Zaštita intelektualnog vlasništva (prava autora)

3. Osnovni zahtjevi u radu

Postupci provjere sigurnosnih mjera

Arhiviranje podataka

Postupci otklanjanja posljedica šteta, nezgoda

Prestanak rada/davanja usluga

4. Kontrola sigurnosti opreme, postupaka i osoblja

Kontrola prostora, opreme i sredstava

Kontrola postupaka i provedbe radnih zadaća

Kontrola osoblja – broj, stručnost i ovlaštenja

5. Kontrola tehničke sigurnosti rada davatelja usluga vremenskog žiga

Zaštita podataka za izradu vlastitog elektroničkog potpisa

Upravljanje podacima za izradu vlastitog elektroničkog potpisa

Kontrola sigurnosti računalnog sustava

Kontrola sigurnosti radnog vijeka sustava

Kontrola sigurnosti mrežnog sustava

Kontrola sigurnosti kriptografskih modula

6. Sadržaj certifikata

Obrazac (profil) certifikata – davatelja usluge vremenskog žiga

7. Postupci s dokumentacijom

Postupci kod promjene sadržaja dokumentacije

Objavljivanje dokumentacije

Postupci prihvaćanja/odobravanja dokumentacije

Članak 56.

(1) Davatelj usluga dužan je općim pravilima davanja usluga, predvidjeti način postupanja u slučajevima prigovora u vezi odstupanja sadržaja usluga u odnosu na ugovoreno.

(2) Za slučajeve prigovora potpisnika zbog odstupanja usluge u odnosu na ugovoreni sadržaj usluge iz općih pravila davanja usluga ugradnje vremenskog žiga ili naprednog vremenskog žiga, davatelj usluga certificiranja i potpisnik mogu u okviru ugovora o pružanju usluga, predvidjeti arbitražnu klauzulu koju prihvaćaju obje strane.

Zaštita davatelja usluga ugradnje vremenskog žiga

Članak 57.

Davatelj usluga vremenskog žiga mora informacijski sustav uskladiti sa zahtjevima sigurnosti djelovanja informacijskih sustava. Smatrat će se da informacijski sustav udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama«.

Članak 58.

(1) Usluge ugradnje vremenskog žiga ili izdavanja vremenskog žiga se temelje na asimetričnoj kriptografiji, X.509 certifikatima i pouzdanim servisima točnog vremena.

(2) Smatrat će se da davatelj usluge prilikom obavljanja usluge iz stavka 1. ovoga članka postupa sukladno propisanim zahtjevima ukoliko primjenjuje preporuku IETF RFC 3161 Internet X.509 – Public Key Infrastructure: Time Stamp Protocol (TSP) i odgovarajuće hrvatske normizacijske dokumente, čiji je popis objavljen u »Narodnim novinama«.

VIII. PRIJELAZNE I ZAVRŠNE ODREDBE

Članak 59.

(1) Podaci u postojećim Registrima izdanih certifikata smatraju se podacima upisanim u sukladnosti s ovim Pravilnikom.

(2) Stupanjem na snagu ovoga Pravilnika prestaje važiti Pravilnik o mjerama i postupcima uporabe i zaštite elektroničkog potpisa i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa, naprednog elektroničkog potpisa i sustava certificiranja i obveznog osiguranja davatelja usluga izdavanja kvalificiranih certifikata (»Narodne novine« br. 54/02).

(3) Davatelji usluga upisani u Evidenciju davatelja usluga certificiranja u Republici Hrvatskoj do dana stupanja na snagu ovoga Pravilnika, uskladit će svoje poslovanje i obaviti provjere osoblja iz članka 32. ovoga Pravilnika u roku od dvanaest mjeseci od dana stupanja na snagu ovoga Pravilnika.

Članak 60.

(1) Ministar gospodarstva, rada i poduzetništva u »Narodnim novinama« objavit će Popis normizacijskih dokumenta iz članka 6. stavka 4., članka 10. stavka 2., članka 12. stavka 3., članka 27. stavka 2., članka 35. stavka 1., članka 40. stavka 1., članka 44. stavka 3., članka 55. stavka 2., članka 57. i članka 58. stavka 2.

Članak 61.

Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

Klasa: 011-01/09-01/161

Urbroj: 526-05-05-01/1-10-18

Zagreb, 2. rujna 2010.

Ministar
gospodarstva, rada i poduzetništva
mr. sc. Đuro Popijač, v. r.