Pravilnik o izmjenama i dopunama Pravilnika o izradi elektroničkog potpisa, uporabi sredstava za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

NN 89/2013 (10.7.2013.), Pravilnik o izmjenama i dopunama Pravilnika o izradi elektroničkog potpisa, uporabi sredstava za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

89 10.07.2013 Pravilnik o izmjenama i dopunama Pravilnika o izradi elektroničkog potpisa, uporabi sredstava za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata

MINISTARSTVO GOSPODARSTVA

1956

Na temelju članka 7., članka 18. stavka 6. i članka 32. stavka 2. Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02 i 80/08) ministar gospodarstva donosi

PRAVILNIK

O IZMJENAMA I DOPUNAMA PRAVILNIKA O IZRADI ELEKTRONIČKOG POTPISA, UPORABI SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA, OPĆIM I POSEBNIM UVJETIMA POSLOVANJA ZA DAVATELJE USLUGA IZDAVANJA VREMENSKOG ŽIGA I CERTIFIKATA

Članak 1.

U Pravilniku o izradi elektroničkog potpisa, uporabi sredstava za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata (»Narodne novine«, br. 107/10), članak 3. mijenja se i glasi:

»Davatelj usluga certificiranja koji izdaje certifikate i kvalificirane certifikate primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s Popisom normizacijskih dokumenata u području primjene Zakona o elektroničkom potpisu i Pravilnika o izradi elektroničkog potpisa, uporabi sredstva za izradu elektroničkog potpisa, općim i posebnim uvjetima poslovanja za davatelje usluga izdavanja vremenskog žiga i certifikata u poslovanju davatelja usluga certificiranja u Republici Hrvatskoj (u daljnjem tekstu: Popis normizacijskih dokumenata) objavljenim u »Narodnim novinama«, a koje se odnose na:

– opća pravila davanja usluga certificiranja,

– obrazac (profil) certifikata,

– sigurnost kriptografskih modula (sredstava za izradu elektroničkog potpisa),

– sigurnost sustava certificiranja.«

Članak 2.

Članak 4. mijenja se i glasi:

»Davatelj usluga izdavanja vremenskog žiga i naprednog vremenskog žiga za ugradnju u elektronički potpis i napredni elektronički potpis, primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s normizacijskim dokumentima objavljenim u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata, a koje se odnose na:

– opća pravila davanja usluga izdavanja vremenskog žiga,

– obrazac (profil) certifikata za izradu vremenskog žiga,

– sigurnost kriptografskih modula (sredstava za izradu vremenskog žiga),

– sigurnost sustava za izdavanje vremenskog žiga.«

Članak 3.

U članku 6., stavak 4. mijenja se i glasi:

»Smatrat će se da struktura i sadržaj naprednog elektroničkog potpisa udovoljava propisanim zahtjevima ukoliko su primijenjeni odgovarajući normizacijski dokumenti čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 4.

U članku 8., stavak 1. mijenja se i glasi:

»Za potrebe strojnog, odnosno automatskog obrađivanja elektroničkog potpisa, ukoliko se koriste pravila uporabe potpisa, nužno ih je izraditi i u formatiranom obliku za potrebe izravnog preuzimanja od strane računalnih programa (aplikacija).«

Članak 5.

Članak 9. mijenja se i glasi:

»(1) Pouzdajuća strana prilikom provjere elektroničkog potpisa i naprednog elektroničkog potpisa mora biti u mogućnosti kod davatelja usluga certificiranja provjeriti je li certifikat opozvan.

(2) Pouzdajuća strana prilikom provjere naprednog elektroničkog potpisa mora biti u mogućnosti provjeriti:

– podatke o potpisniku,

– podatke o davatelju usluga certificiranja koji izdaje certifikate i kvalificirane certifikate,

– rok valjanosti certifikata,

– opozvanost certifikata.«

Članak 6.

U članku 10., stavak 2. mijenja se i glasi:

»Napredni vremenski žig ugrađuje se u napredni elektronički potpis u skladu s utvrđenim pravilima uporabe potpisa i smatrat će se da udovoljava propisanim zahtjevima ukoliko su primijenjeni odgovarajući normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 7.

Članak 12. mijenja se i glasi:

»(1) Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od neovlaštenog pristupa, krađe i oštećivanja.

(2) Sredstvo za izradu naprednog elektroničkog potpisa je potrebno uskladiti sa zahtjevima za zaštitu i sigurnost opreme za izradu naprednog elektroničkog potpisa.

(3) Smatrat će se da je usklađivanje iz stavka 2. ovoga članka provedeno sukladno propisanim zahtjevima ukoliko se provodi primjenom odgovarajućih normizacijskih dokumenta, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(4) Smatrat će se da je usklađivanje iz stavka 2. ovoga članka provedeno sukladno propisanim zahtjevima ukoliko se primjenjuje i barem jedan od obrazaca zaštite sredstava za izradu naprednog elektroničkog potpisa također objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 8.

Članak 13. mijenja se i glasi:

»(1) Kod izrade naprednog elektroničkog potpisa prilikom primjene sustava asimetrične kriptografije (PKI), dužina ključa potpisnika za izradu elektroničkog potpisa mora biti najmanje 2048 bita, uz primjenu kriptografskih algoritama iz klase RSA/DSA i usklađena s odgovarajućim normizacijskim dokumentom objavljenim u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Kriptografski moduli potpisnika kojim se izrađuje napredni elektronički potpis moraju se temeljiti na algoritmima i parametrima koji tvore radno okruženje za izradu naprednog elektroničkog potpisa i smatrati će se da udovoljavaju propisanim zahtjevima ukoliko je primijenjen normizacijski dokument objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 9.

Članak 15., briše se.

Članak 10.

Naslov iznad članka 17. koji glasi: »IV. OPĆI UVJETI POSLOVANJA ZA DAVATELJE USLUGA CERTIFICIRANJA I IZDAVANJA VREMENSKOG ŽIGA I NAPREDNOG VREMENSKOG ŽIGA«, mijenja se i glasi: »IV. OPĆI UVJETI POSLOVANJA ZA DAVATELJE USLUGA CERTIFICIRANJA.«

Članak 17. mijenja se i glasi:

»Davatelj usluga certificiranja može obavljati usluge izdavanja vremenskog žiga i/ili naprednog vremenskog žiga ako ispunjava uvjete iz Zakona i ovoga Pravilnika.«

Članak 11.

Članak 20. mijenja se i glasi:

»(1) Upravljanje izradom i opozivom certifikata i kvalificiranih certifikata, te izradom vremenskog žiga i naprednog vremenskog žiga moraju obavljati isključivo osobe koje su za to ovlaštene i zaposlene kod davatelja usluga certificiranja.

(2) Osobe koje rade na poslovima upravljanja računalnim sustavom, ne mogu raditi poslove iz stavka 1. ovog članka.

(3) Osoblje zaposleno u sustavu certificiranja provodi poslove i operativne zadaće u sustavu certificiranja kroz odvojene organizacijske točke (službe, odjeli i slično) za upravljanje informacijskim sustavom, sustavom upravljanja certifikatima i vremenskim žigovima, poslovima zaštite i kontrole, poslovima pravne zaštite te nadzora djelovanja sustava certificiranja.«

Članak 12.

U članku 23., stavak 1., druga alineja mijenja se i glasi:

»– najmanje tri visoko obrazovana stručnjaka tehničkog, prirodoslovno-matematičkog ili informatičkog usmjerenja za zaštitu računalnih sustava i informacijskih baza te s iskustvom u radu sa sustavima izdavanja, opoziva i održavanja certifikata.«

Članak 13.

U članku 24., stavak 2. mijenja se i glasi:

»Smatrat će se da programska oprema udovoljava propisanim zahtjevima ukoliko je primijenjen odgovarajući normizacijski dokument objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Iza stavka 2. dodaje se stavak 3. koji glasi:

»Smatrat će se da su sigurnosni uvjeti sustava upravljanja certifikatima zadovoljeni, ukoliko su usklađeni s odgovarajućim dokumentima objavljenim u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 14.

Članak 25. briše se.

Članak 15.

U članku 27. stavak 2. mijenja se i glasi:

»Sustav za davanje usluga i informacijski sustav koji koristi davatelj usluga izdavanja kvalificiranih certifikata i usluge izdavanja naprednih vremenskih žigova smatrat će se da udovoljava propisanim zahtjevima ukoliko su primijenjeni odgovarajući normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 16.

Članak 35. mijenja se i glasi:

»(1) Opća pravila davanja usluga certificiranja kao i dokumenti o postupcima certificiranja smatrat će se da udovoljavaju propisanim zahtjevima ukoliko su strukturirani sukladno preporuci objavljenoj u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Davatelj usluga certificiranja, u dokumentima iz stavka 1. ovog članka, mora primjenjivati odgovarajuće normizacijske dokumente objavljene u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 17.

Naslov iznad članka 38. koji glasi: »Infrastruktura«, mijenja se i glasi: »Infrastruktura davatelja usluga certificiranja«

Članak 38. mijenja se i glasi:

»(1) Smatrat će se da zaštita opreme i prostora, koju koristi davatelj usluga certificiranja, udovoljava propisanim zahtjevima, ukoliko su primijenjeni odgovarajući normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Davatelj usluga izdavanja kvalificiranih certifikata i davatelj usluga izdavanja naprednog vremenskog žiga moraju svoje usluge obavljati svojim sredstvima za rad i stalno uposlenim djelatnicima.

(3) Postupke u svezi s najsloženijom strojnom i programskom opremom koji se mogu provesti jedino od strane proizvođača te opreme, davatelj usluga certificiranja može obaviti uz odgovarajuće sudjelovanje djelatnika proizvođača te opreme, njegovog ovlaštenog predstavnika ili zastupnika i uz pomoć njihove opreme.«

Članak 18.

Članak 39. mijenja se i glasi:

»(1) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za obavljanje usluga certificiranja imati poslovni prostor prikladne veličine za smještaj opreme i rad osoblja koje obavlja usluge certificiranja.

(2) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora poslove generiranja kriptografskih ključeva i izrade certifikata provoditi u specijaliziranom prostoru izdvojenom za tu namjenu.

(3) Ukoliko potpisnik generira kriptografske ključeve za izradu svojeg naprednog elektroničkog potpisa, tada informacijski sustav iz stavka 2. ovog članka mora osigurati uvjete za takvo generiranje, sukladno odgovarajućem normizacijskom dokumentu, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(4) Pristup prostoru u kojem se provode radnje iz stavka 2. ovoga članka, mogu imati samo ovlaštene osobe i o svakom pristupu prostoru mora se voditi evidencija.«

Članak 19.

Članak 40. mijenja se i glasi:

»(1) Oprema koju koristi davatelj usluga certificiranja, mora imati odgovarajuću razinu zaštite. Smatrat će se da oprema udovoljava propisanim zahtjevima zaštite ukoliko su zadovoljeni odgovarajući kriteriji iz odgovarajućeg normizacijskog dokumenta, koji se nalazi u popisu objavljenom u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Davatelj usluga certificiranja mora postupke i oblike zaštite sustava za cijelo vrijeme davanja usluga certificiranja usklađivati s odgovarajućim normizacijskim dokumenta, koji se nalaze u popisu objavljenom u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 20.

U članku 42. mijenjaju se stavak 3. i stavak 4. i glase:

»(3) Davatelj usluga certificiranja može drugoj pravnoj osobi ugovorom povjeriti obavljanje poslova: prikupljanja zahtjeva za izdavanje certifikata, prikupljanje osobnih podataka i provjere identiteta potpisnika te primopredaju sredstva za izradu elektroničkog potpisa potpisniku.

(4) Davatelj usluga certificiranja koji izdaje kvalificirane certifikate ili pravna osoba iz stavka 3. ovog članka, dužna je u cijelosti razmotriti i provjeriti podatke koje je potpisnik predao u zahtjevu za izdavanje certifikata te u prisustvu potpisnika provesti fizičku identifikaciju potpisnika temeljem osobne iskaznice ili druge javne isprave s fotografijom potpisnika, kojima se potvrđuje identitet potpisnika koji traži uslugu certificiranja. U slučaju podnošenja zahtjeva za izdavanje certifikata poštom ili na drugi posredan način, fizička identifikacija potpisnika provodi se prilikom preuzimanja sredstva za izradu elektroničkog potpisa.«

Članak 21.

Članak 44. mijenja se i glasi:

»(1) Potpisnik kojemu je odobreno izdavanje certifikata, mora osobno ili putem ovlaštenog punomoćnika, zakonskog zastupnika ili skrbnika, kod davatelja usluga certificiranja ili na drugom za te poslove određenom mjestu, preuzeti izdani certifikat. U slučaju kada je zahtjev za izdavanje kvalificiranog certifikata podnijet poštom ili na drugi posredan način, potpisnik sredstvo za izradu elektroničkog potpisa s certifikatom preuzima osobno ili sredstvo za izradu elektroničkog potpisa preuzima osobno, dok kriptografske ključeve za izradu svog naprednog elektroničkog potpisa generira i certifikat preuzima u skladu s uvjetima iz članka 39. stavka 3.

(2) Sadržaj certifikata iz stavka 1. ovog članka mora odgovarati Internet X.509. v.3 specifikaciji certifikata.

(3) Smatrat će se da sadržaj kvalificiranog certifikata udovoljava propisanim zahtjevima ukoliko su primijenjeni odgovarajući normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 22.

U članku 45., stavku 1. riječ »kvalificiranog« briše se.

Članak 23.

U članku 46., stavak 4. mijenja se i glasi:

»Lista opozvanih certifikata mora putem elektroničke komunikacijske mreže biti stalno dostupna pouzdajućim stranama.«

Članak 24.

U članku 48. dodaje se stavak 3. koji glasi:

»Zahtjevi iz stavka 1. i 2. ovog članka moraju biti u skladu s Internet X.509. v.3 specifikacijom liste opozvanih certifikata.«

Članak 25.

U članku 49., stavak 1. mijenja se i glasi:

»Podaci o potpisnicima, izdani certifikati, liste opozvanih certifikata kao i tehnički podaci nastali bilježenjem rada sustava certificiranja moraju se arhivirati na način koji osigurava trajnost zapisa od najmanje 20 godina.«

Stavak 4. briše se.

Članak 26.

Naslov iznad članka 53. koji glasi: »Postupci zaštite elektroničkog potpisa davatelja usluga izdavanja kvalificiranih certifikata«, mijenja se i glasi: »Postupci zaštite elektroničkog potpisa davatelja usluga certificiranja«.

Članak 53. mijenja se i glasi:

»(1) Svi podaci za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja moraju biti kriptografski zaštićeni uz primjenu sredstva za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja sukladno odgovarajućim normizacijskim dokumentima iz Popisa normizacijskih dokumenata objavljenog u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Davatelj usluga izdavanja kvalificiranih certifikata i usluga izdavanja naprednih vremenskih žigova pri davanju usluga certificiranja mora koristiti algoritme i parametre primjenjive na napredni elektronički potpis i smatrati će se da udovoljava propisanim zahtjevima ukoliko je primijenjen odgovarajući normizacijski dokument objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 27.

Članak 54. mijenja se i glasi:

»(1) Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog potpisa odvojeno rasporediti na najmanje dvije osobe koje zajedno izrađuju elektronički potpis.

(2) Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog potpisa fizički i elektronički zaštititi sukladno odgovarajućim normizacijskim dokumentima objavljenim u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(3) Raspoloživost podataka za izradu naprednog elektroničkog potpisa davatelja usluga certificiranja koji izdaje kvalificirane certifikate mora biti jednokratna i to za vrijeme izrade elektroničkog potpisa i mora prestati nakon svake izrade elektroničkog potpisa.«

Članak 28.

Članak 55. mijenja se i glasi:

»(1) Davatelj usluga izdavanja vremenskog ili naprednog vremenskog žiga mora prije početka obavljanja usluga utvrditi opća pravila davanja usluga ugradnje vremenskog i/ili naprednog vremenskog žiga, koja potpisnicima i pouzdajućim stranama pružaju dovoljno informacija na temelju kojih mogu odlučiti o prihvaćanju usluga i u kojem opsegu.

(2) Smatrat će se da pravila iz stavka 1. ovog članka udovoljavaju propisanim zahtjevima ukoliko je primijenjen odgovarajući normizacijski dokument, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(3) Opća pravila iz stavka 1. ovoga članka ugrađuju se u dokument »Opća pravila davanja usluga ugradnje vremenskog žiga«, odnosno »Opća pravila davanja usluga ugradnje naprednog vremenskog žiga«.

(4) Obvezna struktura i sadržaj dokumenata iz stavka 3. ovog članka:

Poglavlje

Podpoglavlje

1. Uvodne oznake i temeljni podaci

2. Definicije i kratice

2.1. Definicije

2.2 Kratice

3. Opći koncept

3.1. Usluge vremenskog žiga

3.2. Davatelj usluga izdavanja vremenskog žiga (TSA)

3.3. Korisnik

3.4. Opća pravila i Pravilnik o postupcima izdavanja vremenskog žiga

4. Opća pravila davanja usluge vremenskog žiga

4.1. Pregled

4.2. Identifikacija

4.3. Korisnici i primjena

4.4 Usklađenost

5. Obveze i odgovornosti

5.1. Obveze TSA

5.2. Obveze korisnika

5.3. Obveze pouzdajućih strana

5.4. Odgovornosti

6. Zahtjevi za TSA postupke

6.1. Pravilnik o postupcima i Izjava o davanju usluga

6.2 Upravljanje životnim ciklusom ključeva

6.3 Izdavanje vremenskog žiga

6.4 TSA upravljanje i djelovanje

6.5. Organizacijska shema

»

Članak 29.

Naslov iznad članka 57. koji glasi: »Zaštita davatelja usluga ugradnje vremenskog žiga«, mijenja se i glasi: »Zaštita davatelja usluga izdavanja vremenskog žiga«.

Članak 30.

Članak 57. mijenja se i glasi:

»Davatelj usluga vremenskog žiga mora informacijski sustav uskladiti sa zahtjevima sigurnosti djelovanja informacijskih sustava. Smatrat će se da informacijski sustav udovoljava propisanim zahtjevima ukoliko je primijenjen odgovarajući normizacijski dokument, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 31.

Članak 58. mijenja se i glasi:

»(1) Usluga izdavanja vremenskog žiga se temelji na asimetričnoj kriptografiji, Internet X.509 v.3 certifikatima i pouzdanim servisima točnog vremena.

(2) Smatrat će se da davatelj usluge prilikom obavljanja usluge iz stavka 1. ovoga članka postupa sukladno propisanim zahtjevima ukoliko su primijenjeni odgovarajući normizacijski dokumenti, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.«

Članak 32.

Iza članka 58. dodaje se naslov i članak 59. koji glase:

»Obrazac (profil) vremenskog žiga

Članak 59.

(1) Obrazac (profil) vremenskog žiga mora biti usklađen s odgovarajućim normizacijskim dokumentom, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

(2) Obrazac (profil) naprednog vremenskog žiga mora biti usklađen s odgovarajućim normizacijskim dokumentima, čiji je popis objavljen u »Narodnim novinama« pod nazivom Popis normizacijskih dokumenata.

Članak 33.

Dosadašnji članak 59. postaje članak 60. te se stavak 3. dosadašnjeg članka 59. mijenja i glasi:

»Davatelji usluga upisani u Evidenciju davatelja usluga certificiranja u Republici Hrvatskoj će u roku od 12 mjeseci od dana stupanja na snagu Izmjena i dopuna Pravilnika, uskladiti svoje poslovanje i obaviti provjere osoblja iz članka 32. Pravilnika.«

Članak 34.

Dosadašnji članak 60. postaje članak 61. mijenja se i glasi:

»Ministar gospodarstva, u »Narodnim novinama« objavit će Popis normizacijskih dokumenta, iz članka 6. stavka 4., članka 10. stavka 2., članka 12. stavka 3. i stavka 4., članka 13. stavka 1. i stavka 2., članka 24. stavak 2. i stavak 3., članka 27. stavka 2., članka 35. stavka 1. i stavka 2., članka 38. stavka 1., članka 39. stavka 3., članka 40. stavka 1., članka 44. stavka 2., članka 48. stavka 3., članka 53. stavka 1. i stavka 2., članka 53. stavka 2., članka 55. stavka 2., članka 57., članka 58. stavka 2., članka 59. stavka 1. i stavka 2.«

Članak 35.

Dosadašnji članak 61. postaje članak 62.

Članak 36.

Ovaj Pravilnik stupa na snagu osmoga dana od objave u »Narodnim novinama«.

Klasa: 011-01/13-01/161

Urbroj: 526-04-01-02-01/1-13-1

Zagreb, 22. svibnja 2013.

Ministar gospodarstva
Ivan Vrdoljak, v. r.