Про затвердження Порядку ведення Довірчого списку
Відповідно до статті 35 Закону України «Про електронні довірчі послуги», пунктів 4, 8, 10 Положення про Міністерство цифрової трансформації України, затвердженого постановою Кабінету Міністрів України від 18 вересня 2019 року № 856, та з метою встановлення організаційних, методологічних принципів ведення Довірчого списку та забезпечення його функціонування НАКАЗУЮ:
1. Затвердити Порядок ведення Довірчого списку, що додається.
2. Адміністратору інформаційно-телекомунікаційної системи центрального засвідчувального органу - державному підприємству «ДІЯ» забезпечити впровадження, підтримку в актуальному стані та публікацію на офіційному вебсайті центрального засвідчувального органу Довірчого списку із додаванням електронної печатки центрального засвідчувального органу у вигляді, придатному для автоматизованої обробки.
3. Юридичні особи, фізичні особи - підприємці, які мають намір надавати електронні довірчі послуги, вносяться до Довірчого списку з урахуванням вимог статті 30 Закону України «Про електронні довірчі послуги» відповідно до Порядку ведення Довірчого списку, затвердженого цим наказом.
4. Визнати таким, що втратив чинність, наказ Міністерства юстиції України від 29 жовтня 2018 року № 3373/5 «Про затвердження Порядку ведення Довірчого списку», зареєстрований у Міністерстві юстиції України 29 жовтня 2018 року за № 1221/32673 (зі змінами).
5. Директорату функціонального розвитку цифровізації подати цей наказ на державну реєстрацію в установленому законодавством порядку.
6. Цей наказ набирає чинності з дня його офіційного опублікування.
7. Контроль за виконанням цього наказу покласти на заступника Міністра Рабчинську Л.С.
ПОГОДЖЕНО: |
|
ПОРЯДОК
ведення Довірчого списку
1. Цей Порядок визначає процедуру ведення Довірчого списку, внесення відомостей до Довірчого списку та забезпечення цілодобового доступу до Довірчого списку через телекомунікаційні мережі загального користування.
2. У цьому Порядку терміни вживаються у значеннях, наведених у Законі України «Про електронні довірчі послуги» (далі - Закон) та інших нормативно-правових актах, прийнятих відповідно до Закону.
3. Ведення Довірчого списку здійснюється українською мовою з використанням кирилиці та англійською (британською) мовою з використанням латиниці. Власні назви з української мови транслітеруються латиницею згідно з вимогами постанови Кабінету Міністрів України від 27 січня 2010 року № 55 «Про впорядкування транслітерації українського алфавіту латиницею».
II. Внесення відомостей до Довірчого списку
1. Внесення відомостей про юридичних осіб, фізичних осіб - підприємців, що мають намір надавати кваліфіковані електронні довірчі послуги (далі - заявники), до Довірчого списку здійснюється з урахуванням положень, визначених частинами першою-шостою, восьмою статті 30 Закону.
2. Підставами для внесення відомостей до Довірчого списку про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, є рішення центрального засвідчувального органу (далі - ЦЗО) або подання засвідчувального центру (далі - ЗЦ) та засвідчення заявником у ЦЗО або ЗЦ чинності одного або декількох своїх відкритих ключів (окремо для кожної електронної довірчої послуги), які використовуватимуться для надання кваліфікованих електронних довірчих послуг.
Інформація про засвідчення заявником у ЗЦ чинності одного або декількох своїх відкритих ключів (окремо для кожної електронної довірчої послуги), які використовуватимуться для надання кваліфікованих електронних довірчих послуг, зазначається у поданні та направляється до ЦЗО.
Про засвідчення одного або декількох відкритих ключів адміністратор інформаційно-телекомунікаційної системи ЦЗО - державне підприємство «ДІЯ» (далі - Адміністратор ІТС ЦЗО) протягом трьох календарних днів повідомляє ЦЗО в електронній формі з використанням кваліфікованого електронного підпису посадової особи Адміністратора ІТС ЦЗО.
3. ЦЗО після прийняття рішення про внесення до Довірчого списку відомостей про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, повідомляє заявника про прийняття рішення (направляє копію рішення) та надсилає Адміністратору ІТС ЦЗО копію цього рішення, а також копії документів, передбачених частиною другою статті 30 Закону.
4. Заявник, отримавши копію рішення ЦЗО про внесення відомостей про нього до Довірчого списку, подає до Адміністратора ІТС ЦЗО заяву про формування кваліфікованого сертифіката відкритого ключа, який використовуватиметься для надання кваліфікованих електронних довірчих послуг, та документи, що до неї додаються, за формою, встановленою Регламентом роботи центрального засвідчувального органу, затвердженим наказом Міністерства цифрової трансформації України від 19 грудня 2019 року № 27, зареєстрованим у Міністерстві юстиції України 11 січня 2020 року за № 33/34316 (далі - Регламент роботи ЦЗО).
5. Не пізніше наступного робочого дня після формування кваліфікованого сертифіката відкритого ключа, який використовуватиметься для надання кваліфікованих електронних довірчих послуг, Адміністратор ІТС ЦЗО вносить до Довірчого списку відомості про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, разом із сформованим сертифікатом відповідно до схеми Довірчого списку, визначеної Обов’язковими вимогами до Довірчого списку, затвердженими постановою Кабінету Міністрів України від 26 вересня 2018 року № 775 (далі - Обов’язкові вимоги до Довірчого списку).
6. Адміністратор ІТС ЦЗО того самого дня в електронній формі інформує ЦЗО щодо внесення відомостей про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, до Довірчого списку.
7. Відомості про ЦЗО та засвідчувальний центр, а також про кваліфіковані електронні довірчі послуги, які ними надаються, вносяться до першої та усіх наступних публікацій Довірчого списку відповідно до Обов’язкових вимог до Довірчого списку.
III. Внесення змін до Довірчого списку
1. Внесення змін до Довірчого списку здійснюється відповідно до вимог, визначених частиною сьомою статті 30 Закону.
2. Підставою для внесення змін до Довірчого списку є зміна відомостей про кваліфікованого надавача електронних довірчих послуг, що містяться в Довірчому списку, визначених підпунктами 3, 4 пункту 7 Обов’язкових вимог до Довірчого списку.
3. Кваліфікований надавач електронних довірчих послуг у разі виникнення підстав для внесення змін до Довірчого списку зобов’язаний протягом п’яти робочих днів з дня настання таких підстав подати до ЦЗО заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.
У заяві обов’язково зазначаються відомості про кваліфікованого надавача електронних довірчих послуг, які потребують змін, та відомості, які потребують внесення до Довірчого списку.
4. Якщо зміни відомостей про кваліфікованих надавачів електронних довірчих послуг, що містяться в Довірчому списку, пов’язані із формуванням нових кваліфікованих сертифікатів відкритих ключів, до подання заяви про внесення змін до Довірчого списку кваліфікований надавач електронних довірчих послуг повинен подати заяву на формування нового кваліфікованого сертифіката відкритого ключа, який використовуватиметься для надання кваліфікованих електронних довірчих послуг, відповідно до Регламенту роботи ЦЗО.
У разі закінчення терміну дії або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг до ЦЗО подається заява про внесення змін до Довірчого списку для зміни статусу відповідної зазначеному сертифікату кваліфікованої електронної довірчої послуги.
У заяві про внесення змін до Довірчого списку обов’язково зазначається серійний номер отриманого кваліфікованого сертифіката відкритого ключа, який використовуватиметься/використовувався для надання кваліфікованих електронних довірчих послуг.
5. ЦЗО протягом п’яти календарних днів розглядає заяву про внесення змін до Довірчого списку та у разі прийняття рішення про внесення змін до Довірчого списку повідомляє про це кваліфікованого надавача електронних довірчих послуг, а також надсилає Адміністратору ІТС ЦЗО копії такого рішення та документів, поданих разом із заявою.
6. ЦЗО приймає рішення про відмову у внесенні змін до Довірчого списку у разі неподання документів, що є підставою для внесення відповідних змін до Довірчого списку, виявлення в заяві про внесення змін до Довірчого списку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
У випадках, передбачених абзацом першим цього пункту, ЦЗО з дня отримання заяви про внесення змін до Довірчого списку надсилає кваліфікованому надавачу електронних довірчих послуг вмотивовану відмову у внесенні змін до Довірчого списку.
7. Після отримання копії рішення про внесення змін до Довірчого списку Адміністратор ІТС ЦЗО не пізніше наступного робочого дня вносить до Довірчого списку відомості про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, разом із сформованим сертифікатом відповідно до схеми Довірчого списку, визначеної Обов’язковими вимогами до Довірчого списку.
8. Адміністратор ІТС ЦЗО того самого дня в електронній формі інформує ЦЗО про внесення змін до Довірчого списку.
IV. Внесення відомостей (змін) до Довірчого списку за поданням засвідчувального центру
1. ЗЦ протягом трьох робочих днів з дня прийняття рішення про внесення відомостей про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, до Довірчого списку або отримання від кваліфікованого надавача електронних довірчих послуг заяви про внесення змін до Довірчого списку надсилає до ЦЗО подання (далі - подання ЗЦ), яке включає:
повідомлення про прийняте рішення;
відомості про заявника та кваліфіковані електронні довірчі послуги, які ним надаватимуться, включаючи інформацію про відповідність надання зазначеної кваліфікованої електронної довірчої послуги вимогам, яким повинні відповідати кваліфіковані надавачі електронних довірчих послуг, внесені до Довірчого списку за поданням засвідчувального центру, у тому числі вимогам до їхніх програмно-технічних комплексів, встановленим Національним банком України відповідно до абзацу другого частини третьої статті 9 Закону;
кваліфіковані сертифікати відкритих ключів, сформовані ЗЦ, які заявник / кваліфікований надавач електронних довірчих послуг використовуватиме для надання відповідних кваліфікованих електронних довірчих послуг (у разі внесення до Довірчого списку відомостей про заявника або якщо зміни відомостей про кваліфікованих надавачів електронних довірчих послуг, що містяться в Довірчому списку, пов’язані з формуванням нових кваліфікованих сертифікатів відкритих ключів).
2. У разі закінчення терміну дії або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, сформованого ЗЦ, до ЦЗО подається відповідне подання ЗЦ про внесення змін до Довірчого списку для зміни статусу відповідної зазначеному сертифікату кваліфікованої електронної довірчої послуги.
3. ЦЗО після реєстрації подання ЗЦ надсилає Адміністратору ІТС ЦЗО копію подання ЗЦ.
4. Після отримання від ЦЗО копії подання ЗЦ Адміністратор ІТС ЦЗО не пізніше наступного робочого дня вносить до Довірчого списку відомості про заявника / кваліфікованого надавача електронних довірчих послуг та кваліфіковані електронні довірчі послуги, які ним надаватимуться, разом із сформованими сертифікатами відповідно до схеми Довірчого списку, визначеної Обов’язковими вимогами до Довірчого списку.
5. Відомості про кваліфіковані електронні довірчі послуги вносяться Адміністратором ІТС ЦЗО відповідно до підпункту 10 пункту 2 розділу VI цього Порядку.
6. Адміністратор ІТС ЦЗО того самого дня в електронній формі інформує ЦЗО та ЗЦ про внесення відомостей/змін до Довірчого списку.
7. ЗЦ на підставі прийнятого рішення про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку не пізніше ніж за один робочий день до дати припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг надсилає до ЦЗО подання про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку.
8. ЦЗО надсилає Адміністратору ІТС ЦЗО копію подання ЗЦ про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку.
9. Після отримання копії подання ЗЦ про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку Адміністратор ІТС ЦЗО не пізніше наступного робочого дня вносить до Довірчого списку відповідні зміни та в електронній формі інформує про це ЦЗО та ЗЦ.
V. Виключення з Довірчого списку
1. Виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку здійснюється з урахуванням вимог, визначених частиною дев’ятою статті 30 та частиною десятою статті 31 Закону.
2. Не пізніше як за один робочий день до дати припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг ЦЗО надсилає Адміністратору ІТС ЦЗО копію рішення про виключення такого надавача з Довірчого списку.
3. Після отримання копії рішення про виключення надавача електронних довірчих послуг з Довірчого списку Адміністратор ІТС ЦЗО не пізніше наступного робочого дня вносить до Довірчого списку відповідні зміни та в електронній формі інформує про це ЦЗО.
VI. Наповнення Довірчого списку
1. Структуру Довірчого списку визначено пунктом 7 Обов’язкових вимог до Довірчого списку.
2. Під час ведення Довірчого списку він наповнюється відомостями з урахуванням таких особливостей:
1) формат позначки розмітки (тега), версія схеми Довірчого списку, позначення типу Довірчого списку, дата публікації та дата наступної публікації Довірчого списку, тип, статус та дата останньої зміни статусу кваліфікованих електронних довірчих послуг визначаються за правилами, що встановлені ДСТУ ETSI TS 119 612:2016 «Електронні підписи та інфраструктури. Довірчі списки» (ETSI TS 119 612:2016, IDT);
2) порядковий номер Довірчого списку для першої публікації визначається як числове значення «1» та збільшується на 1 за кожної наступної публікації Довірчого списку;
3) інформація про місцезнаходження оператора схеми Довірчого списку поділяється на підрозділи, в яких окремо зазначаються адреса будинку, назва міста, поштовий код та позначення країни у форматі «UA»;
4) електронна адреса офіційного вебсайту, в тому числі електронна адреса, за якою розміщуються наступні публікації Довірчого списку, та адреса електронної пошти зазначаються у форматі гіперпосилань;
5) інформація про нормативно-правові акти, відповідно до яких здійснюється ведення Довірчого списку, подається у текстовому вигляді (інформація щодо відповідності схеми Довірчого списку Закону) та у вигляді гіперпосилань на розділ офіційного вебсайту ЦЗО «Нормативно-правові акти» (інформація про інші нормативно-правові акти, на підставі яких здійснюється ведення Довірчого списку);
6) відомості про місцезнаходження, контактну інформацію, найменування та семантичне найменування заявника або кваліфікованого надавача електронних довірчих послуг, гіперпосилання на його положення сертифікаційних практик, а також назва кваліфікованих електронних довірчих послуг, які ним надаватимуться, мають відповідати відомостям, наданим заявником у заяві про внесення до Довірчого списку або кваліфікованим надавачем електронних довірчих послуг у заяві про внесення змін до Довірчого списку, форми яких встановлюються Регламентом роботи ЦЗО;
7) семантичні найменування заявників та кваліфікованих надавачів електронних довірчих послуг, які є фізичними особами - підприємцями, вносяться до Довірчого списку в порядку наявності таких ідентифікаційних даних:
TINUA - реєстраційний номер облікової картки платника податків (далі - РНОКПП); або
PNOUA - унікальний номер запису в Єдиному державному демографічному реєстрі; або
PASUA - номер паспорта громадянина України у формі книжечки (для фізичних осіб - підприємців, які через свої релігійні переконання відмовились від прийняття РНОКПП, повідомили про це відповідний контролюючий орган та мають відповідну відмітку у паспорті);
8) до набору ідентифікаторів кваліфікованих електронних довірчих послуг, що забезпечують їх унікальність, вносяться кваліфіковані сертифікати відкритих ключів та ідентифікатори відкритих ключів, інтерпретовані у кодуванні Base64, а також розпізнавальні імена кваліфікованих сертифікатів відкритих ключів, які використовуватимуться для надання таких послуг;
9) для зв’язку поточного статусу кваліфікованої електронної довірчої послуги, яка надається надавачем електронної довірчої послуги, із її попередніми статусами використовується ідентифікатор відкритого ключа, який застосовувався для надання такої послуги;
10) для ідентифікації кваліфікованих електронних довірчих послуг, відомості про які внесені до Довірчого списку на підставі рішення ЗЦ, у Довірчому списку використовуються такі поля:
Scheme service definition URI відповідно до пункту 5.5.6 ДСТУ ETSI TS 119 612:2016 «Електронні підписи та інфраструктури. Довірчі списки» (ETSI TS 119 612:2016, IDT), в якому містяться гіперпосилання на інформаційні вебсторінки на офіційному вебсайті ЦЗО (https://czo.gov.ua/nbulegislationua - українською мовою та https://czo.gov.ua/nbulegislationen - англійською мовою), де містяться посилання на нормативно-правові акти, вимогами яких керується кваліфікований надавач електронних довірчих послуг для надання кваліфікованої електронної довірчої послуги;
additionalServiceInformation Extention відповідно до пункту 5.5.9.4 ДСТУ ETSI TS 119 612:2016 «Електронні підписи та інфраструктури. Довірчі списки» (ETSI TS 119 612:2016, IDT), у якому міститься ознака відповідності надання зазначеної кваліфікованої електронної довірчої послуги вимогам, яким повинні відповідати кваліфіковані надавачі електронних довірчих послуг, внесені до Довірчого списку за поданням засвідчувального центру, у тому числі вимогам до їхніх програмно-технічних комплексів, встановленим Національним банком України відповідно до абзацу другого частини третьої статті 9 Закону, у вигляді наявності гіперпосилання https://czo.gov.ua/bankingandpayment.
3. У Довірчому списку дані зберігаються у форматі XML та відповідно до схеми Довірчого списку.
VII. Технічні вимоги до вебсторінок офіційного вебсайту центрального засвідчувального органу щодо публікації відомостей Довірчого списку
1. У день внесення змін до Довірчого списку ЦЗО публікує повідомлення про такі зміни на своєму офіційному вебсайті.
2. Довірчий список публікується на офіційному вебсайті ЦЗО у відповідному розділі та складається з таких частин:
файл Довірчого списку у форматі XML, у якому містяться відомості про кваліфікованих надавачів електронних довірчих послуг та їх кваліфіковані електронні довірчі послуги, надання яких передбачає використання алгоритмів електронного підпису, визначених ДСТУ ETSI TS 119 312:2015 «Електронні підписи й інфраструктури (ESI). Криптографічні комплекти» (ETSI TS 119 312:2014, IDT), а також значення геш-функції файлу, що обчислюється за алгоритмом, який використовувався під час накладення на Довірчий список електронної печатки ЦЗО;
файл Довірчого списку у форматі XML, в якому містяться відомості про кваліфікованих надавачів електронних довірчих послуг та їх кваліфіковані електронні довірчі послуги, надання яких передбачає використання алгоритмів електронного підпису, визначених ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння», а також значення геш-функції файлу, що обчислюється за алгоритмом, який використовувався під час накладення на Довірчий список електронної печатки ЦЗО.
3. Файл Довірчого списку, в якому містяться відомості про кваліфікованих надавачів електронних довірчих послуг та їх кваліфіковані електронні довірчі послуги, надання яких передбачає використання алгоритмів електронного підпису, визначених ДСТУ ETSI TS 119 312:2015 «Електронні підписи й інфраструктури (ESI). Криптографічні комплекти» (ETSI TS 119 312:2014, IDT), та відповідні йому значення геш-функції мають бути доступними за відповідними прямими посиланнями:
https://czo.gov.ua/download/tl/TL-UA.xml;
https://czo.gov.ua/download/tl/TL-UA.sha2.
4. Файл Довірчого списку, в якому містяться відомості про кваліфікованих надавачів електронних довірчих послуг та їх кваліфіковані електронні довірчі послуги, надання яких передбачає використання алгоритмів електронного підпису, визначених ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння», та відповідні йому значення геш-функції мають бути доступними за відповідними прямими посиланнями:
https://czo.gov.ua/download/tl/TL-UA-DSTU.xml;
https://czo.gov.ua/download/tl/TL-UA-DSTU.dstu.
VIII. Порядок доступу до Довірчого списку
1. Доступ до Довірчого списку, який розміщено на офіційному вебсайті ЦЗО, забезпечується через телекомунікаційні мережі загального користування цілодобово.
2. Інформація, яка міститься в Довірчому списку, є відкритою.
3. Кожна фізична або юридична особа має право на вільний та безоплатний доступ для завантаження Довірчого списку через офіційний вебсайт ЦЗО з метою ознайомлення або автоматизованої обробки.
4. Надання інформації з Довірчого списку на письмові запити органів державної влади, інших юридичних та фізичних осіб здійснюється ЦЗО у вигляді інформаційної довідки з Довірчого списку.
5. Адміністратор ІТС ЦЗО надає інформаційну довідку з Довірчого списку протягом не більше двох робочих днів з дня отримання запиту від ЦЗО.
6. Формат назви файлів інформаційної довідки з Довірчого списку:
TL-UA_РРРР-ММ-ДД.pdf або TL-UA-DSTU_РРРР-ММ-ДД.pdf.
IX. Забезпечення дотримання вимог цього Порядку
1. Адміністратор ІТС ЦЗО забезпечує:
своєчасне внесення відомостей до Довірчого списку та їх відповідність відомостям, отриманим від заявників та кваліфікованих надавачів електронних довірчих послуг;
здійснення заходів із супроводження програмного забезпечення Довірчого списку;
надання цілодобового доступу до Довірчого списку через телекомунікаційні мережі загальнодоступного користування;
здійснення матеріально-технічного та технологічного забезпечення ведення Довірчого списку;
здійснення комплексу програмних, технологічних та організаційних заходів щодо забезпечення захисту інформації, яка міститься у Довірчому списку, від несанкціонованого доступу;
резервування Довірчого списку;
придатність Довірчого списку до автоматизованої обробки.
2. Достовірність відомостей, що подаються до ЦЗО для внесення до Довірчого списку, забезпечують заявники, кваліфіковані надавачі електронних довірчих послуг в частині відомостей, що містяться у заявах.
3. В ІТС ЦЗО створюється комплексна система захисту інформації з підтвердженою відповідністю згідно зі статтею 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах».