Деякі питання електронної ідентифікації та електронних довірчих послуг
Відповідно до статей 41, 112, 13, 18, 20-23, 26-28 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
вимоги до надавачів послуг електронної ідентифікації та електронних довірчих послуг;
Порядок інформування контролюючого органу та користувачів послуг електронної ідентифікації, користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації;
Порядок перевірки інформації про осіб, яким видаються засоби електронної ідентифікації або кваліфіковані сертифікати відкритих ключів з використанням відомостей інформаційних систем та публічних електронних реєстрів;
Порядок використання псевдонімів фізичними особами, які є користувачами послуг електронної ідентифікації або електронних довірчих послуг;
Порядок проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг.
2. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.
ВИМОГИ
до надавачів послуг електронної ідентифікації та електронних довірчих послуг
1. Ці вимоги визначають організаційно-методологічні, технічні та технологічні умови, яких повинні дотримуватися надавачі послуг електронної ідентифікації, а також надавачі електронних довірчих послуг (кваліфіковані та некваліфіковані) (далі - надавачі довірчих послуг), у тому числі з безпеки та захисту інформації, та їх відокремлені пункти реєстрації під час надання послуг електронної ідентифікації та електронних довірчих послуг, а також працівники надавача довірчих послуг.
2. Дія цих вимог не поширюється на надання послуг електронної ідентифікації та електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” (далі - Закон).
3. У цих вимогах терміни вживаються в такому значенні:
1) геш-значення - фіксовані за обсягом електронні дані, створені шляхом перетворення електронних даних із застосуванням криптографічного алгоритма;
2) заявник - фізична особа, у тому числі іноземець та особа без громадянства, фізична особа - підприємець, юридична особа та їх уповноважені представники, що звернулися до надавача послуг електронної ідентифікації чи надавача довірчих послуг для отримання послуг електронної ідентифікації та електронних довірчих послуг;
3) інформаційно-комунікаційна система центрального засвідчувального органу - сукупність інформаційних та комунікаційних систем центрального засвідчувального органу, які у процесі обробки інформації діють як єдине ціле та використовуються під час надання електронних довірчих послуг та виконання інших повноважень, визначених статтями 7 та 71 Закону;
4) користувач засобу електронної ідентифікації - особа, якій надавач послуг електронної ідентифікації видав засіб електронної ідентифікації згідно із схемою, внесеною до переліку схем електронної ідентифікації;
5) онлайн-операція - будь-яка дія, що проводиться за допомогою електронних пристроїв в режимі реального часу та передбачає безперервне з’єднання засобами електронних комунікацій під час її проведення;
6) перевірка - виїзний захід державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, що здійснюється посадовими особами контролюючого органу відповідно до їх функціональних обов’язків за місцезнаходженням надавача довірчих послуг, центрального засвідчувального органу або засвідчувального центру;
7) політика сертифіката - набір правил, що застосовуються кваліфікованим надавачем електронних довірчих послуг (далі - кваліфікований надавач довірчих послуг) у процесі надання кваліфікованих електронних довірчих послуг з формування, перевірки та підтвердження чинності кваліфікованих сертифікатів відкритих ключів;
8) положення сертифікаційних практик - набір усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката кваліфікованого надавача довірчих послуг;
9) програмний інтерфейс центрального засвідчувального органу - складова інформаційно-комунікаційної системи центрального засвідчувального органу, яка дає змогу отримати або передати певний набір даних з/до електронного інформаційного ресурсу (забезпечення інтероперабельності) та забезпечує виконання інших повноважень, визначених статтями 7 та 71 Закону;
10) публікація кваліфікованого сертифіката відкритого ключа - надання кваліфікованого сертифіката відкритого ключа користувачеві та у разі його згоди - іншим особам шляхом розміщення такого сертифіката на веб-сайті надавача довірчих послуг;
11) список відкликаних сертифікатів відкритих ключів - сформований та опублікований надавачем довірчих послуг, центральним засвідчувальним органом/засвідчувальним центром перелік кваліфікованих сертифікатів відкритих ключів, статус яких змінено на заблокований, поновлений або скасований;
12) статус кваліфікованого сертифіката відкритого ключа - стан кваліфікованого сертифіката відкритого ключа (чинний, заблокований, скасований) на певний момент часу;
13) управління статусом сертифіката - зміна статусу кваліфікованого сертифіката відкритого ключа надавачем довірчих послуг.
4. Інші терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про електронні документи та електронний документообіг”, “Про електронні комунікації”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про основні засади забезпечення кібербезпеки України”, “Про регулювання містобудівної діяльності”, постанові Кабінету Міністрів України від 11 серпня 2023 р. № 844 “Про затвердження вимог до Довірчого списку” (Офіційний вісник України, 2023 р., № 79, ст. 4487) та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
5. Формування сертифікатів відкритих ключів повинне здійснюватися з дотриманням таких стандартів:
ДСТУ ISO/IEC 9594-8:2021 (ISO/IEC 9594-8:2020, IDT) “Інформаційні технології. Взаємозв'язок відкритих систем. Частина 8. Каталог. Структура сертифікатів відкритих ключів та атрибутів”;
ДСТУ ETSI EN 319 412-1:2021 (ETSI EN 319 412-1 V1.4.4 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 1. Огляд та типові структури даних”;
ДСТУ ETSI EN 319 412-2:2021 (ETSI EN 319 412-2 V2.2.1 (2020-07), IDT) “Електронні підписи та інфраструктури. (ESI). Профілі сертифікатів. Частина 2. Профілі сертифікатів, виданих фізичним особам”;
ДСТУ ETSI EN 319 412-3:2021 (ETSI EN 319 412-3 V1.2.1 (2020-07), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 3. Профілі сертифікатів, виданих юридичним особам”;
ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів”;
Кваліфіковані надавачі довірчих послуг мають право самостійно обирати щодо кожної послуги стандарти з переліку згідно з додатком, які можуть застосовувати для надання кваліфікованих електронних довірчих послуг.
Вимоги до надавачів послуг електронної ідентифікації
6. Надавач послуг електронної ідентифікації надає послугу електронної ідентифікації за схемою, внесеною до переліку схем електронної ідентифікації.
7. Надавачі послуг електронної ідентифікації під час видачі засобів електронної ідентифікації мають право здійснювати перевірку інформації, яка міститься у засобі електронної ідентифікації, який видається особі, з використанням відомостей інформаційних ресурсів єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до Закону України “Про публічні електронні реєстри”, отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації відповідно до статті 112 Закону.
8. Надання послуг електронної ідентифікації надавачами послуг електронної ідентифікації повинне здійснюватися з дотриманням таких стандартів:
ДСТУ EN ISO/IEC 29100:2022 (EN ISO/IEC 29100:2020, IDT; ISO/IEC 29100:2011, including Amd 1:2018, IDT) “Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя”;
ДСТУ ISO/IEC 29101:2018 (ISO/IEC 29101:2013, IDT) “Інформаційні технології. Методи захисту. Структура архітектури забезпечення прайвесі”;
ДСТУ ISO/IEC 19989-1:2023 (ISO/IEC 19989-1:2020, IDT) “Інформаційна безпека. Критерії та методологія оцінювання безпеки біометричних систем. Частина 1. Структура”;
ДСТУ ISO/IEC 19989-2:2023 (ISO/IEC 19989-2:2020, IDT) “Інформаційна безпека. Критерії та методологія оцінювання безпеки біометричних систем. Частина 2. Ефективність біометричного розпізнавання”;
ДСТУ ISO/IEC 24745:2023 (ISO/IEC 24745:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Захист біометричної інформації”;
ДСТУ ISO/IEC 30107-1:2023 (ISO/IEC 30107-1:2016, IDT) “Інформаційні технології. Виявлення атак на біометричне подання. Частина 1. Структура”;
ДСТУ ISO/IEC 30107-2:2023 (ISO/IEC 30107-2:2017, IDT) “Інформаційні технології. Виявлення атак на біометричне подання. Частина 2. Формати даних”;
ДСТУ ISO/IEC 30107-3:2023 (ISO/IEC 30107-3:2017, IDT) “Інформаційні технології. Виявлення атак на біометричне подання. Частина 3. Тестування та звітування”;
ДСТУ ISO/IEC 30107-4:2023 (ISO/IEC 30107-4:2020, IDT) “Інформаційні технології. Виявлення атак на біометричне подання. Частина 4. Профіль для тестування мобільних пристроїв”;
ДСТУ ISO/IEC 29146:2023 (ISO/IEC 29146:2016, IDT) “Інформаційні технології. Методи безпеки. Структура керування доступом”;
ДСТУ ISO/IEC 15408-1:2023 (ISO/IEC 15408-1:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та загальна модель”;
ДСТУ ISO/IEC 15408-2:2023 (ISO/IEC 15408-2:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 2. Функційні компоненти безпеки”;
ДСТУ ISO/IEC 15408-3:2023 (ISO/IEC 15408-3:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 3. Компоненти убезпечення”;
ДСТУ ISO/IEC 15408-4:2023 (ISO/IEC 15408-4:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 4. Структура для визначення методів оцінювання та діяльності”;
ДСТУ ISO/IEC 15408-5:2023 (ISO/IEC 15408-5:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 5. Попередньо визначені пакети вимог до безпеки”;
ДСТУ ISO/IEC 18045:2023 (ISO/IEC 18045:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Методологія оцінювання безпеки ІТ”;
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”;
ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки”;
ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки”;
ДСТУ ISO/IEC 27551:2023 (ISO/IEC 27551:2021, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Вимоги до автентифікації непов’язаних об’єктів на основі атрибутів”.
9. Надавачі послуг електронної ідентифікації забезпечують створення та функціонування свого веб-сайта.
10. Надавачі послуг електронної ідентифікації забезпечують розміщення на своєму веб-сайті актуальної інформації про умови отримання послуг електронної ідентифікації, а також можуть вести реєстрацію користувачів засобів електронної ідентифікації.
11. Надавачі послуг електронної ідентифікації під час надання послуг електронної ідентифікації повинні забезпечувати дотримання положень, визначених статтею 112 Закону.
12. Засоби електронної ідентифікації, що надаються надавачами послуг електронної ідентифікації в рамках відповідних схем електронної ідентифікації, повинні відповідати рівням довіри, визначеним статтею 15 Закону.
13. Надання засобів електронної ідентифікації надавачем послуг електронної ідентифікації, не внесених до переліку схем електронної ідентифікації, забороняється.
14. Реєстрація користувачів засобів електронної ідентифікації може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції з дотриманням вимог законодавства у сферах електронної ідентифікації та захисту інформації.
Вимоги до надавачів довірчих послуг та їх працівників
15. Вимоги до працівників надавачів довірчих послуг, їх обов’язки, а також процеси та регламентні процедури, що пов’язані з генерацією та зберіганням особистих ключів надавача довірчих послуг, визначаються з дотриманням таких стандартів:
ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг”;
ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”;
ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС”;
ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) “Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі”.
16. Кваліфікований надавач довірчих послуг для надання електронних довірчих послуг призначає розпорядчим актом керівника кваліфікованого надавача, адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки, аудитора системи (далі - працівники надавача довірчих послуг). Кваліфікований надавач довірчих послуг має право призначити розпорядчим актом заступника керівника кваліфікованого надавача довірчих послуг, який виконує функції керівника кваліфікованого надавача довірчих послуг у разі його відсутності або за його письмовим дорученням.
17. Працівникам надавача довірчих послуг забороняється суміщення посадових обов’язків адміністратора безпеки з посадами адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, аудитора системи.
18. Працівники надавача довірчих послуг повинні мати необхідні для надання електронних довірчих послуг знання, досвід і кваліфікацію.
Адміністратором сертифікації, системним адміністратором, аудитором системи може бути особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох років.
Адміністратором реєстрації може бути будь-яка фізична особа, яка має навички роботи з комп’ютерною технікою.
Адміністратором безпеки може бути особа, яка має стаж роботи у сфері захисту інформації або кібербезпеки не менше трьох років та відповідає хоча б одній з умов:
має вищу освіту за спеціальністю у сферах кібербезпеки та захисту інформації;
має вищу освіту за спеціальністю у сфері інформаційних технологій та отримала сертифікат про підвищення кваліфікації у сфері кібербезпеки та захисту інформації.
19. Організаційно-правовий статус керівника і працівників надавача довірчих послуг, їх завдання та функції, права та обов’язки, відповідальність, а також професійні знання, досвід і кваліфікація визначаються функціональними обов’язками.
Функціональні обов’язки повинні містити вимоги до рівня інформаційної безпеки.
20. Керівник і працівники надавача довірчих послуг повинні бути ознайомлені з положеннями, якими передбачені їх функціональні обов’язки, та дотримуватися завдань та функцій, визначених такими положеннями.
21. Діяльність кваліфікованих надавачів довірчих послуг здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку - для банків - кваліфікованих надавачів довірчих послуг, кваліфікованого надавача довірчих послуг, створеного Національним банком) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем довірчих послуг своїх зобов’язань або страхування відповідальності для забезпечення відшкодування такої шкоди у розмірі, визначеному частиною п’ятою статті 16 Закону.
Кваліфіковані надавачі довірчих послуг повинні підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання або розмір страхової суми в актуальному стані та у разі зміни розміру мінімальної заробітної плати або в разі відшкодування збитків, завданих користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання своїх зобов’язань, відновити його протягом трьох місяців з дня настання таких змін.
22. Кваліфікований надавач довірчих послуг надає кваліфіковані електронні довірчі послуги відповідно до вимог законодавства у сфері електронних довірчих послуг, а також регламенту роботи кваліфікованого надавача довірчих послуг (далі - регламент).
23. Регламент розробляється та затверджується до початку роботи кваліфікованого надавача довірчих послуг.
24. Структура регламенту, зокрема політика сертифіката та положення сертифікаційних практик, передбачені ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг”, ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”.
25. Регламент - для кваліфікованих надавачів довірчих послуг, зазначених в абзаці першому частини першої статті 9 Закону, підлягає обов’язковому погодженню з Мінцифри або із Національним банком (далі - орган погодження).
Регламент надсилається органу погодження в електронній формі з дотриманням вимог законодавства у сферах електронного документообігу, електронної ідентифікації та електронних довірчих послуг.
До Мінцифри регламент може надсилатися через програмний інтерфейс інформаційно-комунікаційної системи центрального засвідчувального органу.
До Національного банку регламент може надсилатися на адресу електронної пошти Національного банку або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку.
Строк погодження регламенту становить 30 календарних днів після його надходження.
Підставами для відмови у погодженні регламенту є:
виявлення в ньому недостовірних відомостей, неточностей, пошкоджень файла, які не дають змоги однозначно тлумачити зміст, виправлень або дописок;
невідповідність структури регламенту вимогам, зазначеним у пункті 24 цих вимог.
Процедура погодження проекту регламенту здійснюється безоплатно.
Керівник кваліфікованого надавача довірчих послуг затверджує регламент після погодження органом погодження та подає його органу погодження протягом десяти робочих днів з моменту затвердження.
Копію затвердженого регламенту орган погодження передає Адміністрації Держспецзв’язку протягом п’яти робочих днів з моменту його отримання.
26. Для погодження змін, що вносяться до регламенту, кваліфікований надавач довірчих послуг надсилає до органу погодження текст відповідних змін та порівняльну таблицю у спосіб, визначений у пункті 25 цих вимог. Порівняльна таблиця не надсилається у разі внесення змін до регламенту шляхом викладення його в новій редакції.
27. Кваліфікований надавач довірчих послуг самостійно визначає обсяг положень регламенту та інших документів, що підлягають розміщенню на його веб-сайті для ознайомлення користувачів електронних довірчих послуг з інформацією про умови отримання кваліфікованих електронних довірчих послуг.
28. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що додаються до неї, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, який має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі:
до Мінцифри - через програмний інтерфейс центрального засвідчувального органу;
до засвідчувального центру - на адресу електронної пошти Національного банку або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку.
29. Після вжиття вичерпних заходів для забезпечення ідентифікації та перевірки обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги, центральний засвідчувальний орган/засвідчувальний центр розглядає заяву про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, і за результатами їх розгляду приймає рішення в порядку та у строки, що встановлені Законом.
30. Перелік електронних довірчих послуг та кваліфікованих електронних довірчих послуг визначено частинами другою та третьою статті 16 Закону.
Кожна послуга, що входить до складу електронних довірчих послуг/кваліфікованих електронних довірчих послуг, може надаватися надавачем довірчих послуг окремо або разом.
31. Електронні довірчі послуги надаються користувачам електронних довірчих послуг з дотриманням вимог, визначених такими стандартами:
ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів провайдерами довірчих послуг, які підтримують цифрові підписи та пов’язані з ними послуги”;
ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг”;
ДСТУ ETSI TR 119 100:2017 (ETSI TR 119 100:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів для створення та валідації підпису”.
32. Ідентифікація заявника та перевірка обсягу його цивільної правоздатності та дієздатності здійснюється відповідно до вимог статті 22 Закону та відповідно до ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), “IDT Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги, а також ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС”, Порядку проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 28 червня 2024 р. № 764 “Деякі питання електронної ідентифікації та електронних довірчих послуг”.
33. Реєстрація користувачів може здійснюватися через відокремлені пункти реєстрації з дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, а для кваліфікованих надавачів довірчих послуг - з дотриманням вимог регламенту.
34. Кваліфікований надавач довірчих послуг повинен забезпечити створення можливості для ознайомлення заявників з інформацією про умови отримання кваліфікованої електронної довірчої послуги.
35. На своєму веб-сайті кваліфіковані надавачі довірчих послуг повинні забезпечити публікацію такої інформації:
1) відомості про кваліфікованого надавача довірчих послуг;
2) дані про внесення відомостей про кваліфікованого надавача довірчих послуг до Довірчого списку;
3) кваліфіковані сертифікати відкритих ключів кваліфікованого надавача довірчих послуг;
4) перелік кваліфікованих електронних довірчих послуг, які надає кваліфікований надавач довірчих послуг;
5) дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;
6) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;
7) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
8) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;
9) дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;
10) перелік актів законодавства у сфері електронних довірчих послуг.
Кваліфікований надавач довірчих послуг забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг, зокрема, шляхом розміщення відповідної інформації на веб-сайті кваліфікованого надавача довірчих послуг.
Інформація на веб-сайті кваліфікованого надавача довірчих послуг повинна бути доступною для осіб з інвалідністю.
36. Кваліфікований надавач довірчих послуг забезпечує вільний доступ до своїх приміщень, в яких здійснюється обслуговування користувачів, у тому числі шляхом створення належних умов для доступу до приміщень маломобільних груп населення.
Інформація про умови доступності таких приміщень для осіб з інвалідністю розміщується у місці, доступному для сприйняття користувачів.
37. Кваліфікований надавач довірчих послуг зобов’язаний щороку до 15 січня подавати до Адміністрації Держспецзв’язку звіт про діяльність за попередній рік, що містить відомості про:
1) кількість укладених договорів про надання електронних довірчих послуг (окремо з фізичними та юридичними особами);
2) кількість сформованих та скасованих кваліфікованих сертифікатів відкритих ключів за звітний період із зазначенням причин скасування (у разі коли кваліфікований надавач довірчих послуг забезпечує надання кваліфікованих електронних довірчих послуг, які передбачають обслуговування кваліфікованих сертифікатів відкритих ключів);
3) факти відшкодування шкоди користувачам електронних довірчих послуг та/або третім особам внаслідок неналежного виконання надавачем довірчих послуг своїх зобов’язань (у разі наявності);
4) факти участі кваліфікованого надавача довірчих послуг як позивача, відповідача або третьої сторони у судових справах з питань надання електронних довірчих послуг, предмет розгляду та прийняте рішення (у разі наявності);
5) факти порушення кваліфікованим надавачем довірчих послуг вимог законодавства у сфері захисту інформації під час надання електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень.
38. Центральний засвідчувальний орган/засвідчувальний центр надає кваліфіковані електронні довірчі послуги кваліфікованим надавачам довірчих послуг відповідно до регламенту роботи центрального засвідчувального органу/Регламенту роботи засвідчувального центру, цих вимог та з урахуванням положень, передбачених Законом.
39. Центральний засвідчувальний орган оприлюднює рішення про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про його прийняття представникові юридичної особи або фізичній особі - підприємцю, що має намір надавати кваліфіковані електронні довірчі послуги, з використанням засобів поштового зв’язку або в електронній формі через програмний інтерфейс центрального засвідчувального органу протягом трьох робочих днів з дня його прийняття.
Засвідчувальний центр оприлюднює інформацію про прийняте рішення щодо внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про прийняте рішення юридичну особу або фізичну особу - підприємця шляхом надсилання листа на адресу електронної пошти, зазначену у заяві про внесення до Довірчого списку, або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку протягом трьох робочих днів з дня його прийняття.
40. Кваліфікований надавач довірчих послуг у разі виникнення передбачених Законом підстав для внесення змін до Довірчого списку зобов’язаний протягом п’яти робочих днів із дня настання таких підстав подати органу, який приймав рішення про внесення відомостей про нього до Довірчого списку:
1) заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни;
2) документи для формування кваліфікованих сертифікатів ключів кваліфікованого надавача довірчих послуг (окремо для кожної кваліфікованої електронної довірчої послуги) відповідно до вимог регламенту органу, який приймав рішення про внесення відомостей про нього до Довірчого списку, якщо зміни відомостей, що містяться в Довірчому списку про такого кваліфікованого надавача довірчих послуг, пов’язані з формуванням нових сертифікатів ключів кваліфікованого надавача довірчих послуг.
41. Кваліфікований надавач довірчих послуг припиняє діяльність з надання кваліфікованих електронних довірчих послуг з підстав та в порядку, що визначені статтею 31 Закону.
42. Кваліфікований надавач довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, передає обслуговування користувачів електронних довірчих послуг, з якими він уклав договори про надання кваліфікованих електронних довірчих послуг, а також документовану інформацію про таких користувачів до іншого кваліфікованого надавача довірчих послуг в порядку, визначеному відповідно до частини шостої статті 31 Закону.
43. Кваліфіковані сертифікати відкритих ключів, що формуються кваліфікованими надавачами довірчих послуг, центральним засвідчувальним органом, засвідчувальним центром під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою - п’ятою статті 23 Закону, а також здійснюватися з дотриманням стандартів, визначених пунктом 5 цих вимог, та ДСТУ ETSI EN 319 412-5:2022 (ETSI EN 319 412-5 V2.3.1 (2020-04), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 5. Розширення сертифікатів QCStatements”.
44. Кваліфікований надавач довірчих послуг, центральний засвідчувальний орган, засвідчувальний центр, який видав кваліфікований сертифікат відкритого ключа, забезпечує доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа через комунікаційні мережі загального користування.
45. Час, що використовується надавачем довірчих послуг в інформаційно-комунікаційній системі надавача довірчих послуг у процесі надання електронних довірчих послуг та в журналах аудиту подій в електронній формі, повинен бути синхронізований із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA) з точністю до секунди.
Для кваліфікованих надавачів довірчих послуг, відомості про яких вносяться до Довірчого списку за рішенням центрального засвідчувального органу, послуги з постачання передачі сигналів точного часу, синхронізованого із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA), надаються центральним засвідчувальним органом.
Вимоги до синхронізації часу у програмно-технічних комплексах кваліфікованих надавачів довірчих послуг, зазначених в абзаці першому частини першої статті 9 Закону, встановлюються Національним банком.
46. Механізм синхронізації часу із Всесвітнім координованим часом (UTC) у програмно-технічному комплексі надавача довірчих послуг та склад технічного обладнання, що застосовується у процесі синхронізації часу (його загальний опис), встановлюється Порядком синхронізації часу із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA), що розробляється надавачем довірчих послуг.
Порядок синхронізації часу із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA) кваліфікованого надавача довірчих послуг, відомості про якого вносяться до Довірчого списку за рішенням центрального засвідчувального органу, погоджується з Мінцифри.
Вимоги до надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток, а також порядок перевірки їх дотримання
47. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печаток включає вчинення дій, передбачених частиною першою статті 18 Закону, а також здійснюється з дотриманням таких стандартів:
ДСТУ ETSI TR 119 000:2017 (ETSI TR 119 000:2016, IDT) “Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Огляд”;
ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) “Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів”;
ДСТУ ETSI TS 119 172-1:2016 (ETSI TS 119 172-1:2015, IDT) “Електронні підписи та інфраструктури (ESI). Політики підпису. Частина 1. Складники та зміст документів щодо політик підпису, придатних для читання людиною”;
ДСТУ ETSI TS 119 172-2:2021 (ETSI TS 119 172-2 V1.1.1 (2019-12), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 2. Формат XML для політики підписування”;
ДСТУ ETSI TS 119 172-4:2021 (ETSI TS 119 172-4 V1.1.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 4. Правила застосування підписів (політика перевірки) для європейських кваліфікованих електронних підписів/печаток із використанням довірчих списків”;
ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети”.
48. Під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованих електронних підписів чи печаток кваліфікованим надавачем довірчих послуг забезпечується:
1) використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;
2) захист обміну інформацією між підписувачем або створювачем електронної печатки та кваліфікованим надавачем довірчих послуг засобами електронних комунікаційних мереж загального користування;
3) створення умов для генерації пари ключів підписувача або створювача електронної печатки;
4) допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;
5) унікальність пари ключів підписувача або створювача електронної печатки;
6) зберігання особистого ключа підписувача або створювача електронної печатки у засобі кваліфікованого електронного підпису чи печатки;
7) захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.
49. У разі коли пара ключів була згенерована заявником поза приміщенням надавача довірчих послуг та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється кваліфікованим надавачем довірчих послуг після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа.
Перевірка факту володіння заявником особистим ключем здійснюється без розкриття його особистого ключа.
50. Генерацію та/або управління парою ключів від імені підписувача або створювача електронної печатки може здійснювати виключно кваліфікований надавач довірчих послуг.
51. Кваліфікований надавач довірчих послуг, який здійснює управління парою ключів підписувача або створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача або створювача електронної печатки з метою його зберігання за умови дотримання таких вимог:
1) рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;
2) кількість резервних копій не повинна перевищувати мінімального значення, необхідного для забезпечення безперервності послуги.
52. Кваліфікований електронний підпис чи печатка повинні відповідати таким вимогам:
1) бути однозначно пов’язаним (пов’язаною) з підписувачем або створювачем електронної печатки;
2) надавати можливість здійснити електронну ідентифікацію підписувача або створювача електронної печатки;
3) створюватися з використанням засобу кваліфікованого електронного підпису чи печатки;
4) базуватися на кваліфікованому сертифікаті відкритого ключа;
5) бути пов’язаним (пов’язаною) з електронними даними, на які накладено кваліфікований електронний підпис чи печатку, таким чином, щоб будь-яка наступна зміна таких даних могла бути виявлена.
53. Перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.
54. У процесі перевірки кваліфікованого електронного підпису чи печатки підтвердження таких підпису чи печатки здійснюється за умови дотримання вимог, визначених у частині другій статті 18 Закону та у пункті 52 цих вимог, на момент накладення підпису чи печатки на пов’язані електронні дані.
55. Надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга:
1) надається виключно кваліфікованим надавачем довірчих послуг;
2) відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток, визначеним у пункті 54 цих вимог;
3) дає змогу отримувати результати перевірки із застосуванням щонайменше удосконаленого електронного підпису чи печатки надавача довірчих послуг автоматизованим способом, який є надійним, ефективним та захищеним.
56. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснює контролюючий орган.
Функції контролюючого органу виконує Держспецзв’язку.
Контролюючий орган здійснює виїзні та невиїзні заходи державного нагляду (контролю).
Контролюючий орган може подати запит до органу з оцінки відповідності про надання аудиторського звіту щодо проведення процедури оцінки відповідності відповідно до вимог статті 32 Закону.
57. Контролюючий орган здійснює позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг у випадках, визначених частиною третьою статті 331 Закону.
У разі отримання негативних результатів оцінки відповідності та/або наданих органом з оцінки відповідності рекомендацій контролюючий орган вживає заходів, передбачених частиною першою статті 331 Закону.
58. Невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг контролюючий орган здійснює відповідно до статті 341 Закону.
59. Предметом перевірки надавача довірчих послуг, надавача послуг електронної ідентифікації, центрального засвідчувального органу або засвідчувального центру є стан дотримання ними вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.
Організація проведення перевірки контролюючим органом та оформлення її результатів здійснюються відповідно до статей 342 - 347 Закону.
60. Контролюючий орган за результатами проведення перевірок надавачів довірчих послуг, надавачів послуг електронної ідентифікації, засвідчувального центру, центрального засвідчувального органу вживає заходів реагування, передбачених статтями 332, 348 - 3410 Закону.
61. Контролюючий орган на підставах і в порядку, встановлених законами та міжнародними договорами України, співпрацює у межах своїх повноважень з уповноваженими органами іноземних держав, надає їм допомогу та звертається до них за отриманням допомоги з питань нагляду і контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг.
Вимоги до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також порядок перевірки їх дотримання
62. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає вчинення дій, передбачених частиною першою статті 20 Закону, а також здійснюється з дотриманням таких стандартів:
ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”;
ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС”.
63. Формування кваліфікованого сертифіката електронного підпису чи печатки заявника може здійснюватися кваліфікованим надавачем довірчих послуг на основі ідентифікаційних даних особи, отриманих з використанням відомостей інформаційних ресурсів єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до Закону України “Про публічні електронні реєстри”, отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації відповідно до частини першої статті 13 Закону.
64. У разі зміни відомостей, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, користувач електронних довірчих послуг протягом трьох робочих днів з дня настання таких змін повідомляє про це кваліфікованого надавача довірчих послуг.
На підставі наданих користувачем електронних довірчих послуг документів, що підтверджують зміни відомостей, які містяться у кваліфікованому сертифікаті електронного підпису чи печатки, кваліфікований надавач довірчих послуг здійснює повторне формування такого сертифіката та його публікацію в разі згоди користувача електронних довірчих послуг.
Повторне формування кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг не продовжує строк його дії.
65. Сформований кваліфікований сертифікат електронного підпису чи печатки користувача електронних довірчих послуг скасовується або блокується кваліфікованим надавачем довірчих послуг у разі наявності підстав, передбачених статтею 25 Закону.
Під час опрацювання заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачем довірчих послуг здійснюється ідентифікація та перевірка обсягу цивільної правоздатності і дієздатності користувача електронних довірчих послуг з дотриманням вимог щодо підтвердження особи, встановлених регламентом.
66. Кваліфікований сертифікат електронного підпису чи печатки користувача електронних довірчих послуг вважається скасованим або заблокованим з моменту зміни надавачем довірчих послуг статусу кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг на “скасований” або “заблокований”.
67. Користувач електронних довірчих послуг, статус кваліфікованого сертифіката електронного підпису чи печатки якого було змінено на “скасований” або “заблокований”, повинен невідкладно бути поінформований про таку зміну.
68. Скасований кваліфікований сертифікат електронного підпису чи печатки поновленню не підлягає.
69. Відомості про кваліфіковані сертифікати електронного підпису чи печатки, сформовані кваліфікованим надавачем довірчих послуг, їх статус та списки відкликаних сертифікатів відкритих ключів містяться у реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів.
70. Поширення інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів електронних довірчих послуг здійснюється шляхом публікації повного та часткового списків відкликаних сертифікатів відкритих ключів на веб-сайті кваліфікованого надавача довірчих послуг та забезпечення створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг у режимі реального часу через електронні комунікаційні мережі загального користування.
Список відкликаних сертифікатів відкритих ключів надавача довірчих послуг повинен відповідати таким вимогам:
у кожному списку відкликаних сертифікатів відкритих ключів зазначається строк його дії до формування нового списку, якщо інше не передбачено регламентом;
новий список відкликаних сертифікатів відкритих ключів може бути опубліковано до закінчення строку його дії та формування наступного списку;
на список відкликаних сертифікатів відкритих ключів повинен бути накладений кваліфікований електронний підпис чи печатка кваліфікованого надавача довірчих послуг.
71. Управління зміни статусу кваліфікованого сертифіката електронного підпису чи печатки та поширення відповідної інформації повинні бути доступні для користувача електронних довірчих послуг цілодобово.
72. Заява про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки фіксується та зберігається кваліфікованим надавачем довірчих послуг протягом строку, визначеного законодавством у сфері архівної справи для зберігання документованої інформації.
73. Кваліфікований надавач довірчих послуг повинен забезпечити цілісність та походження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки.
74. Формування кваліфікованого сертифіката електронного підпису чи печатки здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.
75. Кваліфіковані надавачі довірчих послуг отримують кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від центрального засвідчувального органу.
Кваліфіковані надавачі довірчих послуг, що вносяться до Довірчого списку за поданням засвідчувального центру, отримують кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від засвідчувального центру.
76. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки здійснюється у порядку, визначеному пунктами 56 - 61 цих вимог.
Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта, а також порядок перевірки їх дотримання
77. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта включає вчинення дій, передбачених частиною першою статті 21 Закону, з дотриманням вимог, визначених такими стандартами:
ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”;
ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС”;
ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів”.
78. Формування кваліфікованого сертифіката автентифікації веб-сайта здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.
79. Кваліфікований сертифікат автентифікації веб-сайта забезпечує:
1) автентифікацію власника веб-сайта - користувача кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта (далі - власник веб-сайта);
шифрування інформації, обмін якою здійснюється через Інтернет учасником онлайн-операції та веб-сайтом;
належного рівня довіри до власника веб-сайта щодо захисту від шахрайства в Інтернеті;
захисту особистої інформації та персональних даних учасника онлайн-операції під час проведення такої операції.
80. Перевірка кваліфікованого сертифіката автентифікації веб-сайта може проводитися будь-якою особою з метою отримання інформації про власника веб-сайта та чинності кваліфікованого сертифіката автентифікації веб-сайта.
81. Під час перевірки кваліфікованого сертифіката автентифікації веб-сайта особа, що проводить перевірку:
1) отримує з кваліфікованого сертифіката автентифікації веб-сайта інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити власника веб-сайта та кваліфікованого надавача довірчих послуг;
2) перевіряє кваліфікований електронний підпис чи печатку, накладені на кваліфікований сертифікат автентифікації веб-сайта, за допомогою кваліфікованого сертифіката відкритого ключа надавача довірчих послуг, чинного на момент формування кваліфікованого сертифіката автентифікації веб-сайта.
82. Кваліфікований сертифікат автентифікації веб-сайта вважається чинним у разі відповідності вимогам, установленим частиною першою статті 24 Закону.
83. Кваліфіковані надавачі довірчих послуг отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта від центрального засвідчувального органу.
84. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта проводиться у порядку, визначеному пунктами 56-61 цих вимог.
Особливості створення електронного підпису та електронної печатки іншого призначення
85. Кваліфіковані надавачі довірчих послуг можуть формувати та видавати кваліфіковані сертифікати відкритого ключа іншого призначення, ніж для автентифікації веб-сайта, створення електронного підпису та електронної печатки.
86. У запиті на формування кваліфікованих сертифікатів відкритого ключа іншого призначення користувач електронних довірчих послуг зазначає призначення такого ключа.
87. Процедура формування, блокування та скасування кваліфікованих сертифікатів відкритого ключа іншого призначення така сама, як і для сертифікатів електронного підпису та електронної печатки.
Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження кваліфікованої електронної позначки часу, а також порядок перевірки їх дотримання
88. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає вчинення дій, передбачених частиною першою статті 26 Закону, з дотриманням вимог, визначених такими стандартами:
ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг”;
ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) “Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі”;
ДСТУ ETSI EN 319 422:2016 (ETSI EN 319 422:2016, IDT) “Електронні підписи та інфраструктури. Протокол мітки часу та профілі токенів мітки часу”.
89. Перевірка кваліфікованої електронної позначки часу може проводитися будь-якою особою з метою отримання інформації про чинність кваліфікованої електронної позначки часу.
90. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження кваліфікованої електронної позначки часу проводиться у порядку, визначеному пунктами 56 - 61 цих вимог.
Вимоги до надання кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, а також порядок перевірки їх дотримання
91. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна відповідати вимогам, передбаченим частиною першою статті 27 Закону, та вимогам, визначеним такими стандартами:
ДСТУ ETSI EN 319 521:2019 (ETSI EN 319 521 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для зареєстрованих постачальників послуг електронної пошти”;
ДСТУ ETSI EN 319 522-1:2018 (ETSI EN 319 522-1:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 1. Модель та архітектура”;
ДСТУ ETSI EN 319 522-2:2018 (ETSI EN 319 522-2:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 2. Семантика вмісту”;
ДСТУ ETSI EN 319 522-3:2018 (ETSI EN 319 522-3:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 3. Формати”.
92. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна включати такі дії:
1) відправку електронних даних із забезпеченням доказів відправлення;
2) отримання електронних даних із забезпеченням доказів отримання.
93. Реєстрована електронна доставка здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг (відправника та/або отримувача електронних даних).
94. Перевірка електронних даних, що передаються у процесі реєстрованої електронної доставки, проводиться отримувачем електронних даних.
95. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги реєстрованої електронної доставки здійснюється у порядку, визначеному пунктами 56 - 61 цих Вимог.
Вимоги до надання кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, а також порядок перевірки їх дотримання
96. Кваліфікована електронна довірча послуга зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, повинна надаватися з дотриманням положень статті 28 Закону та стандартів ДСТУ ETSI TS 119 511:2019 (ETSI TS 119 511 V1.1.1 (2019-06), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг, що забезпечують тривале збереження цифрових підписів чи загальних даних, використовуючи методи цифрового підпису” та ДСТУ ETSI TS 119 512:2021 (ETSI TS 119 512 V1.1.2 (2020-10), IDT) “Електронні підписи та інфраструктури (ESI). Протоколи для постачальників довірчих послуг, що надають послуги довгострокового зберігання даних”.
97. Зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.
98. Під час надання кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів забезпечується:
1) цілісність усіх збережених об’єктів даних;
2) протоколювання подій щодо зміни, видалення або додавання об’єктів даних;
3) покладення відповідальності за їх зберігання на одного чи кількох працівників надавача довірчих послуг;
4) проведення перевірок дотримання зазначених вимог.
99. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, здійснюється у порядку, визначеному пунктами 56-61 цих вимог.
Перелік змін у наданні кваліфікованих електронних довірчих послуг, про які кваліфіковані надавачі довірчих послуг зобов’язані поінформувати контролюючий орган та центральний засвідчувальний орган або засвідчувальний центр
100. Кваліфіковані надавачі довірчих послуг зобов’язані поінформувати контролюючий орган та центральний засвідчувальний орган або засвідчувальний центр, зокрема, але не виключно у зв’язку із введенням надзвичайного стану, воєнного стану чи виникненням іншої надзвичайної ситуації, протягом 48 годин з моменту настання таких обставин про:
1) припинення надання однієї чи декількох кваліфікованих електронних довірчих послуг, відомості про які внесені до Довірчого списку;
2) зміни у складі інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг, які відбулися з порушенням вимог документа про відповідність надавача довірчих послуг, отриманого за результатами проходження процедури оцінки відповідності у сфері електронних довірчих послуг;
3) отримання атестата відповідності комплексної системи захисту інформації інформаційно-комунікаційної системи, що діє протягом визначеного в ньому строку дії, але не більше п’яти років з дня набрання чинності Законом;
4) проходження додаткової державної експертизи комплексної системи захисту інформації та отриманий атестат відповідності, що діє протягом визначеного в ньому строку дії, але не більше п’яти років з дня набрання чинності Законом, або про процедуру оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг в разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг;
5) зміну способів ідентифікації особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа;
6) зміну процедури формування, блокування, скасування, поновлення кваліфікованих сертифікатів відкритих ключів користувачів електронних довірчих послуг;
7) зміну процедури надання інформації про статус кваліфікованих сертифікатів відкритих ключів користувачів електронних довірчих послуг;
8) зміну умов використання засобів кваліфікованого електронного підпису чи печатки;
9) укладення договору страхування відповідальності або поповнення/списання коштів на поточному рахунку із спеціальним режимом використання в банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунку в Національному банку - для банків - кваліфікованих надавачів довірчих послуг, кваліфікованого надавача довірчих послуг, створеного Національним банком) для забезпечення відшкодування збитків, які можуть бути заподіяні кваліфікованим надавачем довірчих послуг користувачам електронних довірчих послуг внаслідок неналежного виконання своїх обов’язків.
101. Інформування контролюючого органу та центрального засвідчувального органу або засвідчувального центру про настання змін у діяльності кваліфікованого надавача довірчих послуг здійснюється в паперовій або в електронній формі.
Вимоги з безпеки та захисту інформації надавачів довірчих послуг та надавачів послуг електронної ідентифікації
102. Діяльність з безпеки та захисту інформації надавачів довірчих послуг та надавачів послуг електронної ідентифікації (відокремлених пунктів реєстрації) організовується, постійно підтримується та координується службою захисту інформації з дотриманням вимог законодавства у сфері захисту інформації, електронної ідентифікації та електронних довірчих послуг, регламенту, а також з дотриманням вимог таких стандартів:
ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”;
ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”;
ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів”;
ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів”;
ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису”;
ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису”;
ДСТУ ISO/IEC 19790:2015 (ISO/IEC 19790:2012, IDT) “Інформаційні технології. Методи захисту. Вимоги безпеки до криптографічних модулів”;
ДСТУ EN 419221-5:2018 (EN 419221-5:2018, IDT) “Профілі захисту для криптографічних модулів TSP. Частина 5. Криптографічний модуль для довірчих послуг”;
ДСТУ CEN/TS 419221-6:2021 (CEN/TS 419221-6:2019, IDT) “Умови застосування EN 419221-5 як кваліфікованого пристрою для створення електронного підпису або печатки”;
ДСТУ EN 419231:2021 (EN 419231:2019, IDT) “Профіль захисту для надійних систем, що підтримують відмітку часу”;
ДСТУ EN 419241-1:2021 (EN 419241-1:2018, IDT) “Надійні системи, що підтримують підписи серверів. Частина 1. Загальні вимоги щодо безпеки системи”;
ДСТУ EN 419241-2:2021 (EN 419241-2:2019, IDT) “Надійні системи, що підтримують підписи серверів. Частина 2. Профіль захисту для QSCD для підписів серверів”;
ДСТУ ETSI TS 119 431-1:2022 (ETSI TS 119 431-1 V1.2.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 1. Компоненти сервісу TSP, що працюють віддаленим QSCD/SCDev”;
ДСТУ ETSI TS 119 431-2:2019 (ETSI TS 119 431-2 V1.1.1 (2018-12), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 2. Компоненти сервісу TSP, що підтримують створення цифрового підпису AdES”;
ДСТУ ETSI TS 119 432:2022 (ETSI TS 119 432 V1.2.1 (2020-10), IDT) “Електронні підписи та інфраструктури (ESI). Протоколи віддаленого створення цифрового підпису”;
ДСТУ ETSI TS 119 495:2022 (ETSI TS 119 495 V1.5.1 (2021-04), IDT) “Електронні підписи та інфраструктури (ESI). Секторальні специфічні вимоги. Профілі сертифікатів і вимоги політики TSP для відкритого банківського обслуговування”;
ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”;
ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”;
ДСТУ 7564:2014 “Інформаційні технології. Криптографічний захист інформації. Функція ґешування”;
ДСТУ 7624:2014 “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення”;
ДСТУ ETSI TR 103 570:2022 (ETSI TR 103 570 V1.1.1 (2017-10), IDT) “Кібербезпека. Квантово-безпечний обмін ключами”;
ДСТУ ETSI TR 103 616:2022 (ETSI TR 103 616 V1.1.1 (2021-09), IDT) “Кібербезпека. Квантово-безпечні підписи”;
ДСТУ ETSI TR 103 823:2022 (ETSI TR 103 823 V1.1.2 (2021-10), IDT) “Кібербезпека. Квантово-безпечне шифрування з відкритим ключем та інкапсуляція ключів”;
ДСТУ ETSI TR 119 300:2016 (ETSI TR 119 300:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для криптографічних комплектів”;
ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети”;
ДСТУ ISO/IEC 14888-1:2015 (ISO/IEC 14888-1:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 1. Загальні положення”;
ДСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 2. Механізми, що ґрунтуються на факторизації цілих чисел”;
ДСТУ ISO/IEC 14888-3:2019 (ISO/IEC 14888-3:2018, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування”;
ДСТУ ISO/IEC 18032:2022 (ISO/IEC 18032:2020, IDT) “Інформаційні технології. Методи захисту. Генерування простого числа”;
ДСТУ ISO/IEC 18033-6:2022 (ISO/IEC 18033-6:2019, IDT) “Інформаційні технології. Методи захисту. Алгоритми шифрування. Частина 6. Гомоморфне шифрування”;
ДСТУ ISO/IEC 19772:2022 (ISO/IEC 19772:2020, IDT) “Інформаційна безпека. Автентифіковане шифрування”;
ДСТУ ISO/IEC 18045:2015 (ISO/IEC 18045:2008, IDT) “Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ”;
ДСТУ ISO/IEC 15408-1:2023 ISO/IEC 15408-1:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та загальна модель”;
ДСТУ ISO/IEC 15408-2:2023 (ISO/IEC 15408-2:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 2. Функційні компоненти безпеки”;
ДСТУ ISO/IEC 15408-3:2023 (ISO/IEC 15408-3:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 3. Компоненти убезпечення”;
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”;
ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки”;
ДСТУ ISO/IEC 27701:2022 (ISO/IEC 27701:2019, IDT) “Методи безпеки. Розширення до ISO/IEC 27001 та ISO/IEC 27002 для керування конфіденційною інформацією. Вимоги та настанови”;
ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки”.
103. Інформаційно-комунікаційні системи кваліфікованих надавачів довірчих послуг та надавачів послуг електронної ідентифікації, що використовуються ними під час надання послуг електронної ідентифікації та електронних довірчих послуг, повинні відповідати вимогам із захисту інформації шляхом впровадження комплексної системи захисту інформації або системи управління інформаційною безпекою з підтвердженою відповідністю з дотриманням вимог законодавства у сфері захисту інформації та цього розділу.
104. Надання кваліфікованих електронних довірчих послуг та здійснення реєстрації користувачів без дійсних документів, що підтверджують відповідність комплексної системи захисту інформації або системи управління інформаційною безпекою з підтвердженою відповідністю вимогам законодавства у сфері захисту інформації, забороняється.
105. Використання у засобах кваліфікованого електронного підпису криптографічних алгоритмів, визначених стандартами ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”; ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”; ДСТУ 7564:2014 “Інформаційні технології. Криптографічний захист інформації. Функція ґешування”; ДСТУ 7624:2014 “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення”, здійснюється у спосіб, визначений ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети”, шляхом вибору криптографічних параметрів відповідно до вимог щодо створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів, затверджених постановою Кабінету Міністрів України від 12 грудня 2023 р. № 1298 (Офіційний вісник України, 2024 р., № 7, ст. 326).
ПЕРЕЛІК СТАНДАРТІВ,
що застосовуються кваліфікованими надавачами електронних довірчих послуг для надання кваліфікованих електронних довірчих послуг
Стандарти, що визначають загальні вимоги до кваліфікованого надавача електронних довірчих послуг для надання кваліфікованих електронних довірчих послуг
1. ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів провайдерами довірчих послуг, які підтримують цифрові підписи та пов’язані з ними послуги”.
2. ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг”.
3. ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг”.
4. ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати”.
5. ДСТУ ETSI TS 119 403-3:2021 (ETSI TS 119 403-3 V1.1.1 (2019-03), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 3. Додаткові вимоги до органів оцінювання відповідності, які оцінюють кваліфікованих постачальників довірчих послуг в ЄС”.
6. ДСТУ ETSI TS 119 441:2019 (ETSI TS 119 441 V1.1.1 (2018-08), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги політики стосовно TSP, що надає послуги щодо перевірення підписів”.
7. ДСТУ ETSI TS 119 461:2022 (ETSI TS 119 461 V1.1.1 (2021-07), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки компонентів довірчих послуг, що забезпечують ідентифікацію особи суб’єктів довірчих послуг”.
8. ДСТУ ETSI TS 119 511:2019 (ETSI TS 119 511 V1.1.1 (2019-06), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг, що забезпечують тривале збереження цифрових підписів чи загальних даних, використовуючи методи цифрового підпису”.
9. ДСТУ ETSI TS 119 512:2021 (ETSI TS 119 512 V1.1.2 (2020-10), IDT) “Електронні підписи та інфраструктури (ESI). Протоколи для постачальників довірчих послуг, що надають послуги довгострокового зберігання даних”.
Стандарти, що визначають вимоги до Довірчого списку
10. ДСТУ ETSI TR 119 600:2016 (ETSI TR 119 600:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для провайдерів переліків стану довірчих послуг”.
11. ДСТУ ETSI TS 119 612:2016 (ETSI TS 119 612:2016, IDT) “Електронні підписи та інфраструктури. Довірчі списки”.
12. ДСТУ ETSI TS 119 614-1:2017 (ETSI TS 119 614-1:2016, IDT) “Електронні підписи та інфраструктури. Тестування довірених списків на відповідність та інтероперабельність. Частина 1. Специфікації для тестування на відповідність XML-подання довірених списків”.
13. ДСТУ ETSI TS 119 615:2021 (ETSI TS 119 615 V1.1.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Довірчі списки. Процедури використання та тлумачення національних довірчих списків держав - членів Європейського Союзу”.
Стандарти, що визначають вимоги до надання кваліфікованих електронних довірчих послуг, пов’язаних із створенням, перевіркою та підтвердженням електронних підписів, печаток, а також зберіганням кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів відкритих ключів
14. ДСТУ ETSI TR 119 000:2017 (ETSI TR 119 000:2016, IDT) “Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Огляд”.
15. ДСТУ ETSI TR 119 001:2017 (ETSI TR 119 001:2016, IDT) “Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Визначення понять та скорочення”.
16. ДСТУ ETSI TR 119 100:2017 (ETSI TR 119 100:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів для створення та валідації підпису”.
17. ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) “Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів”.
18. ДСТУ ETSI EN 319 102-1:2022 (ETSI EN 319 102-1 V1.3.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Процедури створення та перевірки цифрових підписів AdES. Частина 1. Формування та перевірка”.
19. ДСТУ ETSI TS 119 102-2:2022 (ETSI TS 119 102-2 V1.3.1 (2021-09), IDT) “Електронні підписи та інфраструктури (ESI). Процедури створення та перевірки цифрових підписів AdES. Частина 2. Звіт про перевірку підпису”.
20. ДСТУ ETSI TS 119 172-1:2016 (ETSI TS 119 172-1:2015, IDT) “Електронні підписи та інфраструктури (ESI). Політики підпису. Частина 1. Складники та зміст документів щодо політик підпису, придатних для читання людиною”.
21. ДСТУ ETSI TS 119 172-2:2021 (ETSI TS 119 172-2 V1.1.1 (2019-12), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 2. Формат XML для політики підписування”.
22. ДСТУ ETSI TS 119 172-3:2021 (ETSI TS 119 172-3 V1.1.1 (2019-12), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 3. Формат ASN.1 для політики підписування”.
23. ДСТУ ETSI TS 119 172-4:2021 (ETSI TS 119 172-4 V1.1.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 4. Правила застосування підписів (політика перевірки) для європейських кваліфікованих електронних підписів/печаток із використанням довірчих списків”.
24. ДСТУ ETSI TS 119 441:2019 (ETSI TS 119 441 V1.1.1 (2018-08), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги політики стосовно TSP, що надає послуги щодо перевірення підписів”.
25. ДСТУ ETSI TS 119 442:2021 (ETSI TS 119 442 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Профілі протоколів для постачальників довірчих послуг, що надають послуги перевірки цифрових підписів AdES”.
26. ДСТУ ETSI EN 319 122-1:2021 (ETSI EN 319 122-1 V1.2.1 (2021-10), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 1. Структурні блоки та базові підписи CAdES”.
27. ДСТУ ETSI EN 319 122-2:2021 (ETSI EN 319 122-2 V1.2.1 (2021-10), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 2. Розширені підписи CAdES”.
28. ДСТУ ETSI EN 319 102-1:2022 (ETSI EN 319 102-1 V1.3.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Процедури створення та перевірки цифрових підписів AdES. Частина 1. Формування та перевірка”.
29. ДСТУ ETSI EN 319 132-2:2021 (ETSI EN 319 132-2 V1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 2. Розширені підписи XAdES”.
30. ДСТУ ETSI EN 319 142-1:2016 (ETSI EN 319 142-1:2016, IDT) “Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 1. Структурні елементи та базові PAdES підписи”.
31. ДСТУ ETSI EN 319 142-2:2016 (ETSI EN 319 142-2:2016, IDT) “Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 2. Додаткові профілі підписів PAdES”.
32. ДСТУ ETSI EN 319 162-1:2021 (ETSI EN 319 162-1 V1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 1. Структурні блоки та базові контейнери ASiC”.
33. ДСТУ ETSI EN 319 162-2:2021 (ETSI EN 319 162-2 V.1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 2. Додаткові контейнери ASiC”.
34. ДСТУ ETSI TS 119 132-3:2022 (ETSI TS 119 132-3 V1.1.1 (2021-01), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 3. Уведення механізмів синтаксису запису доказів (ERS) у XAdES”.
35. ДСТУ ETSI TS 119 182-1:2022 (ETSI TS 119 182-1 V1.1.1 (2021-03), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи JAdES. Частина 1. Структурні блоки та базові підписи JAdES”.
36. ДСТУ ETSI TS 119 192:2022 (ETSI TS 119 192 V1.1.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Уніфікований ідентифікатор ресурсу, пов’язаний з AdES”.
37. ДСТУ ETSI TS 102 778-1:2015 (ETSI TS 102 778-1:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 1. Огляд серії PAdES - базові принципи PAdES”.
38. ДСТУ ETSI TS 102 778-2:2015 (ETSI TS 102 778-2:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 2. Базовий PAdES - профілі, що базуються на ISO 32000-1”.
39. ДСТУ ETSI TS 102 778-3:2015 (ETSI TS 102 778-3:2010, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 3. Посилений PAdES - профілі PAdES-BES і PadES-EPES”.
40. ДСТУ ETSI TS 102 778-4:2015 (ETSI TS 102 778-4:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 4. Довгостроковий PAdES - профіль PAdES LTV”.
41. ДСТУ ETSI TS 102 778-5:2015 (ETSI TS 102 778-5:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 5. PAdES для XML контенту - профілі для підписів XAdES”.
Стандарти, що визначають вимоги до надання кваліфікованих електронних довірчих послуг, пов’язаних з формуванням, перевіркою та підтвердженням чинності кваліфікованих сертифікатів електронного підпису, печатки, автентифікації веб-сайта
42. ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги”.
43. ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС”.
44. ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів”.
45. ДСТУ ETSI TR 119 411-4:2021 (ETSI TR 119 411-4 V1.1.1 (2018-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг, які видають сертифікати. Частина 4. Контрольний список підтримки аудиту TSP на відповідність ETSI EN 319 411-1 чи ETSI EN 319 411-2”.
Стандарти, що визначають вимоги до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження кваліфікованої електронної позначки часу
46. ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) “Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі”.
47. ДСТУ ETSI EN 319 422:2016 (ETSI EN 319 422:2016, IDT) “Електронні підписи та інфраструктури. Протокол мітки часу та профілі токенів мітки часу”.
Стандарти, що визначають вимоги до засобів кваліфікованого електронного підпису чи печатки
48. ДСТУ EN 419211-1:2016 (EN 419211-1:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 1. Огляд”.
49. ДСТУ EN 419211-2:2016 (EN 419211-2:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 2. Пристрій з генерацією ключів”.
50. ДСТУ EN 419211-3:2016 (EN 419211-3:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 3. Пристрій з імпортом ключів”.
51. ДСТУ EN 419211-4:2016 (EN 419211-4:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 4. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування генерації сертифікатів”.
52. ДСТУ EN 419211-5:2016 (EN 419211-5:2013, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 5. Розширення для пристроїв з генерацією ключів та довіреним каналом для застосування створення підпису”.
53. ДСТУ EN 419211-6:2016 (EN 419211-6:2014, IDT) “Профілі захисту для пристроїв створення безпечного підпису. Частина 6. Розширення для пристроїв з імпортом ключів та довіреним каналом для застосування створення підпису”.
54. ДСТУ ISO/IEC 19790:2015 (ISO/IEC 19790:2012, IDT) “Інформаційні технології. Методи захисту. Вимоги безпеки до криптографічних модулів”.
55. ДСТУ EN 419221-5:2018 (EN 419221-5:2018, IDT) “Профілі захисту для криптографічних модулів TSP. Частина 5. Криптографічний модуль для довірчих послуг”.
56. ДСТУ CEN/TS 419221-6:2021 (CEN/TS 419221-6:2019, IDT) “Умови застосування EN 419221-5 як кваліфікованого пристрою для створення електронного підпису або печатки”.
57. ДСТУ EN 419231:2021 (EN 419231:2019, IDT) “Профіль захисту для надійних систем, що підтримують відмітку часу”.
58. ДСТУ EN 419241-1:2021 (EN 419241-1:2018, IDT) “Надійні системи, що підтримують підписи серверів. Частина 1. Загальні вимоги щодо безпеки системи”.
59. ДСТУ EN 419241-2:2021 (EN 419241-2:2019, IDT) “Надійні системи, що підтримують підписи серверів. Частина 2. Профіль захисту для QSCD для підписів серверів”.
60. ДСТУ ETSI TS 119 431-1:2022 (ETSI TS 119 431-1 V1.2.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 1. Компоненти сервісу TSP, що працюють віддаленим QSCD/SCDev”.
61. ДСТУ ETSI TS 119 431-2:2019 (ETSI TS 119 431-2 V1.1.1 (2018-12), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг. Частина 2. Компоненти сервісу TSP, що підтримують створення цифрового підпису AdES”.
62. ДСТУ ETSI TS 119 432:2022 (ETSI TS 119 432 V1.2.1 (2020-10), IDT) “Електронні підписи та інфраструктури (ESI). Протоколи віддаленого створення цифрового підпису”.
63. ДСТУ ETSI TS 119 495:2022 (ETSI TS 119 495 V1.5.1 (2021-04), IDT) “Електронні підписи та інфраструктури (ESI). Секторальні специфічні вимоги. Профілі сертифікатів і вимоги політики TSP для відкритого банківського обслуговування”.
Стандарти, що визначають вимоги до кваліфікованих сертифікатів відкритих ключів
64. ДСТУ ISO/IEC 9594-8:2021 (ISO/IEC 9594-8:2020, IDT) “Інформаційні технології. Взаємозв’язок відкритих систем. Частина 8. Каталог. Структура сертифікатів відкритих ключів та атрибутів”.
65. ДСТУ ETSI EN 319 412-1:2021 (ETSI EN 319 412-1 V1.4.4 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 1. Огляд та типові структури даних”.
66. ДСТУ ETSI EN 319 412-2:2021 (ETSI EN 319 412-2 V2.2.1 (2020-07), IDT) “Електронні підписи та інфраструктури. (ESI). Профілі сертифікатів. Частина 2. Профілі сертифікатів, виданих фізичним особам”.
67. ДСТУ ETSI EN 319 412-3:2021 (ETSI EN 319 412-3 V1.2.1 (2020-07), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 3. Профілі сертифікатів, виданих юридичним особам”.
68. ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів”.
69. ДСТУ ETSI EN 319 412-5:2022 (ETSI EN 319 412-5 V2.3.1 (2020-04), IDT) “Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 5. Розширення сертифікатів QCStatements”.
Стандарти, що визначають вимоги до надання кваліфікованої електронної довірчої послуги з реєстрованої електронної доставки
70. ДСТУ ETSI EN 319 521:2019 (ETSI EN 319 521 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для зареєстрованих постачальників послуг електронної пошти”.
71. ДСТУ ETSI EN 319 522-1:2018 (ETSI EN 319 522-1:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 1. Модель та архітектура”.
72. ДСТУ ETSI EN 319 522-2:2018 (ETSI EN 319 522-2:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 2. Семантика вмісту”.
73. ДСТУ ETSI EN 319 522-3:2018 (ETSI EN 319 522-3:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 3. Формати”.
74. ДСТУ ETSI EN 319 522-4-1:2021 (ETSI EN 319 522-4-1 V1.2.1 (2019-01), IDT) “Електронні підписи та інфраструктури (ESI). Електронні послуги реєстрованого доставляння. Частина 4. Прив’язки. Секція 1. Прив’язки доставляння повідомлень”.
75. ДСТУ ETSI TS 119 524-1:2021 (ETSI TS 119 524-1 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Перевірка відповідності та функційної сумісності електронних послуг реєстрованого доставляння. Частина 1. Перевірка відповідності”.
76. ДСТУ ETSI TS 119 524-2:2021 (ETSI TS 119 524-2 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Перевірка відповідності та функційної сумісності електронних послуг реєстрованого доставляння. Частина 2. Набори для тестування на функційну сумісність постачальників електронних послуг реєстрованого доставляння”.
77. ДСТУ ETSI EN 319 522-4-2:2018 (ETSI EN 319 522-4-2:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив’язки. Секція 2. Прив’язки доказів та ідентифікації”.
78. ДСТУ ETSI EN 319 522-4-3:2018 (ETSI EN 319 522-4-3:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 4. Прив’язки. Секція 3. Прив’язка можливостей/вимог”.
79. ДСТУ ETSI EN 319 531:2019 (ETSI EN 319 531 V1.1.1 (2019-01), IDT) “Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для провайдерів служби реєстрованої електронної пошти”.
80. ДСТУ ETSI EN 319 532-1:2018 (ETSI EN 319 532-1:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 1. Модель та архітектура”.
81. ДСТУ ETSI EN 319 532-2:2018 (ETSI EN 319 532-2:2018, IDT) “Електронні підписи та інфраструктури (ESI). Служби реєстрованої електронної пошти (REM). Частина 2. Семантика вмісту”.
82. ДСТУ ETSI EN 319 532-3:2022 (ETSI EN 319 532-3 V1.2.1 (2019-04), IDT) “Електронні підписи та інфраструктури (ESI). Послуги зареєстрованої електронної пошти (REM). Частина 3. Формати”.
83. ДСТУ ETSI EN 319 532-4:2022 (ETSI EN 319 532-4 V1.2.1 (2022-05), IDT) “Електронні підписи та інфраструктури (ESI). Послуги зареєстрованої електронної пошти (REM). Частина 4. Профілі сумісності”.
84. ДСТУ ETSI TS 119 534-1:2021 (ETSI TS 119 534-1 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Перевірка відповідності та функційної сумісності реєстрованих послуг електронної пошти. Частина 1. Перевірка відповідності”.
85. ДСТУ ETSI TS 119 534-2:2021 (ETSI TS 119 534-2 V1.1.1 (2019-02), IDT) “Електронні підписи та інфраструктури (ESI). Перевірка відповідності та функційної сумісності реєстрованих послуг електронної пошти. Частина 2. Набори для тестування на сумісність постачальників, що використовують однаковий формат та транспортні протоколи”.
Стандарти, що визначають вимоги до криптографічного захисту інформації
86. ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”.
87. ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”.
88. ДСТУ 7564:2014 “Інформаційні технології. Криптографічний захист інформації. Функція ґешування”.
89. ДСТУ 7624:2014 “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення”.
90. ДСТУ ETSI TR 103 570:2022 (ETSI TR 103 570 V1.1.1 (2017-10), IDT) “Кібербезпека. Квантово-безпечний обмін ключами”.
91. ДСТУ ETSI TR 103 616:2022 (ETSI TR 103 616 V1.1.1 (2021-09), IDT) “Кібербезпека. Квантово-безпечні підписи”.
92. ДСТУ ETSI TR 103 823:2022 (ETSI TR 103 823 V1.1.2 (2021-10), IDT) “Кібербезпека. Квантово-безпечне шифрування з відкритим ключем та інкапсуляція ключів”.
93. ДСТУ ETSI TR 119 300:2016 (ETSI TR 119 300:2016, IDT) “Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для криптографічних комплектів”.
94. ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети”.
95. ДСТУ ISO/IEC 14888-1:2015 (ISO/IEC 14888-1:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 1. Загальні положення”.
96. ДСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 2. Механізми, що ґрунтуються на факторизації цілих чисел”.
97. ДСТУ ISO/IEC 14888-3:2019 (ISO/IEC 14888-3:2018, IDT) “Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі дискретного логарифмування”.
98. ДСТУ ISO/IEC 18032:2022 (ISO/IEC 18032:2020, IDT) “Інформаційні технології. Методи захисту. Генерування простого числа”.
99. ДСТУ ISO/IEC 18033-6:2022 (ISO/IEC 18033-6:2019, IDT) “Інформаційні технології. Методи захисту. Алгоритми шифрування. Частина 6. Гомоморфне шифрування”.
100. ДСТУ ISO/IEC 19772:2022 (ISO/IEC 19772:2020, IDT) “Інформаційна безпека. Автентифіковане шифрування”.
Стандарти, що визначають вимоги до інформаційної безпеки
101. ДСТУ ISO/IEC 18045:2015 (ISO/IEC 18045:2008, IDT) “Інформаційні технології. Методи захисту. Методологія оцінювання безпеки ІТ”.
102. ДСТУ ISO/IEC 15408-1:2023 (ISO/IEC 15408-1:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та загальна модель”.
103. ДСТУ ISO/IEC 15408-2:2023 (ISO/IEC 15408-2:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 2. Функційні компоненти безпеки”.
104. ДСТУ ISO/IEC 15408-3:2023 (ISO/IEC 15408-3:2022, IDT) “Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 3. Компоненти убезпечення”.
105. ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”.
106. ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки”.
107. ДСТУ ISO/IEC 27701:2022 (ISO/IEC 27701:2019, IDT) “Методи безпеки. Розширення до ISO/IEC 27001 та ISO/IEC 27002 для керування конфіденційною інформацією. Вимоги та настанови”.
108. ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки”.
Стандарти щодо тестування інтероперабельності
109. ДСТУ ETSI SR 003 186:2017 (ETSI SR 003 186:2016, IDT) “Електронні підписи та інфраструктури (ESI). Тестування інтероперабельності та заходи, необхідні для імплементації та популяризації моделі цифрових підписів”.
110. ДСТУ ETSI TS 119 124-4:2017 (ETSI TS 119 124-4:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Перевірка на відповідність і інтероперабельність. Частина 4. Тестування на відповідність базових підписів CAdES”.
111. ДСТУ ETSI TR 119 134-1:2017 (ETSI TR 119 134-1:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 1. Огляд”.
112. ДСТУ ETSI TS 119 134-2:2017 (ETSI TS 119 134-2:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність Частина 2. Набори тестів для тестування інтероперабельності базових підписів XAdES”.
113. ДСТУ ETSI TS 119 134-3:2017 (ETSI TS 119 134-3:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність Частина 3. Набори тестів для тестування інтероперабельності посилених підписів XAdES”.
114. ДСТУ ETSI TS 119 134-4:2017 (ETSI TS 119 134-4:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність Частина 4. Тестування на відповідність базовим підписам XAdES”.
115. ДСТУ ETSI TS 119 134-5:2017 (ETSI TS 119 134-5:2016; IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Тестування на відповідність та інтероперабельність. Частина 5. Тестування на відповідність посилених підписів XAdES”.
116. ДСТУ ETSI TR 119 144-1:2017 (ETSI TR 119 144-1:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 1. Огляд”.
117. ДСТУ ETSI TS 119 144-2:2017 (ETSI TS 119 144-2:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 2. Набори тестів для тестування інтероперабельності базових підписів PAdES”.
118. ДСТУ ETSI TS 119 144-3:2017 (ETSI TS 119 144-3:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 3. Набори тестів для тестування інтероперабельності додаткових підписів PAdES”.
119. ДСТУ ETSI TS 119 144-4:2017 (ETSI TS 119 144-4:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 4. Тестування відповідності базових підписів PAdES”.
120. ДСТУ ETSI TS 119 144-5:2017 (ETSI TS 119 144-5:2016, IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи PAdES. Тестування відповідності та інтероперабельності. Частина 5. Тестування відповідності додаткових підписів PAdES”.
ПОРЯДОК
інформування контролюючого органу та користувачів послуг електронної ідентифікації, користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації
1. Цей Порядок визначає механізм інформування контролюючого органу та користувачів послуг електронної ідентифікації, користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації під час надання послуг електронної ідентифікації або електронних довірчих послуг.
2. Дія цього Порядку не поширюється на здійснення електронної ідентифікації та надання електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” (далі - Закон).
3. У цьому Порядку терміни вживаються в такому значенні:
порушення конфіденційності та/або цілісності інформації - будь-яка ідентифікована подія в інформаційно-комунікаційній системі надавача послуг електронної ідентифікації та надавача електронних довірчих послуг, яка свідчить про можливе порушення політики інформаційної безпеки або відмову засобів захисту чи раніше невідому ситуацію, що може призвести до витоку персональних даних користувачів або несанкціонованої модифікації інформації в інформаційно-комунікаційній системі;
конфіденційність інформації - властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем інформаційно-комунікаційної системи та/або процесом;
цілісність інформації - властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем інформаційно-комунікаційної системи та/або процесом.
Інформація зберігає конфіденційність, якщо дотримуються встановлені правила інформаційної безпеки відносно доступу до неї.
Інформація зберігає цілісність, якщо дотримуються встановлені правила з інформаційної безпеки відносно її модифікації (видалення).
4. Інші терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про інформацію”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про захист персональних даних” та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
5. Конфіденційною є інформація, визначена частиною другою статті 21 Закону України “Про інформацію”.
6. Інформування контролюючого органу та користувачів про порушення конфіденційності та/або цілісності інформації здійснюється з метою своєчасного забезпечення захисту персональних даних користувачів послуг електронної ідентифікації або електронних довірчих послуг та запобігання витоку персональних даних користувачів або несанкціонованої модифікації інформації в інформаційно-комунікаційній системі.
7. У разі коли надавачам послуг електронної ідентифікації та надавачам електронних довірчих послуг стало відомо про порушення конфіденційності та/або цілісності інформації, що впливають на надання послуг електронної ідентифікації або електронних довірчих послуг чи стосуються персональних даних користувачів зазначених послуг, такі надавачі:
1) не пізніше ніж протягом 24 годин з моменту, коли їм стало відомо про таке порушення, надсилають повідомлення контролюючому органу та в разі необхідності органу з питань захисту персональних даних в електронній формі з накладенням кваліфікованого електронного підпису керівника організації або уповноваженої особи надавача послуг електронної ідентифікації або надавача електронних довірчих послуг;
2) не пізніше ніж протягом двох годин з моменту, коли їм стало відомо про таке порушення, розміщують на своєму веб-сайті інформацію про порушення конфіденційності та/або цілісності інформації та повідомляють про це технічними засобами електронної комунікації всім користувачам послуг електронної ідентифікації або електронних довірчих послуг.
8. Повідомлення (інформація), що надсилається до контролюючого органу, повинне містити:
короткий виклад обставин, що можуть свідчити про вчинення порушення, дату і час його вчинення або дату і час його виявлення;
відомості про користувачів послуг електронної ідентифікації або електронних довірчих послуг, яким завдано або може бути заподіяно шкоди (завдано збитків) (за наявності);
відомості про завдання або можливого завдання шкоди (збитків) іншим суб’єктам, що провадять діяльність у сферах електронної ідентифікації та електронних довірчих послуг;
інші відомості, які мають значення для розгляду повідомлення (інформації).
9. До повідомлення (інформації) що надсилається до контролюючого органу, додаються (за наявності):
засвідчені в установленому порядку копії документів, які можуть свідчити про порушення конфіденційності та/або цілісності інформації;
матеріали фотозйомки, звуко-, відеозапису та інші носії інформації, у тому числі електронні, що можуть свідчити про порушення конфіденційності та/або цілісності інформації;
інші матеріали, які мають значення для розгляду повідомлення (інформації).
ПОРЯДОК
перевірки інформації про осіб, яким видаються засоби електронної ідентифікації або кваліфіковані сертифікати відкритих ключів з використанням відомостей інформаційних систем та публічних електронних реєстрів
1. Цей Порядок визначає механізм надання надавачами послуг електронної ідентифікації та кваліфікованими надавачами електронних довірчих послуг (далі - кваліфіковані надавачі довірчих послуг), які можуть проводити перевірку інформації про осіб, яким видаються засоби електронної ідентифікації або кваліфіковані сертифікати відкритих ключів, з використанням відомостей, інформаційних ресурсів єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, Єдиного державного демографічного реєстру та документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус, а також інформації, отриманої відповідно до Закону України “Про публічні електронні реєстри” у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації.
2. Дія цього Порядку не поширюється на здійснення електронної ідентифікації та надання електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”.
3. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про публічні електронні реєстри”, постанові Кабінету Міністрів України від 8 вересня 2016 р. № 606 “Деякі питання електронної взаємодії електронних інформаційних ресурсів” (Офіційний вісник України, 2016 р., № 73, ст. 2455; 2021 р., № 52, ст. 3216) та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
4. Об’єктом перевірки є інформація про фізичних осіб, у тому числі іноземців та осіб без громадянства, фізичних осіб - підприємців, юридичних осіб, уповноважених представників юридичних осіб, іноземних юридичних осіб або фізичних осіб - підприємців (далі - особи), ідентифікаційні дані яких міститимуться у засобах електронної ідентифікації або кваліфікованих сертифікатах відкритих ключів.
5. Видача засобу електронної ідентифікації здійснюється надавачем послуг електронної ідентифікації в день звернення користувача послуг електронної ідентифікації на основі ідентифікаційних даних особи, одержаних від користувача послуг електронної ідентифікації під час його реєстрації відповідно до вимог до засобів електронної ідентифікації в контексті схеми електронної ідентифікації та процедури, що застосовуються для визначення рівня довіри до засобів електронної ідентифікації відповідно до частини четвертої статті 15 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”.
6. Формування кваліфікованого сертифіката електронного підпису чи печатки заявника здійснюється кваліфікованим надавачем довірчих послуг на основі ідентифікаційних даних особи, одержаних від заявника, та згідно з вимогами до надавачів довірчих послуг (у тому числі вимогами щодо безпеки та захисту інформації та вимогами до працівників надавача довірчих послуг) та їх відокремлених пунктів реєстрації, встановленими частиною шостою статті 13 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”.
7. Для підтвердження одержаних ідентифікаційних даних надавачі послуг електронної ідентифікації та кваліфіковані надавачі довірчих послуг можуть провести перевірку інформації про осіб з використанням відомостей з інформаційних ресурсів (далі - перевірка інформації) єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, в тому числі Державного реєстру актів цивільного стану громадян про державну реєстрацію смерті, а також інших публічних електронних реєстрів відповідно до Закону України “Про публічні електронні реєстри” (далі - інформаційні системи та реєстри), отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації.
8. Надавачі послуг електронної ідентифікації під час видачі засобів електронної ідентифікації, а також кваліфіковані надавачі довірчих послуг під час формування та видачі кваліфікованих сертифікатів відкритих ключів мають право проводити перевірку ідентифікаційних даних осіб, яким видаються такі засоби або кваліфіковані сертифікати відкритих ключів (далі - користувачі), за інформаційними ресурсами інформаційних систем та реєстрів.
Зазначені ідентифікаційні дані надаються особами одним з таких способів:
віддалено з використанням засобу електронної ідентифікації, що має високий або середній рівень довіри;
з використанням відеоверифікації з дотриманням вимог законодавства у сферах захисту інформації, електронної ідентифікації та електронних довірчих послуг;
за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованому та виданому відповідно до закону, за умови його чинності;
з використанням інших способів ідентифікації, визначених законом.
9. Надавачі послуг електронної ідентифікації та кваліфіковані надавачі довірчих послуг встановлюють належність ідентифікаційних даних особі одним із таких способів:
за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
з використанням інформації, що міститься в інформаційних системах та реєстрах;
за інформацією з торговельного, банківського, судового реєстрів, які ведуться країною резидентства іноземної юридичної особи, перелік яких розміщує на своєму офіційному веб-сайті центральний засвідчувальний орган, або за документом, виданим відповідно до законодавства іноземної держави, легалізованим (консульська легалізація чи проставлення апостиля) відповідно до законодавства у сфері легалізації офіційних документів, якщо інше не встановлено законом або міжнародними договорами України.
10. Для суб’єктів, визначених абзацом другим частини четвертої статті 153 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”, приєднання до інтегрованої системи електронної ідентифікації та використання її ресурсів здійснюється безоплатно.
11. Адміністратор та технічний адміністратор інтегрованої системи електронної ідентифікації забезпечують проведення перевірки інформації про осіб за даними інформаційних систем та реєстрів шляхом електронної інформаційної взаємодії з публічними електронними реєстрами відповідно до Закону України “Про публічні електронні реєстри”.
12. Адміністратор та технічний адміністратор інтегрованої системи електронної ідентифікації щодо надавачів послуг електронної ідентифікації та кваліфікованих надавачів довірчих послуг виконує функції оператора надання доступу до реєстрової інформації у значенні, наведеному в Законі України “Про публічні електронні реєстри”.
13. Перевірка інформації про осіб за даними інформаційних систем та реєстрів проводиться після проходження електронної ідентифікації та автентифікації осіб в інтегрованій системі електронної ідентифікації.
14. У разі проведення успішної перевірки інформації про осіб за даними інформаційних систем та реєстрів надавач послуг електронної ідентифікації видає засоби електронної ідентифікації, а кваліфікований надавач довірчих послуг формує кваліфіковані сертифікати відкритого ключа.
15. У разі невідповідності ідентифікаційних даних, наданих особою під час електронної ідентифікації та електронної автентифікації особи в інтегрованій системі електронної ідентифікації, відповідним даним з інформаційних систем та реєстрів надавач послуг електронної ідентифікації не видає засоби електронної ідентифікації, а кваліфікований надавач довірчих послуг не формує кваліфіковані сертифікати відкритого ключа.
Особи можуть повторно звернутися в будь-який робочий час до надавачів послуг електронної ідентифікації та кваліфікованих надавачів довірчих послуг для отримання послуг електронної ідентифікації чи електронних довірчих послуг.
16. Захист інформації та персональних даних осіб під час проведення перевірки інформації про осіб за даними інформаційних систем та реєстрів здійснюється відповідно до вимог законодавства у сферах захисту інформації та персональних даних.
ПОРЯДОК
використання псевдонімів фізичними особами, які є користувачами послуг електронної ідентифікації або електронних довірчих послуг
1. Цей Порядок визначає механізм використання псевдонімів користувачами послуг електронної ідентифікації або електронних довірчих послуг (далі - користувачі) під час отримання таких послуг.
Застосування кваліфікованого сертифіката відкритого ключа з використанням псевдоніма здійснюється відповідно до Закону України “Про авторське право і суміжні права”.
2. Дія цього Порядку не поширюється на здійснення електронної ідентифікації та надання електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”.
3. Термін “псевдонім” у цьому Порядку означає вигадане ім’я, що складається із сукупності слів чи знаків, символів, обране автором (співавторами) чи виконавцем (співвиконавцями) для позначення себе відповідно як автора (співавторів) або як виконавця (співвиконавців), яке може бути використано користувачами під час отримання послуг електронної ідентифікації або електронних довірчих послуг.
Інші терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про авторське право і суміжні права” та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
4. У разі використання псевдоніма відповідно до Закону України “Про авторське право і суміжні права” фізичні особи, які є користувачами, під час отримання послуг електронної ідентифікації або електронних довірчих послуг мають право замість прізвища, власного імені та по батькові (за наявності) використовувати псевдонім за умови обов’язкового зазначення про його використання у засобах електронної ідентифікації та сертифікатах відкритих ключів, а також надання документів, що засвідчують використання особою відповідного псевдоніма.
5. Користувачі, що мають на меті використовувати псевдонім у засобах електронної ідентифікації або сертифікатах відкритих ключів під час електронної взаємодії з інформаційними системами, можуть звернутися до надавачів послуг електронної ідентифікації або кваліфікованих надавачів електронних довірчих послуг (далі - кваліфіковані надавачі довірчих послуг) для отримання таких послуг.
6. Загальні відомості про надавачів послуг електронної ідентифікації розміщуються на офіційному веб-сайті Мінцифри.
Для отримання засобів електронної ідентифікації з відповідним рівнем довіри фізичні особи подають надавачу послуг електронної ідентифікації документи та/або електронні дані, необхідні для ідентифікації особи, а також ідентифікаційні дані, які міститимуться у засобі електронної ідентифікації, зокрема псевдонім.
Форма заяви, умови отримання та перелік необхідних документів для отримання послуг електронної ідентифікації визначаються надавачем послуг електронної ідентифікації та розміщуються на веб-сайті такого надавача.
7. Інформація про кваліфікованих надавачів довірчих послуг разом з інформацією про кваліфіковані електронні довірчі послуги, які вони надають, міститься в Довірчому списку.
Довірчий список ведеться та підтримується в актуальному стані центральним засвідчувальним органом на своєму офіційному веб-сайті.
Кваліфіковані електронні довірчі послуги надаються виключно кваліфікованими надавачами довірчих послуг на підставі укладеного між надавачем і заявником договору про надання кваліфікованої електронної довірчої послуги.
Форма заяви, умови отримання та перелік необхідних документів для отримання кваліфікованих електронних довірчих послуг визначаються надавачем довірчих послуг та розміщуються на веб-сайті такого надавача.
8. Надавач послуг електронної ідентифікації або надавач електронних довірчих послуг (далі - надавач довірчих послуг) повинен ідентифікувати відповідно до вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг фізичну особу, яка має намір використовувати псевдонім.
9. У процесі підтвердження кваліфікованого електронного підпису дійсність такого підпису підтверджується за умови зазначення у кваліфікованому сертифікаті електронного підпису інформації про використання в ньому псевдоніма (в разі його використання особою на момент створення кваліфікованого електронного підпису).
При цьому надавачі довірчих послуг повинні враховувати положення національного стандарту ДСТУ ETSI EN 319 412-2:2021 (ETSI EN 319 412-2 V2.2.1 (2020-07), IDT) “Електронні підписи та інфраструктури. (ESI). Профілі сертифікатів. Частина 2. Профілі сертифікатів, виданих фізичним особам”.
10. Псевдонім користувачі зазначають у заяві про отримання послуг електронної ідентифікації або електронних довірчих послуг.
Використання користувачами одночасно псевдоніма та прізвища, власного імені та по батькові (за наявності) не допускається.
У разі коли користувачі використовують псевдонім замість прізвища, власного імені та по батькові (за наявності) в полях кваліфікованих сертифікатів, такі сертифікати є обов’язковими до публікації на веб-сайті кваліфікованого надавача довірчих послуг.
У полі кваліфікованого сертифіката “псевдонім” використовується однакова кількість знаків, як і у полі “найменування надавача”.
Строк дії кваліфікованого сертифіката відкритого ключа з використанням псевдоніма та сфера його застосування не відрізняються від строку дії та сфери застосування аналогічного кваліфікованого сертифіката відкритого ключа з використанням прізвища, власного імені та по батькові (за наявності).
11. Надавач послуг електронної ідентифікації або надавач довірчих послуг не надає послуги електронної ідентифікації або електронні довірчі послуги у разі:
ненадання фізичною особою документів, що засвідчують використання відповідного псевдоніма;
використання у полі кваліфікованого сертифіката “псевдонім” більшої кількості знаків, ніж у полі “найменування надавача”;
виявлення в документах неточностей, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
Особи можуть у будь-який робочий час повторно звернутися до надавача послуг електронної ідентифікації або надавача довірчих послуг для отримання послуг електронної ідентифікації або електронних довірчих послуг.
ПОРЯДОК
проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг
1. Цей Порядок визначає механізм проведення перевірки ідентифікаційних даних юридичної особи чи фізичної особи - підприємця кваліфікованими надавачами електронних довірчих послуг (далі - надавачі довірчих послуг) під час формування кваліфікованих сертифікатів відкритих ключів.
2. Дія цього Порядку не поширюється на надання кваліфікованих електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” (далі - Закон).
3. У цьому Порядку терміни вживаються у значенні, наведеному в Законі України “Про електронну ідентифікацію та електронні довірчі послуги”, інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
4. Надавач довірчих послуг під час формування кваліфікованих сертифікатів відкритих ключів проводить перевірку цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця відповідно до цього Порядку та частини п’ятої статті 22 Закону.
5. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає вчинення дій, передбачених частиною першою статті 20 Закону.
6. Формування кваліфікованого сертифіката електронного підпису чи печатки здійснюється надавачем довірчих послуг на запит користувача відповідно до пунктів 62-64 вимог до надавачів послуг електронної ідентифікації та електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 28 червня 2024 р. № 764 “Деякі питання електронної ідентифікації та електронних довірчих послуг”.
7. Для ідентифікації юридичної особи чи фізичної особи - підприємця надавач довірчих послуг проводить перевірку ідентифікаційних даних, необхідних для формування кваліфікованого сертифіката електронного підпису чи печатки юридичної особи чи фізичної особи - підприємця та підтвердження належності юридичної особи чи фізичної особи - підприємця, що звернулася за отриманням послуги з формування кваліфікованого сертифіката відкритого ключа, ідентифікаційних даних юридичної особи чи фізичної особи - підприємця, отриманих надавачем довірчих послуг або його відокремленим пунктом реєстрації.
Зазначені ідентифікаційні дані надаються одним із способів, передбачених частиною другою статті 22 Закону.
Для підтвердження ідентифікаційних даних уповноваженого представника юридичної особи чи фізичної особи - підприємця надавач довірчих послуг використовує результати перевірки відомостей (даних) про особу, отримані з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи.
У разі відсутності в іноземців та осіб без громадянства документів, що підтверджують ідентифікаційні дані, виданих відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи, їх ідентифікація здійснюється за легалізованим належним чином паспортним документом іноземця або документом, що посвідчує особу без громадянства.
Якщо від імені юридичної особи діє колегіальний орган, надавачу довірчих послуг подається документ, в якому визначено повноваження такого органу та розподіл обов’язків між його членами.
8. Надавач довірчих послуг встановлює належність ідентифікаційних даних юридичній особі або уповноваженому представнику юридичної особи чи фізичній особі - підприємцю одним із таких способів:
за документом, що визначає повноваження уповноваженого представника юридичної особи чи фізичної особи - підприємця;
з використанням інформації, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань;
за інформацією з торговельного, банківського, судового реєстрів, які ведуться країною резидентства іноземної юридичної особи, перелік яких публікує на своєму офіційному веб-сайті центральний засвідчувальний орган, або за документом, виданим відповідно до законодавства іноземної держави, легалізованим (консульська легалізація чи проставлення апостиля) відповідно до законодавства у сфері легалізації офіційних документів, якщо інше не встановлено законом або міжнародними договорами України.
9. Надавач довірчих послуг під час формування кваліфікованого сертифіката електронного підпису чи печатки повертає документи у разі:
подання не в повному обсязі документів, передбачених пунктами 7 і 8 цього Порядку;
виявлення в документах неточностей, які не дають змоги однозначно тлумачити зміст, виправлень або дописок;
виявлення недостовірних даних у поданих документах.
Особи можуть повторно звернутися в будь-який робочий час до надавачів послуг електронної ідентифікації та кваліфікованих надавачів довірчих послуг для формування кваліфікованого сертифіката електронного підпису чи печатки.
ПЕРЕЛІК
постанов Кабінету Міністрів України, що втратили чинність
1. Постанова Кабінету Міністрів України від 7 листопада 2018 р. № 992 “Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг” (Офіційний вісник України, 2018 р., № 98, ст. 3227).
2. Пункт 5 змін, що вносяться до постанов Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 11 грудня 2019 р. № 1068 (Офіційний вісник України, 2020 р., № 2, ст. 68).
3. Постанова Кабінету Міністрів України від 30 березня 2023 р. № 289 “Про внесення змін до постанови Кабінету Міністрів України від 7 листопада 2018 р. № 992” (Офіційний вісник України, 2023 р., № 38, ст. 2020).
4. Постанова Кабінету Міністрів України від 4 квітня 2023 р. № 298 “Деякі питання здійснення ідентифікації у сфері електронних довірчих послуг” (Офіційний вісник України, 2023 р., № 39, ст. 2060).