Podpis

Podpis

elektroniczny

elektroniczny

Unormowania prawne i definicje

Unormowania prawne i definicje

Regulacje prawne

Regulacje prawne



W światowych regulacjach główny nacisk

kładzie się na:



otwarty katalog technologii podpisów,



wiarygodne procedury autoryzacji

i weryfikacji składania oświadczeń woli

w drodze elektronicznej,



ochronę konsumenta, ochronę danych,

bezpieczeństwo prawne obrotu,



regulację rynku poświadczania

autentyczności podpisów elektronicznych

oraz możliwie najwyższy poziom tych usług.

Definicja podpisu elektronicznego

Definicja podpisu elektronicznego

(PL)

(PL)

Ogólnie podpisem elektronicznym

Ogólnie podpisem elektronicznym

są

są

dane

dane

w formie elektronicznej,

w formie elektronicznej,

logicznie powiązane z innymi

logicznie powiązane z innymi

danymi

danymi

przesyłanymi w drodze

przesyłanymi w drodze

elektronicznej na zasadach, które

elektronicznej na zasadach, które

są równocześnie metodą

są równocześnie metodą

uwierzytelniania tych danych.

uwierzytelniania tych danych.

Dyrektywa Unii

Dyrektywa Unii



Unia Europejska przyjęła z końcem

Unia Europejska przyjęła z końcem

1999 roku dyrektywę odnoszącą się

1999 roku dyrektywę odnoszącą się

do podpisów elektronicznych

do podpisów elektronicznych

i związanych z ich stosowaniem

i związanych z ich stosowaniem

usług poświadczania autentyczności.

usług poświadczania autentyczności.

Kraje członkowskie miały do końca

Kraje członkowskie miały do końca

czerwca 2001 roku wprowadzić

czerwca 2001 roku wprowadzić

odpowiednie normy prawne.

odpowiednie normy prawne.

Zasada pewności i

Zasada pewności i

wolności

wolności



Dyrektywa z 13 grudnia 1999 roku

Dyrektywa z 13 grudnia 1999 roku

Parlamentu Europejskiego i Rady

Parlamentu Europejskiego i Rady

o ramowych założeniach Wspólnoty

o ramowych założeniach Wspólnoty

dotycząca podpisów elektronicznych

dotycząca podpisów elektronicznych

(Electronic Signatures Directive 99/93)

(Electronic Signatures Directive 99/93)

zakłada zarówno zasadę pewności,

zakłada zarówno zasadę pewności,

jak i wolności obrotu elektronicznego.

jak i wolności obrotu elektronicznego.

Zasada pewności

Zasada pewności



Zasadę pewności postuluje wytyczna,

Zasadę pewności postuluje wytyczna,

iż podpis elektroniczny będzie miał

iż podpis elektroniczny będzie miał

w odniesieniu do skutków prawnych

w odniesieniu do skutków prawnych

tę samą moc co podpis własnoręczny,

tę samą moc co podpis własnoręczny,

a zarazem będzie w taki sposób

a zarazem będzie w taki sposób

dołączony do przekazywanych danych,

dołączony do przekazywanych danych,

iż jakakolwiek ich zmiana będzie

iż jakakolwiek ich zmiana będzie

wykrywalna.

wykrywalna.

Zasada wolności obrotu

Zasada wolności obrotu

elektronicznego

elektronicznego



Wolność obrotu ma być gwarantowana

Wolność obrotu ma być gwarantowana

przez wolny dostęp do usług

przez wolny dostęp do usług

certyfikacyjnych, brak przymusu

certyfikacyjnych, brak przymusu

administracyjnego, jeśli chodzi o

administracyjnego, jeśli chodzi o

akredytację świadczenia tego rodzaju usług,

akredytację świadczenia tego rodzaju usług,

a także zakaz ograniczania konkurencji

a także zakaz ograniczania konkurencji

na rynku usług certyfikacyjnych.

na rynku usług certyfikacyjnych.

W tych ramach regulacje odnoszące się

W tych ramach regulacje odnoszące się

do zagadnień certyfikacji powinny być

do zagadnień certyfikacji powinny być

kształtowane przez prawo krajowe.

kształtowane przez prawo krajowe.

CD. Zasada wolności

CD. Zasada wolności

obrotu elektronicznego

obrotu elektronicznego



Dyrektywa wyklucza przymus

Dyrektywa wyklucza przymus

akredytacyjny, a jednocześnie

akredytacyjny, a jednocześnie

pozostawia w gestii prawa krajowego

pozostawia w gestii prawa krajowego

utworzenie struktury usług

utworzenie struktury usług

certyfikacyjnych. Postuluje się takie

certyfikacyjnych. Postuluje się takie

ukształtowanie usług certyfikacyjnych,

ukształtowanie usług certyfikacyjnych,

aby budziły pełne zaufanie klientów

aby budziły pełne zaufanie klientów

do bezpieczeństwa tych usług

do bezpieczeństwa tych usług

i wykształciły najlepszą praktykę.

i wykształciły najlepszą praktykę.

Zasady rynku

Zasady rynku

wewnętrznego

wewnętrznego



Każde państwo członkowskie stosuje

Każde państwo członkowskie stosuje

postanowienia krajowe, wydane na podstawie

postanowienia krajowe, wydane na podstawie

dyrektywy,

dyrektywy,

do osiadłych na ich terenie dostawców usług

do osiadłych na ich terenie dostawców usług

autoryzacyjnych i ich usług. Państwa

autoryzacyjnych i ich usług. Państwa

członkowskie nie mogą ograniczać udostępniania

członkowskie nie mogą ograniczać udostępniania

usług autoryzacyjnych pochodzących z innych

usług autoryzacyjnych pochodzących z innych

państw członkowskich w dziedzinach objętych

państw członkowskich w dziedzinach objętych

tą dyrektywą.

tą dyrektywą.



Państwa członkowskie zapewnią, że produkty

Państwa członkowskie zapewnią, że produkty

dla podpisu elektronicznego, spełniające

dla podpisu elektronicznego, spełniające

wymagania dyrektywy, znajdują się w wolnym

wymagania dyrektywy, znajdują się w wolnym

obrocie na rynku wewnętrznym.

obrocie na rynku wewnętrznym.

Umocowanie prawne

Umocowanie prawne

kategorii podpisu

kategorii podpisu

elektronicznego

elektronicznego



Dyrektywa określa umocowanie

Dyrektywa określa umocowanie

prawne kategorii podpisu

prawne kategorii podpisu

elektronicznego,

elektronicznego,

który definiuje w sposób ogólny

który definiuje w sposób ogólny

i kwalifikowany.

i kwalifikowany.

Definicja ogólna podpisu

Definicja ogólna podpisu

elektronicznego

elektronicznego



Ogólnie podpisem elektronicznym

Ogólnie podpisem elektronicznym

są dane w formie elektronicznej,

są dane w formie elektronicznej,

logicznie powiązane z innymi

logicznie powiązane z innymi

danymi przesyłanymi w drodze

danymi przesyłanymi w drodze

elektronicznej na zasadach, które

elektronicznej na zasadach, które

są równocześnie metodą

są równocześnie metodą

uwierzytelniania tych danych.

uwierzytelniania tych danych.

Definicja zaawansowanego

Definicja zaawansowanego

podpisu elektronicznego

podpisu elektronicznego



Podpisem elektronicznym w formie

Podpisem elektronicznym w formie

zaawansowanej jest podpis, który odpowiada

zaawansowanej jest podpis, który odpowiada

następującym warunkom:

następującym warunkom:

1.

1.

związany jest wyłącznie z podpisującym,

związany jest wyłącznie z podpisującym,

2.

2.

umożliwia identyfikację podpisującego,

umożliwia identyfikację podpisującego,

3.

3.

został wygenerowany za pomocą środków

został wygenerowany za pomocą środków

będących pod wyłączną kontrolą podpisującego,

będących pod wyłączną kontrolą podpisującego,

4.

4.

jest powiązany z innymi danymi w taki sposób,

jest powiązany z innymi danymi w taki sposób,

iż zawsze pozwala na wykrycie każdej zmiany

iż zawsze pozwala na wykrycie każdej zmiany

danych.

danych.

Podsumowanie

Podsumowanie



Reasumując, dyrektywa z jednej

Reasumując, dyrektywa z jednej

strony zakłada brak monopolu na

strony zakłada brak monopolu na

usługi certyfikacyjne i zachowanie

usługi certyfikacyjne i zachowanie

zasad pełnej konkurencyjności na

zasad pełnej konkurencyjności na

rynku tych usług, z drugiej –

rynku tych usług, z drugiej –

zagwarantowanie dostępności tych

zagwarantowanie dostępności tych

usług na poziomie najwyższego

usług na poziomie najwyższego

zaufania.

zaufania.

CD. Podsumowanie

CD. Podsumowanie



Jeżeli chodzi o podpis elektroniczny,

Jeżeli chodzi o podpis elektroniczny,

nie przesadza o jego charakterze,

nie przesadza o jego charakterze,

nadając zarazem wyższy status

nadając zarazem wyższy status

zaawansowania podpisowi, który

zaawansowania podpisowi, który

dzisiaj w sposób najbardziej

dzisiaj w sposób najbardziej

bezpieczny można stworzyć na bazie

bezpieczny można stworzyć na bazie

technologii asymetrycznych kluczy do

technologii asymetrycznych kluczy do

kodowania

kodowania

i dekodowania przesyłanych danych

i dekodowania przesyłanych danych

(w praktyce chodzi o podpis cyfrowy).

(w praktyce chodzi o podpis cyfrowy).

CD. Podsumowanie

CD. Podsumowanie



Postulując zasady pełnego zaufania do usług

Postulując zasady pełnego zaufania do usług

związanych z podpisami elektronicznymi,

związanych z podpisami elektronicznymi,

konkurencyjności tych usług oraz zasadę pewności

konkurencyjności tych usług oraz zasadę pewności

podpisu elektronicznego, dyrektywa nie przesądza

podpisu elektronicznego, dyrektywa nie przesądza

struktury i procedur związanych z usługami

struktury i procedur związanych z usługami

ani możliwej do zastosowania technologii. Zakłada

ani możliwej do zastosowania technologii. Zakłada

ukształtowanie równowagi między

ukształtowanie równowagi między

bezpieczeństwem interesów podmiotów

bezpieczeństwem interesów podmiotów

korzystających z usług certyfikacyjnych a zasadami

korzystających z usług certyfikacyjnych a zasadami

prowadzenia działalności gospodarczej w

prowadzenia działalności gospodarczej w

warunkach rynku opartego na wolnej konkurencji.

warunkach rynku opartego na wolnej konkurencji.

Definicje

Definicje



W sensie niniejszej dyrektywy termin:

W sensie niniejszej dyrektywy termin:

1.

1.

„

„

podpis elektroniczny” oznacza dane w formie

podpis elektroniczny” oznacza dane w formie

elektronicznej, które dodane są do innych danych

elektronicznej, które dodane są do innych danych

elektronicznych

elektronicznych

lub są z nimi logicznie powiązane i służą do

lub są z nimi logicznie powiązane i służą do

autoryzacji;

autoryzacji;

2.

2.

„

„

zaawansowany podpis elektroniczny” oznacza podpis

zaawansowany podpis elektroniczny” oznacza podpis

elektroniczny spełniający następujące wymagania:

elektroniczny spełniający następujące wymagania:

1.

1.

przyporządkowany jest wyłącznie podpisującemu;

przyporządkowany jest wyłącznie podpisującemu;

2.

2.

umożliwia identyfikację podpisującego;

umożliwia identyfikację podpisującego;

3.

3.

stworzony jest za pomocą środków, które podpisujący

stworzony jest za pomocą środków, które podpisujący

może mieć pod swoją wyłączną kontrolą;

może mieć pod swoją wyłączną kontrolą;

4.

4.

jest tak powiązany z danymi, do których się odnosi,

jest tak powiązany z danymi, do których się odnosi,

że każda późniejsza zmiana może zostać wykryta;

że każda późniejsza zmiana może zostać wykryta;

CD. Definicje

CD. Definicje

3.

3.

„

„

podpisujący” oznacza osobę posiadającą

podpisujący” oznacza osobę posiadającą

urządzenie do generowania podpisów,

urządzenie do generowania podpisów,

która działa w imieniu własnym lub

która działa w imieniu własnym lub

w imieniu osób prywatnych lub fizycznych,

w imieniu osób prywatnych lub fizycznych,

lub stron, których jest przedstawicielem;

lub stron, których jest przedstawicielem;

4.

4.

„

„

dane do generowania podpisu” oznacza

dane do generowania podpisu” oznacza

jednorazowe dane jak kod lub prywatny klucz

jednorazowe dane jak kod lub prywatny klucz

kryptograficzny, które są używane przez

kryptograficzny, które są używane przez

podpisującego do stworzenia podpisu

podpisującego do stworzenia podpisu

elektronicznego;

elektronicznego;

CD. Definicje

CD. Definicje

5.

5.

„

„

urządzenie generujące podpisy” oznacza

urządzenie generujące podpisy” oznacza

skonfigurowane oprogramowanie lub sprzęt

skonfigurowane oprogramowanie lub sprzęt

używane do zaimplementowania danych

używane do zaimplementowania danych

do generowania podpisu;

do generowania podpisu;

6.

6.

„

„

bezpieczne urządzenie generujące podpisy”

bezpieczne urządzenie generujące podpisy”

oznacza urządzenie generujące podpisy,

oznacza urządzenie generujące podpisy,

które spełnia wymagania załącznika III dyrektywy;

które spełnia wymagania załącznika III dyrektywy;

7.

7.

„

„

dane do sprawdzania podpisu” oznacza dane

dane do sprawdzania podpisu” oznacza dane

jak kod lub publiczne klucze kryptograficzne,

jak kod lub publiczne klucze kryptograficzne,

używane do sprawdzania podpisu

używane do sprawdzania podpisu

elektronicznego;

elektronicznego;

CD. Definicje

CD. Definicje

8.

8.

„

„

urządzenie sprawdzające podpisy” oznacza

urządzenie sprawdzające podpisy” oznacza

skonfigurowane oprogramowanie lub sprzęt używane do

skonfigurowane oprogramowanie lub sprzęt używane do

zaimplementowania danych

zaimplementowania danych

do sprawdzania podpisu;

do sprawdzania podpisu;

9.

9.

„

„

autoryzacja” oznacza zaświadczenie elektroniczne, za

autoryzacja” oznacza zaświadczenie elektroniczne, za

pomocą którego dane do sprawdzania podpisu są

pomocą którego dane do sprawdzania podpisu są

przyporządkowane osobie i potwierdzają tożsamość tej

przyporządkowane osobie i potwierdzają tożsamość tej

osoby;

osoby;

10.

10.

„

„

autoryzacja kwalifikowana” oznacza autoryzację

autoryzacja kwalifikowana” oznacza autoryzację

spełniającą wymogi załącznika I i wystawiana jest przez

spełniającą wymogi załącznika I i wystawiana jest przez

dostawcę usług autoryzacyjnych,

dostawcę usług autoryzacyjnych,

która spełnia wymogi załącznika II;

która spełnia wymogi załącznika II;

CD. Definicje

CD. Definicje

11.

11.

„

„

dostawca usług autoryzacyjnych” oznacza

dostawca usług autoryzacyjnych” oznacza

jednostkę lub osobę prawną bądź fizyczną,

jednostkę lub osobę prawną bądź fizyczną,

która wystawia autoryzacje lub udostępnia inne

która wystawia autoryzacje lub udostępnia inne

usługi związane z podpisem elektronicznym;

usługi związane z podpisem elektronicznym;

12.

12.

„

„

produkt dla podpisu elektronicznego” oznacza

produkt dla podpisu elektronicznego” oznacza

oprogramowanie lub sprzęt względnie ich

oprogramowanie lub sprzęt względnie ich

specyficzne komponenty, które mają być użyte

specyficzne komponenty, które mają być użyte

przez dostawcę usług autoryzacyjnych

przez dostawcę usług autoryzacyjnych

do udostępnienia usług dla podpisu

do udostępnienia usług dla podpisu

elektronicznego lub do tworzenia i kontroli

elektronicznego lub do tworzenia i kontroli

podpisu elektronicznego;

podpisu elektronicznego;

CD. Definicje

CD. Definicje

13.

13.

„

„

dobrowolna akredytacja” oznacza zezwolenie,

dobrowolna akredytacja” oznacza zezwolenie,

które ustala prawa i obowiązki związane

które ustala prawa i obowiązki związane

ze świadczeniem usług autoryzacyjnych,

ze świadczeniem usług autoryzacyjnych,

przyznane na wniosek danego dostawcy usług

przyznane na wniosek danego dostawcy usług

autoryzacyjnych przez organ państwowy

autoryzacyjnych przez organ państwowy

bądź prywatny,który jest właściwy do ustalania

bądź prywatny,który jest właściwy do ustalania

tych praw i obowiązków jak też do kontroli

tych praw i obowiązków jak też do kontroli

ich przestrzegania, jednak dostawca usług

ich przestrzegania, jednak dostawca usług

autoryzacyjnych nie jest uprawniony do

autoryzacyjnych nie jest uprawniony do

korzystania z praw wynikających z zezwolenia,

korzystania z praw wynikających z zezwolenia,

zanim nie otrzyma zawiadomienia o decyzji;

zanim nie otrzyma zawiadomienia o decyzji;

ZAŁĄCZNIK I

ZAŁĄCZNIK I

Wymagania względem autoryzacji

Wymagania względem autoryzacji

kwalifikowanej

kwalifikowanej



Autoryzacje kwalifikowane muszą zawierać następujące dane:

Autoryzacje kwalifikowane muszą zawierać następujące dane:

a)

a)

informację, że dana autoryzacja została wystawiona

informację, że dana autoryzacja została wystawiona

jako autoryzacja kwalifikowana;

jako autoryzacja kwalifikowana;

b)

b)

dane dostawcy usług autoryzacyjnych i państwa, w

dane dostawcy usług autoryzacyjnych i państwa, w

którym ma swoją siedzibę;

którym ma swoją siedzibę;

c)

c)

nazwę podpisującego lub pseudonim, który jako taki

nazwę podpisującego lub pseudonim, który jako taki

można zidentyfikować;

można zidentyfikować;

d)

d)

miejsce dla specyficznego atrybutu podpisującego,

miejsce dla specyficznego atrybutu podpisującego,

który jest przyznawany w zależności od przeznaczenia

który jest przyznawany w zależności od przeznaczenia

autoryzacji;

autoryzacji;

e)

e)

dane do sprawdzania podpisu, które odpowiadają

dane do sprawdzania podpisu, które odpowiadają

danym

danym

do generowania podpisu kontrolowanym przez

do generowania podpisu kontrolowanym przez

podpisującego;

podpisującego;

CD. Autoryzacje

CD. Autoryzacje

kwalifikowane

kwalifikowane

f)

f)

dane odnośnie początku i końca

dane odnośnie początku i końca

obowiązywania autoryzacji;

obowiązywania autoryzacji;

g)

g)

kod identyfikacyjny autoryzacji;

kod identyfikacyjny autoryzacji;

h)

h)

zaawansowany podpis elektroniczny

zaawansowany podpis elektroniczny

wystawiającego dostawcy usług

wystawiającego dostawcy usług

autoryzacyjnych;

autoryzacyjnych;

i)

i)

jeżeli konieczne, ograniczenia zakresu

jeżeli konieczne, ograniczenia zakresu

obowiązywania autoryzacji, oraz

obowiązywania autoryzacji, oraz

j)

j)

jeżeli konieczne, granice wartości transakcji,

jeżeli konieczne, granice wartości transakcji,

do której można stosować autoryzacje.

do której można stosować autoryzacje.

ZAŁĄCZNIK II

ZAŁĄCZNIK II

Wymagania odnośnie dostawców usług

Wymagania odnośnie dostawców usług

autoryzacyjnych wystawiających autoryzacje

autoryzacyjnych wystawiających autoryzacje

kwalifikowane

kwalifikowane



Dostawcy usług autoryzacyjnych:

Dostawcy usług autoryzacyjnych:

a)

a)

muszą udowodnić konieczną niezawodność

muszą udowodnić konieczną niezawodność

co do świadczenia usług autoryzacyjnych;

co do świadczenia usług autoryzacyjnych;

b)

b)

muszą zapewnić prowadzenie usług szybkiego

muszą zapewnić prowadzenie usług szybkiego

i bezpiecznego zarządzania oraz pewnego

i bezpiecznego zarządzania oraz pewnego

i natychmiastowego odwołania;

i natychmiastowego odwołania;

c)

c)

muszą zapewnić dokładne określanie daty i godziny

muszą zapewnić dokładne określanie daty i godziny

wystawienia czy cofnięcia autoryzacji;

wystawienia czy cofnięcia autoryzacji;

d)

d)

muszą sprawdzić za pomocą stosownych środków

muszą sprawdzić za pomocą stosownych środków

zgodnych z prawem krajowym tożsamość

zgodnych z prawem krajowym tożsamość

i jeżeli konieczne specyficzne atrybuty osoby,

i jeżeli konieczne specyficzne atrybuty osoby,

dla której wystawiają autoryzację;

dla której wystawiają autoryzację;

CD. Dostawcy usług

CD. Dostawcy usług

autoryzacyjnych

autoryzacyjnych

e)

e)

muszą zatrudnić personel z koniecznymi do swoich usług

muszą zatrudnić personel z koniecznymi do swoich usług

wiedzą, doświadczeniem i kwalifikacjami; do tego należą

wiedzą, doświadczeniem i kwalifikacjami; do tego należą

w szczególności kompetencje managera, znajomość

w szczególności kompetencje managera, znajomość

technologii podpisu elektronicznego i znajomość stosownych

technologii podpisu elektronicznego i znajomość stosownych

procedur bezpieczeństwa; dalej muszą stosować właściwe

procedur bezpieczeństwa; dalej muszą stosować właściwe

procedury administracyjne i zarządzania, które odpowiadają

procedury administracyjne i zarządzania, które odpowiadają

uznanym normom;

uznanym normom;

f)

f)

muszą stosować godne zaufania systemy i produkty,

muszą stosować godne zaufania systemy i produkty,

które są chronione przed zmianami i które zapewniają

które są chronione przed zmianami i które zapewniają

techniczne i kryptograficzne bezpieczeństwo procedur,

techniczne i kryptograficzne bezpieczeństwo procedur,

które wspierają;

które wspierają;

g)

g)

muszą przedsięwziąć środki przeciwko fałszowaniu

muszą przedsięwziąć środki przeciwko fałszowaniu

autoryzacji, w przypadkach, gdy tworzą dane do generowania

autoryzacji, w przypadkach, gdy tworzą dane do generowania

podpisu, zapewnią poufność podczas tworzenia tych danych;

podpisu, zapewnią poufność podczas tworzenia tych danych;

CD. Dostawcy usług

CD. Dostawcy usług

autoryzacyjnych

autoryzacyjnych

h)

h)

muszą dysponować wystarczającymi środkami

muszą dysponować wystarczającymi środkami

finansowymi, aby działać zgodnie z wymogami niniejszej

finansowymi, aby działać zgodnie z wymogami niniejszej

dyrektywy. Muszą, w szczególności,

dyrektywy. Muszą, w szczególności,

być w stanie ponieść odpowiedzialność za szkody, np.

być w stanie ponieść odpowiedzialność za szkody, np.

przy wykupieniu odpowiedniego ubezpieczenia;

przy wykupieniu odpowiedniego ubezpieczenia;

i)

i)

muszą w odpowiednim okresie nagrywać wszystkie

muszą w odpowiednim okresie nagrywać wszystkie

istotne informacje o autoryzacji kwalifikowanej,

istotne informacje o autoryzacji kwalifikowanej,

aby w szczególności przy postępowaniu sądowym móc

aby w szczególności przy postępowaniu sądowym móc

udowodnić autoryzację;

udowodnić autoryzację;

j)

j)

nie mogą gromadzić czy kopiować danych

nie mogą gromadzić czy kopiować danych

do generowania podpisu osób, którym oferuje się

do generowania podpisu osób, którym oferuje się

wykonanie kluczowych usług zarządzania;

wykonanie kluczowych usług zarządzania;

CD. Dostawcy usług

CD. Dostawcy usług

autoryzacyjnych

autoryzacyjnych

k)

k)

zanim połączy je stosunek wynikający z umowy

zanim połączy je stosunek wynikający z umowy

z osobą, która życzy sobie otrzymać autoryzację

z osobą, która życzy sobie otrzymać autoryzację

dla poparcia swojego podpisu elektronicznego, muszą

dla poparcia swojego podpisu elektronicznego, muszą

ją poinformować za pomocą trwałego środka

ją poinformować za pomocą trwałego środka

komunikacyjnego o dokładnych warunkach

komunikacyjnego o dokładnych warunkach

stosowania autoryzacji, do których należą min.

stosowania autoryzacji, do których należą min.

ograniczenia stosowania autoryzacji, istnienie

ograniczenia stosowania autoryzacji, istnienie

systemu dobrowolnej akredytacji i postępowanie

systemu dobrowolnej akredytacji i postępowanie

w przypadku skarg i postępowania pojednawczego.

w przypadku skarg i postępowania pojednawczego.

Informacje te muszą mieć formę elektroniczną

Informacje te muszą mieć formę elektroniczną

i być sformułowane w sposób jasny, by można

i być sformułowane w sposób jasny, by można

je przekazać elektronicznie. Ważne części tych

je przekazać elektronicznie. Ważne części tych

informacji udostępnia się na wniosek stronom trzecim

informacji udostępnia się na wniosek stronom trzecim

polegającym na autoryzacji.

polegającym na autoryzacji.

CD. Dostawcy usług

CD. Dostawcy usług

autoryzacyjnych

autoryzacyjnych

l)

l)

muszą stosować godne zaufania systemy

muszą stosować godne zaufania systemy

do gromadzenia autoryzacji w formie

do gromadzenia autoryzacji w formie

umożliwiającej sprawdzenie, tak że:

umożliwiającej sprawdzenie, tak że:



tylko osoby uprawnione mogą wprowadzać

tylko osoby uprawnione mogą wprowadzać

i zmieniać dane;

i zmieniać dane;



można sprawdzić prawdziwość informacji;

można sprawdzić prawdziwość informacji;



autoryzacje można publicznie cofnąć tylko

autoryzacje można publicznie cofnąć tylko

w wypadkach, dla których wyraził zgodę właściciel

w wypadkach, dla których wyraził zgodę właściciel

autoryzacji;

autoryzacji;



zmiany techniczne, które wpływają negatywnie

zmiany techniczne, które wpływają negatywnie

na zachowanie tych wymogów bezpieczeństwa,

na zachowanie tych wymogów bezpieczeństwa,

są dla operatora widoczne.

są dla operatora widoczne.

ZAŁĄCZNIK III

ZAŁĄCZNIK III

Wymagania dla urządzeń

Wymagania dla urządzeń

tworzących podpisy

tworzących podpisy

1.

1.

Bezpieczne urządzenia tworzące podpisy

Bezpieczne urządzenia tworzące podpisy

muszą poprzez odpowiednie techniki i

muszą poprzez odpowiednie techniki i

procedury przynajmniej zapewnić, że:

procedury przynajmniej zapewnić, że:

a)

a)

dane do tworzenia podpisu użyte do stworzenia

dane do tworzenia podpisu użyte do stworzenia

podpisu praktycznie pojawiają się tylko raz

podpisu praktycznie pojawiają się tylko raz

oraz zapewniona jest ich poufność;

oraz zapewniona jest ich poufność;

b)

b)

dane do tworzenia podpisu użyte do stworzenia

dane do tworzenia podpisu użyte do stworzenia

podpisu nie mogą, przy zachowaniu rozsądnego

podpisu nie mogą, przy zachowaniu rozsądnego

bezpieczeństwa, być uzyskane oraz podpisy

bezpieczeństwa, być uzyskane oraz podpisy

są chronione przed fałszowaniem przy użyciu

są chronione przed fałszowaniem przy użyciu

dostępnej technologii;

dostępnej technologii;

c)

c)

dane do tworzenia podpisu użyte

dane do tworzenia podpisu użyte

do stworzenia podpisu chronione są

do stworzenia podpisu chronione są

przez prawnie podpisującego przed użyciem przez

przez prawnie podpisującego przed użyciem przez

innych w sposób godny zaufania.

innych w sposób godny zaufania.

CD. Wymagania dla urządzeń

CD. Wymagania dla urządzeń

tworzących podpisy

tworzących podpisy

2.

2.

Bezpieczne urządzenia tworzące

Bezpieczne urządzenia tworzące

podpisy nie zmieniają danych do

podpisy nie zmieniają danych do

podpisania i nie stoją na

podpisania i nie stoją na

przeszkodzie, żeby dane te

przeszkodzie, żeby dane te

zostały przedstawione

zostały przedstawione

podpisującemu przed procesem

podpisującemu przed procesem

podpisywania.

podpisywania.

ZAŁĄCZNIK IV

ZAŁĄCZNIK IV

Zalecenia odnośnie bezpiecznego

Zalecenia odnośnie bezpiecznego

sprawdzania podpisu

sprawdzania podpisu



Podczas procesu sprawdzania podpisu

Podczas procesu sprawdzania podpisu

należy zapewnić w ramach racjonalnego

należy zapewnić w ramach racjonalnego

bezpieczeństwa, żeby:

bezpieczeństwa, żeby:

a)

a)

dane użyte do kontroli podpisu odpowiadały

dane użyte do kontroli podpisu odpowiadały

danym, które pokazuje kontrolujący;

danym, które pokazuje kontrolujący;

b)

b)

podpis był sprawdzany w sposób godny

podpis był sprawdzany w sposób godny

zaufania

zaufania

a wynik tej kontroli był właściwie pokazywany;

a wynik tej kontroli był właściwie pokazywany;

c)

c)

kontrolujący mógł w razie potrzeby, w sposób

kontrolujący mógł w razie potrzeby, w sposób

godny zaufania stwierdzić treść podpisanych

godny zaufania stwierdzić treść podpisanych

danych;

danych;

CD. Zalecenia odnośnie

CD. Zalecenia odnośnie

bezpiecznego sprawdzania

bezpiecznego sprawdzania

podpisu

podpisu

d)

d)

prawdziwość i ważność autoryzacji

prawdziwość i ważność autoryzacji

wymaganej w czasie sprawdzania były

wymaganej w czasie sprawdzania były

sprawdzane w sposób godny zaufania;

sprawdzane w sposób godny zaufania;

e)

e)

wynik sprawdzania i tożsamość

wynik sprawdzania i tożsamość

podpisującego były pokazywane

podpisującego były pokazywane

we właściwy sposób;

we właściwy sposób;

f)

f)

użycie pseudonimu podane było

użycie pseudonimu podane było

jednoznacznie, i

jednoznacznie, i

g)

g)

ważne zmiany związane z

ważne zmiany związane z

bezpieczeństwem mogły zostać

bezpieczeństwem mogły zostać

rozpoznane.

rozpoznane.