Podpis
Podpis
elektroniczny
elektroniczny
Unormowania prawne i definicje
Unormowania prawne i definicje
Podpis
Podpis
elektroniczny
elektroniczny
Unormowania prawne i definicje
Unormowania prawne i definicje
Regulacje prawne
Regulacje prawne
W światowych regulacjach główny nacisk
kładzie się na:
otwarty katalog technologii podpisów,
wiarygodne procedury autoryzacji
i weryfikacji składania oświadczeń woli
w drodze elektronicznej,
ochronę konsumenta, ochronę danych,
bezpieczeństwo prawne obrotu,
regulację rynku poświadczania
autentyczności podpisów elektronicznych
oraz możliwie najwyższy poziom tych usług.
Definicja podpisu elektronicznego
Definicja podpisu elektronicznego
(PL)
(PL)
Ogólnie podpisem elektronicznym
Ogólnie podpisem elektronicznym
są
są
dane
dane
w formie elektronicznej,
w formie elektronicznej,
logicznie powiązane z innymi
logicznie powiązane z innymi
danymi
danymi
przesyłanymi w drodze
przesyłanymi w drodze
elektronicznej na zasadach, które
elektronicznej na zasadach, które
są równocześnie metodą
są równocześnie metodą
uwierzytelniania tych danych.
uwierzytelniania tych danych.
Dyrektywa Unii
Dyrektywa Unii
Unia Europejska przyjęła z końcem
Unia Europejska przyjęła z końcem
1999 roku dyrektywę odnoszącą się
1999 roku dyrektywę odnoszącą się
do podpisów elektronicznych
do podpisów elektronicznych
i związanych z ich stosowaniem
i związanych z ich stosowaniem
usług poświadczania autentyczności.
usług poświadczania autentyczności.
Kraje członkowskie miały do końca
Kraje członkowskie miały do końca
czerwca 2001 roku wprowadzić
czerwca 2001 roku wprowadzić
odpowiednie normy prawne.
odpowiednie normy prawne.
Zasada pewności i
Zasada pewności i
wolności
wolności
Dyrektywa z 13 grudnia 1999 roku
Dyrektywa z 13 grudnia 1999 roku
Parlamentu Europejskiego i Rady
Parlamentu Europejskiego i Rady
o ramowych założeniach Wspólnoty
o ramowych założeniach Wspólnoty
dotycząca podpisów elektronicznych
dotycząca podpisów elektronicznych
(Electronic Signatures Directive 99/93)
(Electronic Signatures Directive 99/93)
zakłada zarówno zasadę pewności,
zakłada zarówno zasadę pewności,
jak i wolności obrotu elektronicznego.
jak i wolności obrotu elektronicznego.
Zasada pewności
Zasada pewności
Zasadę pewności postuluje wytyczna,
Zasadę pewności postuluje wytyczna,
iż podpis elektroniczny będzie miał
iż podpis elektroniczny będzie miał
w odniesieniu do skutków prawnych
w odniesieniu do skutków prawnych
tę samą moc co podpis własnoręczny,
tę samą moc co podpis własnoręczny,
a zarazem będzie w taki sposób
a zarazem będzie w taki sposób
dołączony do przekazywanych danych,
dołączony do przekazywanych danych,
iż jakakolwiek ich zmiana będzie
iż jakakolwiek ich zmiana będzie
wykrywalna.
wykrywalna.
Zasada wolności obrotu
Zasada wolności obrotu
elektronicznego
elektronicznego
Wolność obrotu ma być gwarantowana
Wolność obrotu ma być gwarantowana
przez wolny dostęp do usług
przez wolny dostęp do usług
certyfikacyjnych, brak przymusu
certyfikacyjnych, brak przymusu
administracyjnego, jeśli chodzi o
administracyjnego, jeśli chodzi o
akredytację świadczenia tego rodzaju usług,
akredytację świadczenia tego rodzaju usług,
a także zakaz ograniczania konkurencji
a także zakaz ograniczania konkurencji
na rynku usług certyfikacyjnych.
na rynku usług certyfikacyjnych.
W tych ramach regulacje odnoszące się
W tych ramach regulacje odnoszące się
do zagadnień certyfikacji powinny być
do zagadnień certyfikacji powinny być
kształtowane przez prawo krajowe.
kształtowane przez prawo krajowe.
CD. Zasada wolności
CD. Zasada wolności
obrotu elektronicznego
obrotu elektronicznego
Dyrektywa wyklucza przymus
Dyrektywa wyklucza przymus
akredytacyjny, a jednocześnie
akredytacyjny, a jednocześnie
pozostawia w gestii prawa krajowego
pozostawia w gestii prawa krajowego
utworzenie struktury usług
utworzenie struktury usług
certyfikacyjnych. Postuluje się takie
certyfikacyjnych. Postuluje się takie
ukształtowanie usług certyfikacyjnych,
ukształtowanie usług certyfikacyjnych,
aby budziły pełne zaufanie klientów
aby budziły pełne zaufanie klientów
do bezpieczeństwa tych usług
do bezpieczeństwa tych usług
i wykształciły najlepszą praktykę.
i wykształciły najlepszą praktykę.
Zasady rynku
Zasady rynku
wewnętrznego
wewnętrznego
Każde państwo członkowskie stosuje
Każde państwo członkowskie stosuje
postanowienia krajowe, wydane na podstawie
postanowienia krajowe, wydane na podstawie
dyrektywy,
dyrektywy,
do osiadłych na ich terenie dostawców usług
do osiadłych na ich terenie dostawców usług
autoryzacyjnych i ich usług. Państwa
autoryzacyjnych i ich usług. Państwa
członkowskie nie mogą ograniczać udostępniania
członkowskie nie mogą ograniczać udostępniania
usług autoryzacyjnych pochodzących z innych
usług autoryzacyjnych pochodzących z innych
państw członkowskich w dziedzinach objętych
państw członkowskich w dziedzinach objętych
tą dyrektywą.
tą dyrektywą.
Państwa członkowskie zapewnią, że produkty
Państwa członkowskie zapewnią, że produkty
dla podpisu elektronicznego, spełniające
dla podpisu elektronicznego, spełniające
wymagania dyrektywy, znajdują się w wolnym
wymagania dyrektywy, znajdują się w wolnym
obrocie na rynku wewnętrznym.
obrocie na rynku wewnętrznym.
Umocowanie prawne
Umocowanie prawne
kategorii podpisu
kategorii podpisu
elektronicznego
elektronicznego
Dyrektywa określa umocowanie
Dyrektywa określa umocowanie
prawne kategorii podpisu
prawne kategorii podpisu
elektronicznego,
elektronicznego,
który definiuje w sposób ogólny
który definiuje w sposób ogólny
i kwalifikowany.
i kwalifikowany.
Definicja ogólna podpisu
Definicja ogólna podpisu
elektronicznego
elektronicznego
Ogólnie podpisem elektronicznym
Ogólnie podpisem elektronicznym
są dane w formie elektronicznej,
są dane w formie elektronicznej,
logicznie powiązane z innymi
logicznie powiązane z innymi
danymi przesyłanymi w drodze
danymi przesyłanymi w drodze
elektronicznej na zasadach, które
elektronicznej na zasadach, które
są równocześnie metodą
są równocześnie metodą
uwierzytelniania tych danych.
uwierzytelniania tych danych.
Definicja zaawansowanego
Definicja zaawansowanego
podpisu elektronicznego
podpisu elektronicznego
Podpisem elektronicznym w formie
Podpisem elektronicznym w formie
zaawansowanej jest podpis, który odpowiada
zaawansowanej jest podpis, który odpowiada
następującym warunkom:
następującym warunkom:
1.
1.
związany jest wyłącznie z podpisującym,
związany jest wyłącznie z podpisującym,
2.
2.
umożliwia identyfikację podpisującego,
umożliwia identyfikację podpisującego,
3.
3.
został wygenerowany za pomocą środków
został wygenerowany za pomocą środków
będących pod wyłączną kontrolą podpisującego,
będących pod wyłączną kontrolą podpisującego,
4.
4.
jest powiązany z innymi danymi w taki sposób,
jest powiązany z innymi danymi w taki sposób,
iż zawsze pozwala na wykrycie każdej zmiany
iż zawsze pozwala na wykrycie każdej zmiany
danych.
danych.
Podsumowanie
Podsumowanie
Reasumując, dyrektywa z jednej
Reasumując, dyrektywa z jednej
strony zakłada brak monopolu na
strony zakłada brak monopolu na
usługi certyfikacyjne i zachowanie
usługi certyfikacyjne i zachowanie
zasad pełnej konkurencyjności na
zasad pełnej konkurencyjności na
rynku tych usług, z drugiej –
rynku tych usług, z drugiej –
zagwarantowanie dostępności tych
zagwarantowanie dostępności tych
usług na poziomie najwyższego
usług na poziomie najwyższego
zaufania.
zaufania.
CD. Podsumowanie
CD. Podsumowanie
Jeżeli chodzi o podpis elektroniczny,
Jeżeli chodzi o podpis elektroniczny,
nie przesadza o jego charakterze,
nie przesadza o jego charakterze,
nadając zarazem wyższy status
nadając zarazem wyższy status
zaawansowania podpisowi, który
zaawansowania podpisowi, który
dzisiaj w sposób najbardziej
dzisiaj w sposób najbardziej
bezpieczny można stworzyć na bazie
bezpieczny można stworzyć na bazie
technologii asymetrycznych kluczy do
technologii asymetrycznych kluczy do
kodowania
kodowania
i dekodowania przesyłanych danych
i dekodowania przesyłanych danych
(w praktyce chodzi o podpis cyfrowy).
(w praktyce chodzi o podpis cyfrowy).
CD. Podsumowanie
CD. Podsumowanie
Postulując zasady pełnego zaufania do usług
Postulując zasady pełnego zaufania do usług
związanych z podpisami elektronicznymi,
związanych z podpisami elektronicznymi,
konkurencyjności tych usług oraz zasadę pewności
konkurencyjności tych usług oraz zasadę pewności
podpisu elektronicznego, dyrektywa nie przesądza
podpisu elektronicznego, dyrektywa nie przesądza
struktury i procedur związanych z usługami
struktury i procedur związanych z usługami
ani możliwej do zastosowania technologii. Zakłada
ani możliwej do zastosowania technologii. Zakłada
ukształtowanie równowagi między
ukształtowanie równowagi między
bezpieczeństwem interesów podmiotów
bezpieczeństwem interesów podmiotów
korzystających z usług certyfikacyjnych a zasadami
korzystających z usług certyfikacyjnych a zasadami
prowadzenia działalności gospodarczej w
prowadzenia działalności gospodarczej w
warunkach rynku opartego na wolnej konkurencji.
warunkach rynku opartego na wolnej konkurencji.
Definicje
Definicje
W sensie niniejszej dyrektywy termin:
W sensie niniejszej dyrektywy termin:
1.
1.
„
„
podpis elektroniczny” oznacza dane w formie
podpis elektroniczny” oznacza dane w formie
elektronicznej, które dodane są do innych danych
elektronicznej, które dodane są do innych danych
elektronicznych
elektronicznych
lub są z nimi logicznie powiązane i służą do
lub są z nimi logicznie powiązane i służą do
autoryzacji;
autoryzacji;
2.
2.
„
„
zaawansowany podpis elektroniczny” oznacza podpis
zaawansowany podpis elektroniczny” oznacza podpis
elektroniczny spełniający następujące wymagania:
elektroniczny spełniający następujące wymagania:
1.
1.
przyporządkowany jest wyłącznie podpisującemu;
przyporządkowany jest wyłącznie podpisującemu;
2.
2.
umożliwia identyfikację podpisującego;
umożliwia identyfikację podpisującego;
3.
3.
stworzony jest za pomocą środków, które podpisujący
stworzony jest za pomocą środków, które podpisujący
może mieć pod swoją wyłączną kontrolą;
może mieć pod swoją wyłączną kontrolą;
4.
4.
jest tak powiązany z danymi, do których się odnosi,
jest tak powiązany z danymi, do których się odnosi,
że każda późniejsza zmiana może zostać wykryta;
że każda późniejsza zmiana może zostać wykryta;
CD. Definicje
CD. Definicje
3.
3.
„
„
podpisujący” oznacza osobę posiadającą
podpisujący” oznacza osobę posiadającą
urządzenie do generowania podpisów,
urządzenie do generowania podpisów,
która działa w imieniu własnym lub
która działa w imieniu własnym lub
w imieniu osób prywatnych lub fizycznych,
w imieniu osób prywatnych lub fizycznych,
lub stron, których jest przedstawicielem;
lub stron, których jest przedstawicielem;
4.
4.
„
„
dane do generowania podpisu” oznacza
dane do generowania podpisu” oznacza
jednorazowe dane jak kod lub prywatny klucz
jednorazowe dane jak kod lub prywatny klucz
kryptograficzny, które są używane przez
kryptograficzny, które są używane przez
podpisującego do stworzenia podpisu
podpisującego do stworzenia podpisu
elektronicznego;
elektronicznego;
CD. Definicje
CD. Definicje
5.
5.
„
„
urządzenie generujące podpisy” oznacza
urządzenie generujące podpisy” oznacza
skonfigurowane oprogramowanie lub sprzęt
skonfigurowane oprogramowanie lub sprzęt
używane do zaimplementowania danych
używane do zaimplementowania danych
do generowania podpisu;
do generowania podpisu;
6.
6.
„
„
bezpieczne urządzenie generujące podpisy”
bezpieczne urządzenie generujące podpisy”
oznacza urządzenie generujące podpisy,
oznacza urządzenie generujące podpisy,
które spełnia wymagania załącznika III dyrektywy;
które spełnia wymagania załącznika III dyrektywy;
7.
7.
„
„
dane do sprawdzania podpisu” oznacza dane
dane do sprawdzania podpisu” oznacza dane
jak kod lub publiczne klucze kryptograficzne,
jak kod lub publiczne klucze kryptograficzne,
używane do sprawdzania podpisu
używane do sprawdzania podpisu
elektronicznego;
elektronicznego;
CD. Definicje
CD. Definicje
8.
8.
„
„
urządzenie sprawdzające podpisy” oznacza
urządzenie sprawdzające podpisy” oznacza
skonfigurowane oprogramowanie lub sprzęt używane do
skonfigurowane oprogramowanie lub sprzęt używane do
zaimplementowania danych
zaimplementowania danych
do sprawdzania podpisu;
do sprawdzania podpisu;
9.
9.
„
„
autoryzacja” oznacza zaświadczenie elektroniczne, za
autoryzacja” oznacza zaświadczenie elektroniczne, za
pomocą którego dane do sprawdzania podpisu są
pomocą którego dane do sprawdzania podpisu są
przyporządkowane osobie i potwierdzają tożsamość tej
przyporządkowane osobie i potwierdzają tożsamość tej
osoby;
osoby;
10.
10.
„
„
autoryzacja kwalifikowana” oznacza autoryzację
autoryzacja kwalifikowana” oznacza autoryzację
spełniającą wymogi załącznika I i wystawiana jest przez
spełniającą wymogi załącznika I i wystawiana jest przez
dostawcę usług autoryzacyjnych,
dostawcę usług autoryzacyjnych,
która spełnia wymogi załącznika II;
która spełnia wymogi załącznika II;
CD. Definicje
CD. Definicje
11.
11.
„
„
dostawca usług autoryzacyjnych” oznacza
dostawca usług autoryzacyjnych” oznacza
jednostkę lub osobę prawną bądź fizyczną,
jednostkę lub osobę prawną bądź fizyczną,
która wystawia autoryzacje lub udostępnia inne
która wystawia autoryzacje lub udostępnia inne
usługi związane z podpisem elektronicznym;
usługi związane z podpisem elektronicznym;
12.
12.
„
„
produkt dla podpisu elektronicznego” oznacza
produkt dla podpisu elektronicznego” oznacza
oprogramowanie lub sprzęt względnie ich
oprogramowanie lub sprzęt względnie ich
specyficzne komponenty, które mają być użyte
specyficzne komponenty, które mają być użyte
przez dostawcę usług autoryzacyjnych
przez dostawcę usług autoryzacyjnych
do udostępnienia usług dla podpisu
do udostępnienia usług dla podpisu
elektronicznego lub do tworzenia i kontroli
elektronicznego lub do tworzenia i kontroli
podpisu elektronicznego;
podpisu elektronicznego;
CD. Definicje
CD. Definicje
13.
13.
„
„
dobrowolna akredytacja” oznacza zezwolenie,
dobrowolna akredytacja” oznacza zezwolenie,
które ustala prawa i obowiązki związane
które ustala prawa i obowiązki związane
ze świadczeniem usług autoryzacyjnych,
ze świadczeniem usług autoryzacyjnych,
przyznane na wniosek danego dostawcy usług
przyznane na wniosek danego dostawcy usług
autoryzacyjnych przez organ państwowy
autoryzacyjnych przez organ państwowy
bądź prywatny,który jest właściwy do ustalania
bądź prywatny,który jest właściwy do ustalania
tych praw i obowiązków jak też do kontroli
tych praw i obowiązków jak też do kontroli
ich przestrzegania, jednak dostawca usług
ich przestrzegania, jednak dostawca usług
autoryzacyjnych nie jest uprawniony do
autoryzacyjnych nie jest uprawniony do
korzystania z praw wynikających z zezwolenia,
korzystania z praw wynikających z zezwolenia,
zanim nie otrzyma zawiadomienia o decyzji;
zanim nie otrzyma zawiadomienia o decyzji;
ZAŁĄCZNIK I
ZAŁĄCZNIK I
Wymagania względem autoryzacji
Wymagania względem autoryzacji
kwalifikowanej
kwalifikowanej
Autoryzacje kwalifikowane muszą zawierać następujące dane:
Autoryzacje kwalifikowane muszą zawierać następujące dane:
a)
a)
informację, że dana autoryzacja została wystawiona
informację, że dana autoryzacja została wystawiona
jako autoryzacja kwalifikowana;
jako autoryzacja kwalifikowana;
b)
b)
dane dostawcy usług autoryzacyjnych i państwa, w
dane dostawcy usług autoryzacyjnych i państwa, w
którym ma swoją siedzibę;
którym ma swoją siedzibę;
c)
c)
nazwę podpisującego lub pseudonim, który jako taki
nazwę podpisującego lub pseudonim, który jako taki
można zidentyfikować;
można zidentyfikować;
d)
d)
miejsce dla specyficznego atrybutu podpisującego,
miejsce dla specyficznego atrybutu podpisującego,
który jest przyznawany w zależności od przeznaczenia
który jest przyznawany w zależności od przeznaczenia
autoryzacji;
autoryzacji;
e)
e)
dane do sprawdzania podpisu, które odpowiadają
dane do sprawdzania podpisu, które odpowiadają
danym
danym
do generowania podpisu kontrolowanym przez
do generowania podpisu kontrolowanym przez
podpisującego;
podpisującego;
CD. Autoryzacje
CD. Autoryzacje
kwalifikowane
kwalifikowane
f)
f)
dane odnośnie początku i końca
dane odnośnie początku i końca
obowiązywania autoryzacji;
obowiązywania autoryzacji;
g)
g)
kod identyfikacyjny autoryzacji;
kod identyfikacyjny autoryzacji;
h)
h)
zaawansowany podpis elektroniczny
zaawansowany podpis elektroniczny
wystawiającego dostawcy usług
wystawiającego dostawcy usług
autoryzacyjnych;
autoryzacyjnych;
i)
i)
jeżeli konieczne, ograniczenia zakresu
jeżeli konieczne, ograniczenia zakresu
obowiązywania autoryzacji, oraz
obowiązywania autoryzacji, oraz
j)
j)
jeżeli konieczne, granice wartości transakcji,
jeżeli konieczne, granice wartości transakcji,
do której można stosować autoryzacje.
do której można stosować autoryzacje.
ZAŁĄCZNIK II
ZAŁĄCZNIK II
Wymagania odnośnie dostawców usług
Wymagania odnośnie dostawców usług
autoryzacyjnych wystawiających autoryzacje
autoryzacyjnych wystawiających autoryzacje
kwalifikowane
kwalifikowane
Dostawcy usług autoryzacyjnych:
Dostawcy usług autoryzacyjnych:
a)
a)
muszą udowodnić konieczną niezawodność
muszą udowodnić konieczną niezawodność
co do świadczenia usług autoryzacyjnych;
co do świadczenia usług autoryzacyjnych;
b)
b)
muszą zapewnić prowadzenie usług szybkiego
muszą zapewnić prowadzenie usług szybkiego
i bezpiecznego zarządzania oraz pewnego
i bezpiecznego zarządzania oraz pewnego
i natychmiastowego odwołania;
i natychmiastowego odwołania;
c)
c)
muszą zapewnić dokładne określanie daty i godziny
muszą zapewnić dokładne określanie daty i godziny
wystawienia czy cofnięcia autoryzacji;
wystawienia czy cofnięcia autoryzacji;
d)
d)
muszą sprawdzić za pomocą stosownych środków
muszą sprawdzić za pomocą stosownych środków
zgodnych z prawem krajowym tożsamość
zgodnych z prawem krajowym tożsamość
i jeżeli konieczne specyficzne atrybuty osoby,
i jeżeli konieczne specyficzne atrybuty osoby,
dla której wystawiają autoryzację;
dla której wystawiają autoryzację;
CD. Dostawcy usług
CD. Dostawcy usług
autoryzacyjnych
autoryzacyjnych
e)
e)
muszą zatrudnić personel z koniecznymi do swoich usług
muszą zatrudnić personel z koniecznymi do swoich usług
wiedzą, doświadczeniem i kwalifikacjami; do tego należą
wiedzą, doświadczeniem i kwalifikacjami; do tego należą
w szczególności kompetencje managera, znajomość
w szczególności kompetencje managera, znajomość
technologii podpisu elektronicznego i znajomość stosownych
technologii podpisu elektronicznego i znajomość stosownych
procedur bezpieczeństwa; dalej muszą stosować właściwe
procedur bezpieczeństwa; dalej muszą stosować właściwe
procedury administracyjne i zarządzania, które odpowiadają
procedury administracyjne i zarządzania, które odpowiadają
uznanym normom;
uznanym normom;
f)
f)
muszą stosować godne zaufania systemy i produkty,
muszą stosować godne zaufania systemy i produkty,
które są chronione przed zmianami i które zapewniają
które są chronione przed zmianami i które zapewniają
techniczne i kryptograficzne bezpieczeństwo procedur,
techniczne i kryptograficzne bezpieczeństwo procedur,
które wspierają;
które wspierają;
g)
g)
muszą przedsięwziąć środki przeciwko fałszowaniu
muszą przedsięwziąć środki przeciwko fałszowaniu
autoryzacji, w przypadkach, gdy tworzą dane do generowania
autoryzacji, w przypadkach, gdy tworzą dane do generowania
podpisu, zapewnią poufność podczas tworzenia tych danych;
podpisu, zapewnią poufność podczas tworzenia tych danych;
CD. Dostawcy usług
CD. Dostawcy usług
autoryzacyjnych
autoryzacyjnych
h)
h)
muszą dysponować wystarczającymi środkami
muszą dysponować wystarczającymi środkami
finansowymi, aby działać zgodnie z wymogami niniejszej
finansowymi, aby działać zgodnie z wymogami niniejszej
dyrektywy. Muszą, w szczególności,
dyrektywy. Muszą, w szczególności,
być w stanie ponieść odpowiedzialność za szkody, np.
być w stanie ponieść odpowiedzialność za szkody, np.
przy wykupieniu odpowiedniego ubezpieczenia;
przy wykupieniu odpowiedniego ubezpieczenia;
i)
i)
muszą w odpowiednim okresie nagrywać wszystkie
muszą w odpowiednim okresie nagrywać wszystkie
istotne informacje o autoryzacji kwalifikowanej,
istotne informacje o autoryzacji kwalifikowanej,
aby w szczególności przy postępowaniu sądowym móc
aby w szczególności przy postępowaniu sądowym móc
udowodnić autoryzację;
udowodnić autoryzację;
j)
j)
nie mogą gromadzić czy kopiować danych
nie mogą gromadzić czy kopiować danych
do generowania podpisu osób, którym oferuje się
do generowania podpisu osób, którym oferuje się
wykonanie kluczowych usług zarządzania;
wykonanie kluczowych usług zarządzania;
CD. Dostawcy usług
CD. Dostawcy usług
autoryzacyjnych
autoryzacyjnych
k)
k)
zanim połączy je stosunek wynikający z umowy
zanim połączy je stosunek wynikający z umowy
z osobą, która życzy sobie otrzymać autoryzację
z osobą, która życzy sobie otrzymać autoryzację
dla poparcia swojego podpisu elektronicznego, muszą
dla poparcia swojego podpisu elektronicznego, muszą
ją poinformować za pomocą trwałego środka
ją poinformować za pomocą trwałego środka
komunikacyjnego o dokładnych warunkach
komunikacyjnego o dokładnych warunkach
stosowania autoryzacji, do których należą min.
stosowania autoryzacji, do których należą min.
ograniczenia stosowania autoryzacji, istnienie
ograniczenia stosowania autoryzacji, istnienie
systemu dobrowolnej akredytacji i postępowanie
systemu dobrowolnej akredytacji i postępowanie
w przypadku skarg i postępowania pojednawczego.
w przypadku skarg i postępowania pojednawczego.
Informacje te muszą mieć formę elektroniczną
Informacje te muszą mieć formę elektroniczną
i być sformułowane w sposób jasny, by można
i być sformułowane w sposób jasny, by można
je przekazać elektronicznie. Ważne części tych
je przekazać elektronicznie. Ważne części tych
informacji udostępnia się na wniosek stronom trzecim
informacji udostępnia się na wniosek stronom trzecim
polegającym na autoryzacji.
polegającym na autoryzacji.
CD. Dostawcy usług
CD. Dostawcy usług
autoryzacyjnych
autoryzacyjnych
l)
l)
muszą stosować godne zaufania systemy
muszą stosować godne zaufania systemy
do gromadzenia autoryzacji w formie
do gromadzenia autoryzacji w formie
umożliwiającej sprawdzenie, tak że:
umożliwiającej sprawdzenie, tak że:
tylko osoby uprawnione mogą wprowadzać
tylko osoby uprawnione mogą wprowadzać
i zmieniać dane;
i zmieniać dane;
można sprawdzić prawdziwość informacji;
można sprawdzić prawdziwość informacji;
autoryzacje można publicznie cofnąć tylko
autoryzacje można publicznie cofnąć tylko
w wypadkach, dla których wyraził zgodę właściciel
w wypadkach, dla których wyraził zgodę właściciel
autoryzacji;
autoryzacji;
zmiany techniczne, które wpływają negatywnie
zmiany techniczne, które wpływają negatywnie
na zachowanie tych wymogów bezpieczeństwa,
na zachowanie tych wymogów bezpieczeństwa,
są dla operatora widoczne.
są dla operatora widoczne.
ZAŁĄCZNIK III
ZAŁĄCZNIK III
Wymagania dla urządzeń
Wymagania dla urządzeń
tworzących podpisy
tworzących podpisy
1.
1.
Bezpieczne urządzenia tworzące podpisy
Bezpieczne urządzenia tworzące podpisy
muszą poprzez odpowiednie techniki i
muszą poprzez odpowiednie techniki i
procedury przynajmniej zapewnić, że:
procedury przynajmniej zapewnić, że:
a)
a)
dane do tworzenia podpisu użyte do stworzenia
dane do tworzenia podpisu użyte do stworzenia
podpisu praktycznie pojawiają się tylko raz
podpisu praktycznie pojawiają się tylko raz
oraz zapewniona jest ich poufność;
oraz zapewniona jest ich poufność;
b)
b)
dane do tworzenia podpisu użyte do stworzenia
dane do tworzenia podpisu użyte do stworzenia
podpisu nie mogą, przy zachowaniu rozsądnego
podpisu nie mogą, przy zachowaniu rozsądnego
bezpieczeństwa, być uzyskane oraz podpisy
bezpieczeństwa, być uzyskane oraz podpisy
są chronione przed fałszowaniem przy użyciu
są chronione przed fałszowaniem przy użyciu
dostępnej technologii;
dostępnej technologii;
c)
c)
dane do tworzenia podpisu użyte
dane do tworzenia podpisu użyte
do stworzenia podpisu chronione są
do stworzenia podpisu chronione są
przez prawnie podpisującego przed użyciem przez
przez prawnie podpisującego przed użyciem przez
innych w sposób godny zaufania.
innych w sposób godny zaufania.
CD. Wymagania dla urządzeń
CD. Wymagania dla urządzeń
tworzących podpisy
tworzących podpisy
2.
2.
Bezpieczne urządzenia tworzące
Bezpieczne urządzenia tworzące
podpisy nie zmieniają danych do
podpisy nie zmieniają danych do
podpisania i nie stoją na
podpisania i nie stoją na
przeszkodzie, żeby dane te
przeszkodzie, żeby dane te
zostały przedstawione
zostały przedstawione
podpisującemu przed procesem
podpisującemu przed procesem
podpisywania.
podpisywania.
ZAŁĄCZNIK IV
ZAŁĄCZNIK IV
Zalecenia odnośnie bezpiecznego
Zalecenia odnośnie bezpiecznego
sprawdzania podpisu
sprawdzania podpisu
Podczas procesu sprawdzania podpisu
Podczas procesu sprawdzania podpisu
należy zapewnić w ramach racjonalnego
należy zapewnić w ramach racjonalnego
bezpieczeństwa, żeby:
bezpieczeństwa, żeby:
a)
a)
dane użyte do kontroli podpisu odpowiadały
dane użyte do kontroli podpisu odpowiadały
danym, które pokazuje kontrolujący;
danym, które pokazuje kontrolujący;
b)
b)
podpis był sprawdzany w sposób godny
podpis był sprawdzany w sposób godny
zaufania
zaufania
a wynik tej kontroli był właściwie pokazywany;
a wynik tej kontroli był właściwie pokazywany;
c)
c)
kontrolujący mógł w razie potrzeby, w sposób
kontrolujący mógł w razie potrzeby, w sposób
godny zaufania stwierdzić treść podpisanych
godny zaufania stwierdzić treść podpisanych
danych;
danych;
CD. Zalecenia odnośnie
CD. Zalecenia odnośnie
bezpiecznego sprawdzania
bezpiecznego sprawdzania
podpisu
podpisu
d)
d)
prawdziwość i ważność autoryzacji
prawdziwość i ważność autoryzacji
wymaganej w czasie sprawdzania były
wymaganej w czasie sprawdzania były
sprawdzane w sposób godny zaufania;
sprawdzane w sposób godny zaufania;
e)
e)
wynik sprawdzania i tożsamość
wynik sprawdzania i tożsamość
podpisującego były pokazywane
podpisującego były pokazywane
we właściwy sposób;
we właściwy sposób;
f)
f)
użycie pseudonimu podane było
użycie pseudonimu podane było
jednoznacznie, i
jednoznacznie, i
g)
g)
ważne zmiany związane z
ważne zmiany związane z
bezpieczeństwem mogły zostać
bezpieczeństwem mogły zostać
rozpoznane.
rozpoznane.