КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 7 листопада 2018 р. № 992
Київ
( Постанова втратила чинність на підставі Постанови КМ № 764 від 28.06.2024 )
Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг
( Із змінами, внесеними згідно з Постановами КМ № 1068 від 11.12.2019 № 289 від 30.03.2023 № 298 від 04.04.2023 )
Відповідно до статей 13, 18-23, 26-28, 33 Закону України "Про електронні довірчі послуги" Кабінет Міністрів України постановляє:
( Вступна частина із змінами, внесеними згідно з Постановою КМ № 298 від 04.04.2023 )
1. Затвердити такі, що додаються:
вимоги у сфері електронних довірчих послуг;
Порядок перевірки дотримання вимог законодавства у сфері електронних довірчих послуг.
2. Установити, що для надання кваліфікованих електронних довірчих послуг можуть використовуватись надійні засоби електронного цифрового підпису, які отримали позитивні експертні висновки за результатами державної експертизи у сфері криптографічного захисту інформації, видані до набрання чинності Законом України "Про електронні довірчі послуги", до закінчення строку дії експертних висновків.
3. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.
4. Ця постанова набирає чинності з дня її опублікування, крім пунктів 68-72 переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до затверджених цією постановою вимог у сфері електронних довірчих послуг. Зазначені пункти набирають чинності з 1 січня 2019 року.
Прем'єр-міністр України | В.ГРОЙСМАН |
Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 7 листопада 2018 р. № 992
ВИМОГИ
у сфері електронних довірчих послуг
( У тексті вимог слова "інформаційно-телекомунікаційна система" в усіх відмінках і формах числа замінено словами "інформаційно-комунікаційна система" у відповідному відмінку і числі згідно з Постановою КМ № 289 від 30.03.2023 )
Загальні положення
1. Ці вимоги визначають організаційно-методологічні, технічні та технологічні умови, яких повинен дотримуватися кваліфікований надавач електронних довірчих послуг (далі - надавач), його відокремлені пункти реєстрації під час надання кваліфікованих електронних довірчих послуг їх користувачам.
2. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги відповідно до цих вимог з урахуванням особливостей, передбачених Законом України "Про електронні довірчі послуги".
3. Дія цих вимог не поширюється на надання кваліфікованих електронних довірчих послуг у банківській системі України та під час здійснення переказу коштів.
4. У цих вимогах терміни вживаються в такому значенні:
багатофакторна автентифікація - автентифікація з використанням двох або більше факторів автентифікації, що належать до різних груп таких факторів;
( Пункт 4 доповнено новим абзацом згідно з Постановою КМ № 298 від 04.04.2023 )
власник веб-сайту - користувач кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;
геш-значення - фіксовані за обсягом електронні дані, утворені шляхом перетворення електронних даних із застосуванням криптографічного алгоритму;
гешування - перетворення електронних даних будь-якого обсягу в електронні дані фіксованого обсягу шляхом застосування криптографічного алгоритму;
заявник - фізична особа, у тому числі іноземець, фізична особа - підприємець, уповноважений представник юридичної особи, фізичної особи - підприємця, іноземної юридичної особи, що звернулися до надавача для отримання кваліфікованих електронних довірчих послуг;
( Абзац шостий пункту 4 в редакції Постанови КМ № 298 від 04.04.2023 )
інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем надавача або центрального засвідчувального органу, які у процесі обробки інформації діють як єдине ціле та об’єднують програмно-технічний комплекс, що використовується під час надання кваліфікованих електронних довірчих послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в зазначених системах, а також найманих працівників надавача або центрального засвідчувального органу, які безпосередньо задіяні у наданні кваліфікованих електронних довірчих послуг або обслуговують програмно-технічний комплекс (далі - наймані працівники);
( Абзац пункту 4 із змінами, внесеними згідно з Постановою КМ № 289 від 30.03.2023 )
кваліфікована електронна довірча послуга - електронна довірча послуга, надання якої забезпечує надавач або центральний засвідчувальний орган, зокрема за допомогою засобу кваліфікованого електронного підпису чи печатки, та яка базується на кваліфікованому сертифікаті відкритого ключа;
користувач - особа, яка на підставі договору або іншого документа отримує у надавача кваліфіковану електронну довірчу послугу;
об’єктний ідентифікатор - унікальний буквено-числовий чи числовий ідентифікатор, зареєстрований у відповідному стандарті Міжнародної організації із стандартизації для конкретних об’єктів або для певного класу об’єктів;
онлайн-операція - будь-яка дія, технологічна схема якої передбачає наявність безперервного електронного комунікаційного з’єднання в режимі реального часу під час її проведення;
( Абзац пункту 4 із змінами, внесеними згідно з Постановою КМ № 289 від 30.03.2023 )
орган з оцінки відповідності - підприємство, установа, організація чи їх підрозділи, які провадять діяльність з оцінки відповідності, акредитовані відповідно до законодавства у сфері акредитації, а також іноземний орган з оцінки відповідності, акредитований відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA);
( Пункт 4 доповнено новим абзацом згідно з Постановою КМ № 298 від 04.04.2023 )
підтвердження електронної ідентифікації - процес перевірки та підтвердження належності ідентифікаційних даних фізичній особі, у тому числі іноземцю, фізичній особі - підприємцю, уповноваженому представнику юридичної особи, фізичної особи - підприємця, іноземної юридичної особи;
( Пункт 4 доповнено новим абзацом згідно з Постановою КМ № 298 від 04.04.2023 )
політика сертифіката - перелік усіх правил, що застосовуються надавачем у процесі надання кваліфікованих електронних довірчих послуг з обслуговування кваліфікованих сертифікатів відкритих ключів, включаючи положення цих вимог;
положення сертифікаційних практик - перелік усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката надавача;
публікація кваліфікованого сертифіката відкритого ключа - надання кваліфікованого сертифіката відкритого ключа користувачеві та у разі його згоди іншим особам шляхом розміщення його на офіційному веб-сайті надавача;
регламент роботи - документ надавача або центрального засвідчувального органу, що визначає організаційно-методологічні, технічні та технологічні умови діяльності надавача або центрального засвідчувального органу під час надання кваліфікованих електронних довірчих послуг, включаючи політику сертифіката та положення сертифікаційних практик;
розповсюдження інформації про статус кваліфікованого сертифіката відкритого ключа - надання вільного доступу до інформації про статус кваліфікованого сертифіката відкритого ключа;
список відкликаних сертифікатів - сформований та опублікований надавачем перелік кваліфікованих сертифікатів відкритих ключів, статус яких змінено на блокований, поновлений або скасований;
статус кваліфікованого сертифіката відкритого ключа - стан кваліфікованого сертифіката відкритого ключа (чинний, блокований, скасований) на певний момент часу;
управління статусом сертифіката - зміна статусу кваліфікованого сертифіката відкритого ключа надавачем;
фактор автентифікації - одна з умов, що передбачає володіння інформацією (даними), що відома лише користувачу, або володіння матеріальним предметом, який належить лише користувачу, інші властивості, у тому числі біометричні дані, притаманні лише користувачу, що відрізняють його від інших користувачів.
( Пункт 4 доповнено абзацом згідно з Постановою КМ № 298 від 04.04.2023 )
5. Інші терміни вживаються у значенні, наведеному в Законах України "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України".
( Пункт 5 в редакції Постанови КМ № 289 від 30.03.2023 )
Вимоги до надавачів
6. Найманими працівниками надавача, посадові обов’язки яких безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг, є:
1) адміністратор реєстрації;
2) адміністратор сертифікації;
3) адміністратор безпеки та аудиту;
4) системний адміністратор.
Забороняється суміщення посадових обов’язків адміністратора безпеки та аудиту з іншими посадовими обов’язками, безпосередньо пов’язаними з наданням кваліфікованих електронних довірчих послуг.
7. Наймані працівники надавача повинні мати необхідні для надання кваліфікованих електронних довірчих послуг знання, досвід і кваліфікацію.
Адміністратором сертифікації, адміністратором безпеки та аудиту, системним адміністратором може бути особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох років.
8. Організаційно-правовий статус керівника і найманих працівників надавача, їх завдання та функції, права та обов’язки, відповідальність, а також професійні знання, досвід і кваліфікація визначаються у посадових інструкціях.
Посадові інструкції повинні містити вимоги інформаційної безпеки та методи її забезпечення.
9. Керівник і наймані працівники надавача повинні бути ознайомлені з положеннями їх посадових інструкцій та діяти відповідно до своїх посадових завдань та функцій.
10. Адміністратор реєстрації відповідає за перевірку документів, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.
11. Основними обов’язками адміністратора реєстрації є:
1) ідентифікація та автентифікація заявників;
2) перевірка заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;
3) встановлення належності відкритого ключа та відповідного йому особистого ключа заявнику;
4) ведення обліку користувачів.
12. Адміністратор сертифікації відповідає за формування кваліфікованих сертифікатів відкритих ключів, ведення електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, збереження та використання особистих ключів надавача, а також створення їх резервних копій.
13. Основними обов’язками адміністратора сертифікації є:
1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;
2) зберігання особистих ключів надавача та їх резервних копій;
3) забезпечення використання особистих ключів надавача під час формування та обслуговування кваліфікованих сертифікатів відкритих ключів надавача та користувачів;
4) перевірка заяв про формування кваліфікованих сертифікатів відкритих ключів надавача на відповідність вимогам регламенту роботи надавача;
5) участь у знищенні особистих ключів надавача;
6) забезпечення ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів користувачів;
7) забезпечення публікації кваліфікованих сертифікатів відкритих ключів користувачів та списків відкликаних сертифікатів на офіційному веб-сайті надавача;
8) створення резервних копій кваліфікованих сертифікатів відкритих ключів користувачів;
9) зберігання кваліфікованих сертифікатів відкритих ключів користувачів, їх резервних копій, списків відкликаних сертифікатів та інших важливих ресурсів інформаційно-комунікаційної системи надавача.
14. Адміністратор безпеки та аудиту відповідає за належне функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою.
15. Основними обов’язками адміністратора безпеки та аудиту є:
1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;
2) контроль за формуванням, обслуговуванням і створенням резервних копій кваліфікованих сертифікатів відкритих ключів надавача, користувачів та списків відкликаних сертифікатів;
3) контроль за зберіганням особистих ключів надавача та їх резервних копій, особистих ключів адміністраторів;
4) участь у знищенні особистих ключів надавача, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;
5) організація розмежування доступу до ресурсів інформаційно-комунікаційної системи надавача;
6) забезпечення спостереження за функціонуванням комплексної системи захисту інформації або системи управління інформаційною безпекою (реєстрація подій в інформаційно-комунікаційній системі надавача, моніторинг подій тощо);
7) забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою після збоїв, відмов, аварій інформаційно-комунікаційної системи надавача;
8) забезпечення режиму доступу до приміщень надавача, в яких розміщена інформаційно-комунікаційна система надавача;
9) ведення журналів обліку адміністратора безпеки та аудиту, визначених документацією щодо комплексної системи захисту інформації або звітності, що передбачена системою управління інформаційною безпекою;
10) проведення перевірок журналів аудиту подій, що реєструють технічні засоби інформаційно-комунікаційної системи надавача;
11) проведення перевірок відповідності положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;
12) контроль за дотриманням найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;
13) контроль за веденням баз даних надавача;
14) контроль за веденням архіву надавача.
16. Адміністратор безпеки та аудиту відповідає за проведення перевірок дотримання найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою. Надавач встановлює періодичність (у днях, тижнях або місяцях) проведення таких внутрішніх перевірок, але не рідше ніж один раз на рік.
17. Системний адміністратор відповідає за функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) інформаційно-комунікаційної системи надавача.
18. Основними обов’язками системного адміністратора є:
1) організація експлуатації та технічного обслуговування інформаційно-комунікаційної системи надавача і адміністрування її технічних засобів;
2) забезпечення функціонування офіційного веб-сайту надавача;
3) участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою;
4) ведення журналів аудиту подій, що реєструють технічні засоби інформаційно-комунікаційної системи надавача;
5) встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення інформаційно-комунікаційної системи надавача;
6) встановлення та налагодження штатної підсистеми резервного копіювання бази даних інформаційно-комунікаційної системи надавача;
7) забезпечення актуалізації баз даних, створюваних та оброблюваних в інформаційно-комунікаційній системі надавача, у зв’язку із збоями.
19. Наймані працівники надавача повинні бути повідомлені про зміни в організації процесів надавача, що стосуються їх посадових обов’язків.
20. Керівник надавача зобов’язаний забезпечити створення умов для безперервної особистої освіти та постійне підвищення кваліфікації найманих працівників надавача у сферах інформаційних технологій, захисту інформації або кібербезпеки та захисту персональних даних.
21. Керівником надавача повинна бути встановлена чітка система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг і вимог внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою.
22. До працівників відокремлених пунктів реєстрації, на яких покладено обов’язки з реєстрації користувачів, повинні застосовуватись такі ж вимоги, як і до адміністраторів реєстрації.
23. Генерація пари ключів надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту.
Генерація пари ключів надавача здійснюється виключно за допомогою засобу кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.
24. Усі події, пов’язані з генерацією, використанням та знищенням пари ключів надавача, повинні протоколюватися.
25. Особисті ключі надавача повинні розміщуватися у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здійснювалася генерація пари ключів.
Технологія зберігання особистих ключів надавача повинна унеможливити доступ до них ззовні. Особисті ключі надавача повинні зберігатись у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.
26. У разі здійснення резервного копіювання особисті ключі надавача повинні бути перенесені на зовнішній засіб кваліфікованого електронного підпису чи печатки, який є апаратно-програмним або апаратним пристроєм у захищеному вигляді, що забезпечує їх цілісність та конфіденційність.
Резервне копіювання та відновлення особистих ключів надавача здійснюються адміністратором сертифікації під контролем адміністратора безпеки та аудиту.
27. Умови забезпечення захисту резервних копій особистих ключів надавача під час їх зберігання повинні бути не гіршими, ніж умови забезпечення захисту особистих ключів, що використовуються.
28. Особисті ключі надавача можуть використовуватися виключно для формування кваліфікованих сертифікатів відкритих ключів (накладення кваліфікованого електронного підпису чи печатки на кваліфікований сертифікат відкритого ключа) та інформації про статус кваліфікованого сертифіката відкритого ключа.
29. Особисті ключі надавача можуть використовуватися виключно у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, розташованим в окремому, спеціально призначеному для цього приміщенні.
30. Після закінчення строку дії кваліфікованого сертифіката відкритого ключа надавача особистий ключ надавача та всі його резервні копії знищуються способом, що не дає змоги їх відновити.
31. Діяльність надавачів здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхування відповідальності для забезпечення відшкодування збитків, які можуть бути завдані користувачам чи третім особам внаслідок неналежного виконання надавачем своїх зобов’язань.
( Пункт 31 із змінами, внесеними згідно з Постановою КМ № 289 від 30.03.2023 )
32. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми визначено частиною третьою статті 16 Закону України "Про електронні довірчі послуги".
33. Надавач зобов’язаний підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми в актуальному стані відповідно до розміру мінімальної заробітної плати, встановленого законом про Державний бюджет України на відповідний рік.
34. У разі відшкодування збитків, завданих користувачам чи третім особам внаслідок неналежного виконання своїх зобов’язань, надавач протягом трьох місяців вживає вичерпних заходів для відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми.
35. Надавач надає кваліфіковані електронні довірчі послуги відповідно до вимог законодавства у сфері електронних довірчих послуг та регламенту роботи надавача.
36. Регламент роботи надавача розробляється та затверджується до початку роботи надавача.
37. Регламент роботи надавача містить:
1) загальні відомості про надавача (найменування або прізвище, ім’я, по батькові надавача; код за Єдиним державним реєстром підприємств та організацій України; місцезнаходження, номери телефонів, електронна адреса веб-сайту);
2) перелік кваліфікованих електронних довірчих послуг, надання яких забезпечує надавач;
3) перелік посад найманих працівників, обов’язки яких безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг, та функції таких працівників;
4) політику сертифіката та положення сертифікаційних практик;
5) опис процедур та процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування кваліфікованих сертифікатів відкритих ключів.
38. У політиці сертифіката визначається кожна кваліфікована електронна довірча послуга, що передбачає формування та обслуговування надавачем кваліфікованих сертифікатів відкритих ключів, окремо або у сукупності.
У положенні сертифікаційних практик визначаються практичні та процедурні засади реалізації всіх політик сертифіката у сукупності.
39. У політиці сертифіката визначаються:
1) перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;
2) обмеження щодо використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;
3) перелік інформації, що розміщується надавачем на своєму офіційному веб-сайті;
4) час і порядок публікації кваліфікованих сертифікатів відкритих ключів та списків відкликаних сертифікатів;
5) механізм підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа;
6) умови для встановлення заявника (інформація, що надається заявником під час ідентифікації особи, у тому числі іноземцем, уповноваженим представником іноземної юридичної особи, види документів, на підставі яких встановлюється заявник, способи ідентифікації тощо);
( Підпункт 6 пункту 39 в редакції Постанови КМ № 298 від 04.04.2023 )
7) механізм автентифікації користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;
8) механізм автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа;
9) опис фізичного середовища (опис приміщень надавача, в яких розміщена інформаційно-комунікаційна система надавача, механізми контролю доступу до них);
10) процедурний контроль (система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг та вимог внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою в межах організації з урахуванням режиму роботи надавача);
11) порядок ведення журналів аудиту подій (із зазначенням типів подій, частоти перегляду, строків зберігання журналів аудиту подій, захисту та резервного копіювання журналів аудиту подій, переліку найманих працівників надавача, що можуть здійснювати перегляд журналів аудиту подій);
12) порядок ведення архівів надавача (із зазначенням видів документів та даних, що підлягають архівуванню, строків зберігання архівів, механізму та порядку зберігання і захисту архівів);
13) процес, порядок та умови генерації пар ключів надавача та користувачів;
14) процедури отримання користувачем особистого ключа в результаті надання кваліфікованої електронної довірчої послуги її надавачем;
15) механізм надання відкритого ключа користувача надавачу для формування кваліфікованого сертифіката відкритого ключа;
16) порядок захисту та доступу до особистого ключа надавача;
17) порядок та умови резервного копіювання особистого ключа надавача, збереження, доступу та використання резервної копії.
40. У положеннях сертифікаційних практик зазначаються:
1) процес подання запиту на формування кваліфікованого сертифіката відкритого ключа (перелік суб’єктів, уповноважених здійснювати запит на формування кваліфікованого сертифіката відкритого ключа, порядок подачі та оброблення такого запиту, строки оброблення запиту на формування кваліфікованого сертифіката відкритого ключа);
2) порядок надання сформованого кваліфікованого сертифіката відкритого ключа користувачу;
3) порядок публікації сформованого кваліфікованого сертифіката відкритого ключа користувача на офіційному веб-сайті надавача;
4) умови використання кваліфікованого сертифіката відкритого ключа користувача та його особистого ключа (попередження про можливі наслідки неправильного використання кваліфікованого сертифіката відкритого ключа та особистого ключа);
5) процедура подачі запиту на формування кваліфікованого сертифіката відкритого ключа для користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;
6) обставини скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; перелік суб’єктів, уповноважених здійснювати запит на скасування (блокування та поновлення) кваліфікованого сертифіката відкритого ключа; процедура подання запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; час оброблення запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; частота формування списку відкликаних сертифікатів та строки його дії; можливість та умови надання інформації про статус кваліфікованого сертифіката відкритого ключа у режимі реального часу);
7) строк закінчення дії кваліфікованого сертифіката відкритого ключа користувача.
41. Проект регламенту роботи надавача підлягає обов’язковому погодженню з Адміністрацією Держспецзв’язку, строк якого не може перевищувати 30 календарних днів з дня надходження зазначеного проекту на погодження.
Підставами для відмови у погодженні проекту регламенту роботи надавача є:
подання проекту регламенту з порушенням положень пунктів 36-40 цих вимог;
виявлення у проекті регламенту недостовірної інформації, виправлень або дописок.
Процедура погодження проекту регламенту роботи надавача проводиться Адміністрацією Держспецзв’язку безоплатно.
Після погодження з Адміністрацією Держспецзв’язку регламент роботи надавача затверджується його керівником у двох примірниках.
Один примірник погодженого з Адміністрацією Держспецзв’язку та затвердженого керівником надавача регламенту роботи надавача передається до Адміністрації Держспецзв’язку.
42. Погодження та затвердження змін до регламенту роботи надавача здійснюється відповідно до вимог щодо погодження та затвердження регламенту.
Для погодження змін до регламенту роботи надавача до Адміністрації Держспецзв’язку надається текст відповідних змін та порівняльна таблиця.
43. Надавач самостійно визначає обсяг положень регламенту його роботи та інших документів, що підлягають розміщенню на офіційному веб-сайті надавача для ознайомлення.
44. Для набуття статусу надавача юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, подає до центрального засвідчувального органу заяву про внесення відомостей про неї до Довірчого списку та інші документи, визначені частиною другою статті 30 Закону України "Про електронні довірчі послуги".
Форма заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку встановлюється у регламенті роботи центрального засвідчувального органу.
45. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що додаються до неї, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, який має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі через Єдиний державний портал адміністративних послуг, у тому числі через інтегровану з ним інформаційну систему центрального засвідчувального органу.
Забезпечення цілісності та конфіденційності інформації, у тому числі персональних даних, під час подання заяви та документів, що додаються до неї, здійснюється з дотриманням вимог законодавства у сфері захисту інформації із застосуванням кваліфікованого електронного підпису представника юридичної особи або фізичної особи - підприємця та з використанням засобів шифрування, що мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що додаються до неї, в електронній формі копії документів, які існують виключно в паперовій формі, додаються до заяви у форматі PDF.
Відповідність зазначених копій документів оригіналам засвідчується шляхом накладення кваліфікованого електронного підпису керівника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги.
Представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, відповідає за достовірність інформації, зазначеної в документах, що додаються до заяви, для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку.
У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що до неї додаються, в електронній формі документи на паперових носіях не подаються.
Уповноважена особа центрального засвідчувального органу перевіряє надходження електронних документів не рідше двох разів на день (у першій та другій половині робочого дня).
Документи для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку, подані в електронній формі, реєструються в інформаційній системі центрального засвідчувального органу після їх надходження, про що автоматично через персональний кабінет на Єдиному державному порталі адміністративних послуг інформується представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги.
46. Після вжиття вичерпних заходів для забезпечення ідентифікації та перевірки обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги, центральний засвідчувальний орган розглядає заяву про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, і за результатами їх розгляду приймає рішення в порядку та у строки, що встановлені Законом України "Про електронні довірчі послуги".
47. На підставі прийнятого центральним засвідчувальним органом рішення про внесення до Довірчого списку юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, засвідчує чинність одного або декількох своїх відкритих ключів (окремо для кожної кваліфікованої електронної довірчої послуги) у центральному засвідчувальному органі відповідно до вимог регламенту роботи центрального засвідчувального органу.
Засвідчення чинності відкритого ключа юридичної особи або фізичної особи - підприємця є умовою внесення до Довірчого списку інформації про кваліфіковані електронні довірчі послуги, які має намір надавати юридична особа або фізична особа - підприємець.
Для засвідчення чинності відкритого ключа юридична особа або фізична особа - підприємець подає до центрального засвідчувального органу:
заяву про формування кваліфікованого сертифіката відкритого ключа та відповідний електронний запит, що формується після генерації пари ключів;
підписаний примірник договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.
48. Юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, набуває статусу надавача з дня внесення відомостей про неї до Довірчого списку.
49. Центральний засвідчувальний орган оприлюднює рішення про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про його прийняття представникові юридичної особи або фізичній особі - підприємцю, що має намір надавати кваліфіковані електронні довірчі послуги, шляхом надсилання листа поштою або в електронній формі через персональний кабінет на Єдиному державному порталі адміністративних послуг.
50. Зміна відомостей про надавача, що містяться в Довірчому списку, є підставою для внесення змін до Довірчого списку, яке здійснюється в порядку та у строки, встановлені Законом України "Про електронні довірчі послуги".
У разі виникнення змін у відомостях, внесених до Довірчого списку, надавач зобов’язаний протягом п’яти робочих днів з дня виникнення таких змін подати до центрального засвідчувального органу заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.
51. Надавач припиняє діяльність з надання кваліфікованих електронних довірчих послуг з підстав та в порядку, що визначені статтею 31 Закону України "Про електронні довірчі послуги".
52. У разі припинення надання кваліфікованих електронних довірчих послуг надавач зобов’язаний передати центральному засвідчувальному органу документовану інформацію (документи, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, а також реєстри сформованих кваліфікованих сертифікатів відкритих ключів) у порядку, визначеному Кабінетом Міністрів України.
53. Передача документованої інформації здійснюється надавачем не пізніше дня, визначеного ним як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи дня набрання законної сили відповідним рішенням суду.
54. Центральний засвідчувальний орган скасовує виданий ним кваліфікований сертифікат відкритого ключа надавача у день, визначений надавачем як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи у день набрання законної сили відповідним рішенням суду.
Загальні вимоги до надавача під час надання кваліфікованих електронних довірчих послуг
55. Кваліфіковані електронні довірчі послуги надаються користувачам виключно надавачами.
56. Надавач може надавати окремо або в сукупності кваліфіковану електронну довірчу послугу із:
1) створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки;
2) формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;
3) формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;
4) формування, перевірки та підтвердження кваліфікованої електронної позначки часу;
5) реєстрованої електронної доставки;
6) зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів.
57. Надавач забезпечує вільний доступ до своїх приміщень, в яких здійснюється обслуговування користувачів, у тому числі створення належних умов для доступу до приміщень осіб з обмеженими фізичними можливостями.
Інформація про умови доступності таких приміщень для осіб з обмеженими фізичними можливостями розміщується у місці, доступному для візуального сприйняття користувачів.
58. Ідентифікація заявника, який звернувся за отриманням послуги з формування кваліфікованого сертифіката відкритого ключа, здійснюється відповідно до вимог статті 22 Закону України "Про електронні довірчі послуги".
( Пункт 58 в редакції Постанови КМ № 298 від 04.04.2023 )
59. Надавач під час формування та видачі кваліфікованого сертифіката відкритого ключа заявнику здійснює його ідентифікацію відповідно до вимог статті 22 Закону України "Про електронні довірчі послуги" та перевіряє обсяг його повноважень відповідно до Порядку проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 4 квітня 2023 р. № 298.
( Пункт 59 в редакції Постанови КМ № 298 від 04.04.2023 )
( Пункт 60 виключено на підставі Постанови КМ № 298 від 04.04.2023 )
61. Заявник повинен надати визначену регламентом роботи надавача контактну інформацію, що дає змогу зв’язатися з ним.
62. Реєстрація користувачів може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з регламентом роботи надавача.
63. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги надавачам відповідно до регламенту роботи центрального засвідчувального органу з дотриманням цих вимог.
64. Надавач повинен забезпечити створення можливості для ознайомлення заявників з інформацією про умови отримання кваліфікованої електронної довірчої послуги.
65. До інформації, вільний доступ до якої повинен забезпечити надавач, належать:
1) відомості про надавача;
2) дані про внесення відомостей про надавача до Довірчого списку;
3) кваліфіковані сертифікати відкритих ключів надавача;
4) перелік кваліфікованих електронних довірчих послуг, які надає надавач;
5) дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;
6) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;
7) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
8) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;
9) дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;
10) перелік актів законодавства у сфері електронних довірчих послуг.
Надавач забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг, зокрема шляхом розміщення відповідної інформації на офіційному веб-сайті надавача.
Інформація на офіційному веб-сайті надавача повинна бути доступною для осіб з обмеженими фізичними можливостями.
66. Кваліфіковані електронні довірчі послуги надаються на підставі укладеного між надавачем і заявником договору про надання кваліфікованої електронної довірчої послуги.
Підставою для надання кваліфікованих електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, інших юридичних особах публічного права може бути відповідне рішення.
67. Надавач обліковує та зберігає протягом строків, визначених законодавством у сфері архівної справи, договори про надання кваліфікованих електронних довірчих послуг, а також документи (засвідчені в установленому порядку копії документів), що використовуються під час ідентифікації та перевірки достатності обсягу цивільної правоздатності та дієздатності заявника.
68. Істотними умовами договору про надання кваліфікованої електронної довірчої послуги є:
1) права та обов’язки сторін;
2) умови використання засобів кваліфікованого електронного підпису чи печатки (у разі коли кваліфікована електронна довірча послуга передбачає використання засобів кваліфікованого електронного підпису чи печатки);
3) умови використання заявником особистого ключа (у разі коли кваліфікована електронна довірча послуга передбачає використання особистого ключа);
4) умови публікації кваліфікованого сертифіката відкритого ключа заявника (у разі коли кваліфікована електронна довірча послуга передбачає формування кваліфікованого сертифіката відкритого ключа);
5) строк дії договору;
6) умови оплати;
7) порядок внесення змін до договору;
8) порядок розірвання договору.
69. Договір про надання кваліфікованої електронної довірчої послуги може бути змінено виключно за взаємною згодою сторін.
70. У разі зміни відомостей, що містяться у договорі про надання кваліфікованої електронної довірчої послуги, заявник у триденний строк з дня настання таких змін повідомляє про це надавачеві та подає документи, що підтверджують відповідні зміни.
71. Підставами для розірвання договору про надання кваліфікованої електронної довірчої послуги є:
1) згода сторін;
2) рішення суду про розірвання договору;
3) виключення надавача з Довірчого списку.
72. У разі коли у договорі про надання кваліфікованої електронної довірчої послуги передбачено формування кваліфікованого сертифіката відкритого ключа, розірвання такого договору є підставою для скасування надавачем кваліфікованого сертифіката відкритого ключа, сформованого відповідно до договору.
73. Надавач має право самостійно обирати, які саме стандарти, зазначені у переліку, що додається, будуть ним застосовуватися під час надання кваліфікованих електронних довірчих послуг.
З метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації Мінцифри разом з Адміністрацією Держспецзв’язку встановлюють вимоги до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг.
( Абзац другий пункту 73 із змінами, внесеними згідно з Постановою КМ № 1068 від 11.12.2019 )
74. Контроль за наданням кваліфікованих електронних довірчих послуг здійснює Адміністрація Держспецзв’язку.
75. Надавач зобов’язаний щороку до 15 січня подавати до Адміністрації Держспецзв’язку звіт про діяльність за попередній рік, що містить відомості про:
1) кількість укладених договорів про надання електронних довірчих послуг (окремо з фізичними та юридичними особами);
2) кількість сформованих та скасованих кваліфікованих сертифікатів відкритих ключів за звітний період із зазначенням причин скасування (у разі коли надавач забезпечує надання кваліфікованих електронних довірчих послуг, які передбачають обслуговування кваліфікованих сертифікатів відкритих ключів);
3) факти відшкодування шкоди користувачам електронних довірчих послуг та/або третім особам внаслідок неналежного виконання надавачем своїх зобов’язань (у разі наявності);
4) факти участі надавача як позивача, відповідача або третьої сторони у судових справах з питань надання електронних довірчих послуг, предмет розгляду та прийняте рішення (у разі наявності);
5) факти порушення надавачем вимог законодавства у сфері захисту інформації під час надання електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень.
Вимоги до надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток
76. Кваліфікована електронна довірча послуга із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток включає вчинення дій, передбачених частиною першою статті 18 Закону України "Про електронні довірчі послуги".
77. Під час надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток надавачем забезпечується:
1) використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;
2) захист обміну інформацією між підписувачем або створювачем електронної печатки та надавачем засобами електронних комунікаційних мереж загального користування;
( Підпункт 2 пункту 77 із змінами, внесеними згідно з Постановою КМ № 289 від 30.03.2023 )
3) створення умов для генерації пари ключів підписувача або створювача електронної печатки;
4) допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;
5) унікальність пари ключів підписувача або створювача електронної печатки;
6) зберігання особистого ключа підписувача або створювача електронної печатки;
7) захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.
78. У разі коли пара ключів була згенерована заявником поза приміщенням надавача та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка достатності обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється надавачем після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа.