Про затвердження Порядку використання електронного підпису учасниками ринків капіталу та професійними учасниками організованих товарних ринків

Відповідно до підпунктів 1 та 105 частини першої статті 7, статті 30 Закону України "Про державне регулювання ринків капіталу та організованих товарних ринків", статті 6 Закону України "Про електронні документи та електронний документообіг" з метою визначення порядку використання електронного підпису та електронної печатки під час створення, оброблення та зберігання електронних документів учасниками ринків капіталу та професійними учасниками організованих товарних ринків Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:

1. Затвердити Порядок використання електронного підпису учасниками ринків капіталу та професійними учасниками організованих товарних ринків, що додається.

2. Установити, що під час дії воєнного стану на території України та протягом шести місяців з дня його припинення чи скасування дозволяється використання електронних підписів чи печаток, що базуються на сертифікатах відкритих ключів, виданих кваліфікованими надавачами електронних довірчих послуг без відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки, користувачами електронних довірчих послуг для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у випадках, коли законодавством України передбачено використання виключно кваліфікованих електронних підписів чи печаток (засобів кваліфікованого електронного підпису чи печатки, кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім вчинення в електронній формі правочинів, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, установлених законами України, та випадках, пов’язаних із високим ризиком для інформаційної безпеки, що визначається власниками відповідних інформаційних та інформаційно-комунікаційних систем з урахуванням обмежень, установлених у статті 17 Закону України "Про електронну ідентифікацію та електронні довірчі послуги".

3. Учасникам ринків капіталу та професійним учасникам організованих товарних ринків привести свою діяльність у відповідність до вимог Порядку використання електронного підпису учасниками ринків капіталу та професійними учасниками організованих товарних ринків, затвердженого цим рішенням, протягом дванадцяти місяців з дня набрання чинності цим рішенням.

4. Департаменту інформаційних технологій забезпечити подання цього рішення на державну реєстрацію до Міністерства юстиції України.

5. Управлінню адміністративної діяльності забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.

6. Департаменту правового забезпечення та внутрішнього комплаєнс контролю, після державної реєстрації до Міністерстві юстиції України, забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.

7. Це рішення набирає чинності з дня, наступного за днем його офіційного опублікування, крім пункту 1 цього рішення, який набирає чинності через шість місяців з дня його офіційного опублікування.

8. Контроль за виконанням цього рішення покласти на члена Національної комісії з цінних паперів та фондового ринку Ю. Шаповала.

1. Цей Порядок розроблений відповідно до Законів України "Про державне регулювання ринків капіталу та організованих товарних ринків", "Про ринки капіталу та організовані товарні ринки", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги" (далі - Закон) та визначає порядок використання електронного підпису (далі - ЕП) та електронної печатки під час створення, оброблення та зберігання електронних документів учасниками ринків капіталу та професійними учасниками організованих товарних ринків (далі - учасники ринку) при їх електронній взаємодії.

Вимоги цього Порядку поширюються виключно на випадки використання учасниками ринку видів ЕП та електронної печатки, визначених у пункті 14 розділу II цього Порядку.

Вимоги цього Порядку не поширюються на електронну взаємодію учасників ринку з Національним банком України відповідно до нормативно-правових актів Національного банку України.

Цей Порядок не поширюється на здійснення електронної ідентифікації у системах, у яких обробляється службова інформація та інформація, що містить державну таємницю.

2. В цьому Порядку терміни вживаються в такому значенні:

1) верифікація - заходи, що вживаються учасником ринку з метою перевірки (підтвердження) належності відповідній особі отриманих учасником ринку ідентифікаційних даних;

2) відкритий мережевий сервіс - мобільний застосунок, вебсервіс або інше програмне забезпечення, що дає змогу здійснювати обмін повідомленнями між електронними пристроями учасників ринку та користувачів через електронні комунікаційні мережі загального користування;

3) електронний сенсорний пристрій - електронний пристрій із сенсорним екраном, на якому особа може створити цифровий власноручний підпис;

4) ідентифікація - заходи, що вживаються учасником ринку для встановлення особи шляхом отримання її ідентифікаційних даних;

5) клієнт - клієнт учасника ринку, користувач послуг, які надаються на ринках капіталу та організованих товарних ринках;

6) контрагент - будь-яка юридична чи фізична особа, яка має з учасником ринку відносини, пов’язані із діяльністю на ринках капіталу та організованих товарних ринках;

7) перевірка цілісності електронного документа - процедура, яка проводиться шляхом підтвердження удосконаленого або кваліфікованого ЕП чи печатки відповідно до законодавства, а в разі накладання на електронний документ ЕП чи печатки іншого виду - із застосуванням інших засобів і методів захисту інформації, з дотриманням вимог законодавства у сфері захисту інформації, які дають змогу виявити будь-які зміни в електронному документу після підписання електронного документа;

8) простий електронний підпис (далі - простий ЕП) - будь-який вид ЕП, крім кваліфікованого ЕП, цифрового власноручного підпису (далі - ЦВП), удосконаленого ЕП (далі - УЕП), УЕП, що базується на кваліфікованому сертифікаті;

9) суб’єкт електронної взаємодії - учасник ринку, клієнт або контрагент такого учасника;

10) удосконалена електронна печатка, що базується на кваліфікованому сертифікаті електронної печатки (далі - електронна печатка з кваліфікованим сертифікатом) - удосконалена електронна печатка, створена з використанням кваліфікованого сертифіката електронної печатки, у якому є позначка, що цей сертифікат сформовано як кваліфікований для використання електронної печатки, та немає відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки;

11) УЕП, що базується на кваліфікованому сертифікаті електронного підпису (далі - УЕП з кваліфікованим сертифікатом) - УЕП, створений з використанням кваліфікованого сертифіката електронного підпису, у якому немає відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки;

12) уповноважена особа - особа, яка не є працівником учасника ринку, якій згідно з довіреністю та/або на підставі правочинів надано повноваження на підписання з клієнтами, контрагентами учасника ринку договорів та інших документів від імені учасника ринку;

13) уповноважений представник - працівник учасника ринку, до повноважень якого згідно з внутрішніми документами чи на підставі довіреності належить підписання з клієнтами, контрагентами учасника ринку договорів та інших документів від імені учасника ринку;

14) цифровий власноручний підпис (ЦВП) - електронний підпис, що є власноручним підписом фізичної особи, створеним на екрані електронного сенсорного пристрою.

Інші терміни в цьому Порядку використовуються в значеннях, наведених у Законі, законах України "Про державне регулювання ринків капіталу та організованих товарних ринків", "Про ринки капіталу та організовані товарні ринки", "Про електронні документи та електронний документообіг", "Про електронну комерцію" та інших законах України і нормативно-правових актах НКЦПФР.

3. Керівник учасника ринку відповідає за організацію використання ЕП та електронних печаток в учаснику ринку, а також за використання ЕП та електронних печаток цим учасником ринку, а також за використання ЕП та електронних печаток уповноваженими представниками / уповноваженими особами учасника ринку під час їх взаємодії від імені учасника ринку з клієнтами та контрагентами учасника ринку, якщо інше не встановлено законодавством України.

4. ЕП є обов’язковим реквізитом електронного документа.

5. Вимоги цього Порядку щодо використання ЕП не можуть тлумачитися суб’єктами електронної взаємодії як такі, що обмежують права суб’єктів електронної взаємодії вчиняти правочини у вигляді паперових документів (змінювати, доповнювати або припиняти дію електронних документів паперовими документами чи в іншій не забороненій законодавством України формі і навпаки) чи в усній формі, якщо законом не встановлено обов’язок вчиняти правочин у письмовій формі.

6. Учасник ринку зобов’язаний забезпечити можливість перевірки цілісності та справжності електронних документів, створених з використанням технології, визначеної учасником ринку. Обов’язок доведення цілісності та справжності електронних документів, створених з використанням технології, визначеної учасником ринку, покладається на учасника ринку (незалежно від технологічних можливостей і компетенцій персоналу).

7. Особа, що підписала електронний документ ЕП, у такий спосіб засвідчує, що ознайомилася з усім текстом документа, повністю зрозуміла його зміст, не має заперечень до тексту документа (або її заперечення внесені як окремий реквізит документа) і свідомо використала свій ЕП у контексті, передбаченому документом (підписала, затвердила, погодила, завізувала, засвідчила, ознайомилася).

8. Електронний документ створюється в послідовності, визначеній застосованою технологією оброблення інформації, якщо електронний документ підписується двома або більше особами. Технологія оброблення інформації розробляється з урахуванням законодавства України та може визначатись у внутрішніх документах учасника ринку та/або в договорі, укладеному між учасником ринку та його клієнтом, контрагентом, комерційним агентом.

Створення електронного документа завершується накладанням останнього ЕП відповідно до технології створення такого електронного документа.

9. Учасник ринку зобов’язаний розробити з урахуванням вимог законодавства України внутрішні документи, у яких має встановлюватися порядок:

1) створення і засвідчення електронної копії паперового документа;

2) створення і засвідчення паперової копії електронного документа;

3) виявлення будь-яких змін в електронному документі, в електронній копії паперового документа;

4) використання ЕП та електронних печаток учасника ринку;

5) виявлення будь-яких змін в електронному документі, в електронній копії паперового документа після використання електронної печатки.

Процедури, зазначені в підпунктах 1-5 цього пункту, мають описувати використання тих видів ЕП та електронних печаток, які використовуються учасником ринку.

Внутрішні документи, зазначені в цьому пункті, є обов’язковими для виконання усіма працівниками учасника ринку й уповноваженими представниками учасника ринку та можуть оформлятися у вигляді окремих документів, одного документа або бути частиною / частинами іншого / інших документа / документів.

Учасник ринку зобов’язаний забезпечити до документів, зазначених у цьому пункті (у частині, що стосується електронної взаємодії учасника ринку та клієнтів), безперешкодний доступ клієнтів та потенційних клієнтів учасника ринку шляхом розміщення цих документів або витягів із них на власних офіційних вебсайтах учасника ринку, включаючи їх мобільні версії, у мобільному застосунку та/або в приміщеннях учасника ринку та відокремлених підрозділах.

Банк має право виконувати визначені цим пунктом вимоги шляхом поширення дії внутрішніх документів банку, розроблених на виконання вимог Національного банку України, на випадки використання ЕП при провадженні професійної діяльності на ринках капіталу за умови дотримання інших вимог цього Порядку.

10. Учасник ринку зобов’язаний з урахуванням вимог законодавства України у сфері захисту інформації, інформаційної безпеки та кіберзахисту розробити внутрішні документи, які встановлюють вимоги щодо надання, скасування та контролю доступу до інформаційних систем учасника ринку, що використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів, і мають містити:

1) вимоги до ідентифікації, автентифікації, авторизації клієнтів учасника ринку;

2) послідовність дій під час управління доступом, послідовність дій під час управління віддаленим доступом (реєстрація, надання повноважень, перегляд та скасування доступу);

3) перелік типових функцій та прав доступу до інформаційних систем учасника ринку;

4) вимоги щодо здійснення заходів контролю доступу;

5) періодичність контролю наданих прав доступу;

6) вимоги до протоколювання дій під час управління доступом.

Учасник ринку зобов’язаний забезпечити дотримання принципу надання мінімального рівня повноважень під час надання доступу до інформаційних систем учасника ринку, що використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів.

Розроблені внутрішні документи, зазначені в пункті 10 цього розділу, є обов’язковими для виконання всіма працівниками й уповноваженими представниками учасника ринку та можуть оформлятися у вигляді окремих документів, одного документа або бути частиною / частинами іншого / інших документа / документів.

11. Учасник ринку додатково до вимог, установлених внутрішніми документами, перелік яких зазначено в підпунктах 1-6 пункту 10 цього розділу, зобов’язаний забезпечити виконання вимог щодо забезпечення інформаційної безпеки в інформаційних системах, які використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів з урахуванням вимог Закону України "Про захист інформації в інформаційно-комунікаційних системах".

12. ЕП (крім кваліфікованого ЕП та печатки або удосконаленого ЕП та печатки) має юридичну силу незалежно від технологій, що застосовуються для створення ЕП, якщо відповідає таким умовам:

1) електронні дані, що використовуються для створення ЕП, є унікальними та однозначно пов’язані з підписувачем і не пов’язані з жодною іншою особою;

2) ЕП дає змогу однозначно ідентифікувати підписувача;

3) технологія використання ЕП забезпечує підписувачу під час підписання контроль електронних даних, які підписуються, та електронних даних, які використовуються для створення ЕП;

4) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін в електронному документі;

5) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін ЕП після підписання електронного документа.

13. НКЦПФР має право перевіряти дотримання учасником ринку вимог цього Порядку, а також здійснювати перевірки інформаційно-комунікаційних систем, що використовуються учасниками ринку для доведення цілісності та справжності електронних документів.

14. Під час створення, оброблення та зберігання електронних документів учасниками ринку використовуються у визначених законодавством випадках:

1) кваліфікований ЕП (далі - КЕП);

2) ЦВП;

3) УЕП з кваліфікованим сертифікатом;

4) УЕП;

5) простий ЕП;

6) кваліфікована електронна печатка;

7) удосконалена електронна печатка з кваліфікованим сертифікатом;

8) удосконалена електронна печатка.

15. Використання УЕП, удосконаленої електронної печатки та простого ЕП здійснюється на підставі договору між учасником ринку і клієнтом / контрагентом учасника ринку або учасником ринку і особою, що має намір стати клієнтом / контрагентом. Договір укладається в письмовій формі після проведення ідентифікації та верифікації відповідно до вимог законодавства України клієнта / контрагента учасника ринку чи особи, що має намір стати клієнтом / контрагентом:

1) у формі паперового документа з власноручними підписами сторін або

2) як електронний документ із КЕП сторін, або

3) як електронний документ з УЕП із кваліфікованим сертифікатом клієнта / контрагента учасника ринку та КЕП уповноваженого представника учасника ринку, або

4) як електронний документ із ЦВП фізичної особи, визначеної в пункті 28 розділу IV цього Порядку, та КЕП уповноваженого представника учасника ринку, з дотриманням вимог розділу IV цього Порядку щодо використання ЦВП, або

5) як електронний документ із використанням будь-яких видів ЕП, щодо яких між клієнтом / контрагентом учасника ринку та учасником ринку вже укладено договір відповідно до вимог одного з підпунктів 1 - 4 пункту 16 цього розділу II.

Договір про використання УЕП, удосконаленої електронної печатки та простого ЕП має містити умови та порядок (процедуру) визнання учасником ринку і клієнтом / контрагентом правочинів у вигляді електронних документів із використанням УЕП, удосконаленої електронної печатки або простого ЕП відповідно.

Договір має також містити умови щодо розподілу ризиків збитків, що можуть бути заподіяні підписувачам і третім особам у разі використання простого ЕП, УЕП або удосконаленої електронної печатки відповідно.

Укладення окремого договору щодо використання клієнтом учасника ринку КЕП, ЦВП, УЕП з кваліфікованим сертифікатом, кваліфікованої електронної печатки, електронної печатки з кваліфікованим сертифікатом не вимагається за умови дотримання вимог цього Порядку.

Банк може виконати обумовлені цим пунктом вимоги шляхом включення відповідних положень до договору, який укладається між банком та клієнтом/контрагентом. У такому разі додаткове виконання вимог цього пункту шляхом включення відповідних положень до договору, які укладаються банком виключно в рамках провадження професійної діяльності на ринках капіталу, не є обов’язковим.

16. Учасник ринку зобов’язаний після створення електронного документа надіслати клієнту / контрагенту примірник цього електронного документа з усіма потрібними реквізитами на адресу електронної пошти, зазначену клієнтом / контрагентом учасника ринку або надати електронний документ в інший спосіб, узгоджений із клієнтом / контрагентом.

Учасник ринку зобов’язаний надати клієнтові / контрагенту на його вимогу засвідчену паперову копію електронного документа.

17. Учасник ринку самостійно приймає рішення про використання того чи іншого виду ЕП та електронної печатки з дотриманням вимог законодавства України з питань електронних довірчих послуг, електронного документообігу, цього Порядку, нормативно-правових актів НКЦПФР.

18. Учасник ринку здійснює приймання, оброблення, зберігання, надсилання електронних документів та інформації, потрібної для створення електронних документів, з дотриманням вимог законодавства України щодо захисту інформації з обмеженим доступом, включаючи: персональні дані, професійну таємницю та комерційну таємницю.

19. Учасник ринку / комерційний агент учасника ринку має право використовувати відкриті мережеві сервіси для отримання / надання / направлення інформації, яка може бути віднесена до інформації з обмеженим доступом, визначеної в пункті 18 цього розділу, якщо дотримано одночасно такі вимоги:

1) електронна взаємодія здійснюється виключно між учасником ринку та клієнтом / контрагентом;

2) учасник ринку попередньо отримав письмовий дозвіл від клієнта/контрагента учасника ринку на здійснення таких дій або договір з клієнтом / контрагентом містить такий дозвіл клієнта / контрагента;

3) учасник ринку забезпечує виконання вимог законодавства України у сфері захисту інформації, інформаційної безпеки та кіберзахисту.

Учасник ринку визначає у власних внутрішніх документах технологію використання відкритих мережевих сервісів для отримання / надання інформації, визначеної в пункті 18 цього розділу, та в разі порушення вимог законодавства України несе відповідальність за шкоду, заподіяну клієнтові / контрагенту учасника ринку під час використання запровадженої учасником ринку технології.

Учасник ринку доводить факт добровільного передавання клієнтом / контрагентом учасника ринку інформації, визначеної в пункті 18 цього розділу, у разі заперечення ним факту добровільного передавання такої інформації.

20. Уповноважений представник учасника ринку під час взаємодії з клієнтом / контрагентом в разі створення електронних копій паперових документів використовує КЕП уповноваженого представника учасника ринку та/або кваліфіковану електронну печатку учасника ринку, та/або удосконалений ЕП чи удосконалену печатку, що базуються на кваліфікованому сертифікаті з кваліфікованою електронною позначкою часу.

21. Створення електронних документів постійного і тривалого (понад 10 років) зберігання здійснюється із використанням КЕП уповноваженої відповідно до статутних документів учасника ринку особи / уповноваженого представника учасника ринку та/або кваліфікованої електронної печатки учасника ринку, що забезпечують можливість перевірки відповідних КЕП та/або кваліфікованої електронної печатки в довгостроковому періоді згідно з вимогами стандартів, що визначають вимоги до створення кваліфікованих електронних підписів та кваліфікованих електронних печаток у разі створення електронних документів, які згідно із законодавством України підлягають передаванню на архівне зберігання, наведених у додатку до цього Порядку.

22. Уповноважена відповідно до статутних документів учасника ринку особа / уповноважений представник учасника ринку - юридичної особи для накладення КЕП та УЕП з кваліфікованим сертифікатом зобов’язана(ий) використовувати кваліфікований сертифікат відкритого ключа, який містить код юридичної особи в Єдиному державному реєстрі підприємств і організацій України (далі - ідентифікаційний код юридичної особи), представником якої вона / він є.

Фізична особа, яка діє від імені юридичної особи - клієнта/контрагента учасника ринку (далі - представник клієнта/контрагента), для накладання КЕП та УЕП з кваліфікованим сертифікатом має право використовувати кваліфікований сертифікат відкритого ключа, що відповідає одній із таких вимог:

1) кваліфікований сертифікат відкритого ключа представника клієнта/контрагента містить ідентифікаційний код юридичної особи;

2) у кваліфікованому сертифікаті відкритого ключа представника клієнта / контрагента немає ідентифікаційного коду юридичної особи та накладений представником клієнта/контрагента КЕП/УЕП з кваліфікованим сертифікатом засвідчено кваліфікованою електронною печаткою юридичної особи - клієнта / контрагента;

3) у кваліфікованому сертифікаті відкритого ключа представника клієнта / контрагента немає ідентифікаційного коду юридичної особи та учасника ринку є в наявності всі потрібні документи, що підтверджують повноваження представника клієнта / контрагента щодо підписання відповідного документа від імені юридичної особи - клієнта / контрагента.

23. Суб’єкт електронної взаємодії - юридична особа, представник якої використовує кваліфікований сертифікат відкритого ключа, що містить ідентифікаційний код цієї юридичної особи, зобов’язаний забезпечити подання заяви про скасування кваліфікованого сертифіката відкритого ключа представника юридичної особи кваліфікованому надавачу електронних довірчих послуг у разі настання однієї з таких подій:

1) зміни даних, внесених у кваліфікований сертифікат відкритого ключа представника юридичної особи;

2) звільнення працівника юридичної особи;

3) припинення представництва юридичної особи.

До скасування кваліфікованого сертифіката відкритого ключа представника юридичної особи кваліфікованим надавачем електронних довірчих послуг вважається, що повноваження такого представника у взаємовідносинах з третіми особами не скасовані, а вчинені таким представником дії вважаються вчиненими суб’єктом електронної взаємодії.

24. Учасник ринку зобов’язаний забезпечити:

1) приймання, реєстрацію, підтвердження про отримання електронних документів з накладеними КЕП з дотриманням вимог законодавства України у сфері електронного документообігу;

2) функціонування електронної поштової скриньки для приймання, реєстрації, підтвердження про отримання електронних документів з накладеними КЕП клієнтів / контрагентів, крім випадків, коли електронна взаємодія згідно з умовами укладених договорів з клієнтами/контрагентами має здійснюватися виключно у визначеній між ними інформаційній системі.

Учасник ринку має право визначити додаткові канали електронної взаємодії, через які він забезпечує приймання, реєстрацію, підтвердження про отримання електронних документів з накладеними КЕП, та забезпечити вільний доступ клієнтів / контрагентів та потенційних клієнтів / контрагентів до інформації про зазначені канали електронної взаємодії.

25. Перевірка та підтвердження КЕП здійснюється відповідно до вимог Закону.

26. Кваліфікований сертифікат відкритого ключа повинен відповідати вимогам Закону.

27. Підписувач зобов’язаний використовувати кваліфіковану електронну позначку часу в разі підписування електронного документа КЕП, а відповідна система електронної взаємодії має забезпечити перевірку наявності кваліфікованої електронної позначки часу.

Підписувач зобов’язаний до накладення КЕП перевірити чинність свого кваліфікованого сертифіката відкритого ключа підписувача.

Перевірка чинності кваліфікованого сертифіката відкритого ключа підписувача здійснюється відповідно до вимог Закону.

Підписувачу забороняється підписувати електронний документ, якщо кваліфікований сертифікат відкритого ключа підписувача є нечинним або одержати інформацію про його статус неможливо.

28. Вимоги цього розділу поширюються на учасників ринку та їхніх клієнтів для підписання електронних документів.

29. Вимоги цього розділу Порядку поширюються виключно в разі фізичної присутності клієнтів у приміщеннях учасника ринку чи установ, що діють від імені цього учасника ринку, для укладання / підписання договорів та інших документів, які оформляються для здійснення операцій.

30. Фізична особа, що є клієнтом учасника ринку або має намір стати клієнтом учасника ринку має право використовувати ЦВП для підписання електронних документів під час електронної взаємодії виключно з учасником ринку / комерційним агентом учасника ринку з дотриманням вимог цього Порядку.

Фізична особа, яка є представником фізичної особи, що є клієнтом учасника ринку або має намір стати клієнтом учасника ринку, має право використовувати ЦВП для підписання електронних документів під час електронної взаємодії виключно з учасником ринку / комерційним агентом учасника ринку з дотриманням вимог цього Порядку та виключно у випадках, установлених нормативно-правовими актами НКЦПФР.

31. Учасник ринку самостійно визначає технологію створення електронних документів з ЦВП та забезпечує дотримання вимог цього Порядку.

Учасник ринку зобов’язаний забезпечити дотримання таких вимог під час створення електронного документа з ЦВП підписувача:

1) проведення ідентифікації та верифікації підписувача відповідно до вимог законодавства України;

2) ознайомлення підписувача з текстом документа перед його підписанням ЦВП;

3) підписання ЦВП саме того документа, з яким ознайомився підписувач;

4) нерозривне поєднання ЦВП з електронним документом, підписаним цим ЦВП;

5) автоматичне створення кваліфікованої електронної позначки часу для електронного документа відразу після його підписання ЦВП;

6) здійснення перевірки ЦВП підписувача на його відповідність зразку власноручного підпису в паспорті підписувача або в іншому документі, що містить підпис особи / відцифрований підпис особи і посвідчує особу підписувача та відповідно до законодавства України може бути використаним на території України для укладення правочинів, або в картці зразків підписів - у випадках, визначених нормативно-правовими актами Національного банку. Якщо ЦВП підписувача не відповідає зразку власноручного підпису в паспорті підписувача або в іншому документі, що містить підпис особи / відцифрований підпис особи, і посвідчує особу підписувача та відповідно до законодавства України може бути використаним на території України для укладення правочинів, уповноважений представник учасника ринку зобов’язаний припинити процедуру створення електронного документа з ЦВП підписувача;

7) підписання електронного документа уповноваженим представником учасника ринку з використанням КЕП з кваліфікованою електронною позначкою часу та/або засвідчення електронного документа кваліфікованою електронною печаткою учасника ринку з кваліфікованою електронною позначкою часу;

8) фіксування дій підписувача та уповноважених представників учасника ринку, пов’язаних зі створенням електронних документів з ЦВП, в електронному журналі подій, захищеному від модифікації та знищення;

9) конфіденційність усіх даних, що передаються між електронним сенсорним пристроєм та інформаційною системою учасника ринку.

Учасник ринку має право не застосовувати підпункти 1 і 6 цього пункту, якщо законодавством не встановлено обов’язку ідентифікувати / верифікувати підписувача.

32. Учасник ринку після створення електронного документа з ЦВП зобов’язаний забезпечити захист цього ЦВП від подальшого знищення, копіювання, розповсюдження, модифікації.

33. Учасник ринку зобов’язаний забезпечити застосовування антивірусного захисту в інформаційній системі учасника ринку та на пристрої до якого приєднаний електронний сенсорний пристрій, який використовується для створення ЦВП.

34. Перелік подій, що фіксуються в електронному журналі подій, визначається учасником ринку з урахуванням можливості надалі:

1) підтвердити факт, дату і час підписання документа ЦВП особою, визначеною в пункті 30 цього розділу, та уповноваженим представником учасника ринку;

2) підтвердити факт попереднього ознайомлення підписувача з текстом документа, що був підписаний;

3) надавати інформацію щодо процесу підписання конкретного документа та доведення достовірності такої інформації на запит уповноважених державних органів у випадках, установлених законами України, або за рішенням суду.

35. Учасник ринку має право застосовувати процедури фото та/або відеофіксації, інші процедури з метою документування та контролю за процесом підписання документа клієнтом з використанням ЦВП. Застосування зазначених процедур повинно здійснюватися за умови попередньо отриманої згоди клієнта.

Учасник ринку не має права без згоди клієнта використовувати для інших цілей або передавати іншим особам інформацію, отриману під час процедури документування процесу підписання підписувачем документа ЦВП, крім випадків, передбачених законами України.

36. Учасник ринку зобов’язаний зберігати інформацію, зафіксовану під час процесу створення електронного документа з ЦВП, до завершення строку зберігання електронного документа, з яким пов’язана зазначена інформація, відповідно до вимог законодавства України.

37. Учасник ринку забезпечує доведення цілісності електронного документа та авторство ЦВП підписувача в разі заперечення підписувачем факту підписання електронного документа або оспорювання окремих частин електронного документа.

38. Учасник ринку несе відповідальність за шкоду, заподіяну підписувачу внаслідок порушення таким учасником ринку вимог законодавства України щодо технології створення електронного документа з ЦВП.

39. Спірні питання стосовно документів, підписаних ЦВП, вирішуються між учасником ринку та підписувачем у порядку, установленому законодавством України.

40. Уповноважений представник учасника ринку не має права використовувати ЦВП для підписання електронних документів від імені учасника ринку.

41. Суб’єкти електронної взаємодії мають право використовувати УЕП з кваліфікованим сертифікатом у випадках, коли таке право встановлено законами України або нормативно-правовими актами НКЦПФР.

Суб’єкти електронної взаємодії не мають права використовувати УЕП з кваліфікованим сертифікатом у разі виконання хоча б однієї з таких умов:

1) УЕП з кваліфікованим сертифікатом не включений до переліку ЕП, які можуть використовуватися для підписання електронних документів згідно з вимогами нормативно-правових актів НКЦПФР;

2) відповідно до вимог законодавства відповідний документ має бути створений у вигляді паперового документа та містити власноручний підпис особи.

42. Суб’єкти електронної взаємодії для використання УЕП з кваліфікованим сертифікатом зобов’язані отримувати у кваліфікованого надавача електронних довірчих послуг кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.

43. Учасник ринку визначає можливість використання УЕП з кваліфікованим сертифікатом за результатами оцінки ризиків від використання такого виду ЕП, крім випадків, коли законодавством України встановлено обов’язок або право для суб’єктів електронної взаємодії використовувати УЕП з кваліфікованим сертифікатом.

Учасник ринку, який використовує УЕП з кваліфікованим сертифікатом, зобов’язаний забезпечити:

1) повідомлення свого клієнта, контрагента про можливість використання ними УЕП з кваліфікованим сертифікатом;

2) приймання, реєстрацію, підтвердження про отримання електронних документів із накладеними УЕП з кваліфікованим сертифікатом з дотриманням вимог законодавства України у сфері електронного документообігу;

3) функціонування електронної поштової скриньки для приймання, реєстрації, підтвердження про отримання електронних документів із накладеними УЕП з кваліфікованим сертифікатом клієнтів/контрагентів, крім випадків, коли електронна взаємодія згідно з умовами укладених договорів з клієнтами/контрагентами має здійснюватися виключно у визначеній між ними інформаційній системі.

Учасник ринку має право визначити додаткові канали електронної взаємодії, через які він забезпечує приймання, реєстрацію, підтвердження про отримання електронних документів із накладеними УЕП з кваліфікованим сертифікатом, та забезпечити вільний доступ клієнтів / контрагентів та потенційних клієнтів / контрагентів до інформації про зазначені канали електронної взаємодії.

44. Перевірка та підтвердження УЕП з кваліфікованим сертифікатом здійснюються у межах отримання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки. У процесі підтвердження УЕП з кваліфікованим сертифікатом дійсність такого підпису підтверджується у разі виконання всіх таких умов:

1) використання для створення УЕП з кваліфікованим сертифікатом кваліфікованого сертифіката відкритого ключа підписувача, який відповідає вимогам, установленим Законом;

2) видачі кваліфікованого сертифіката відкритого ключа підписувача кваліфікованим надавачем електронних довірчих послуг та його чинності на момент створення УЕП з кваліфікованим сертифікатом;

3) відповідності значення відкритого ключа його значенню, яке міститься у кваліфікованому сертифікаті відкритого ключа підписувача;

4) правильного внесення унікального набору даних, які визначають підписувача, до кваліфікованого сертифіката відкритого ключа підписувача;

5) зазначення у кваліфікованому сертифікаті відкритого ключа підписувача про використання в ньому псевдоніма (у разі його використання особою на момент створення УЕП з кваліфікованим сертифікатом);

6) не порушено цілісності електронних даних, з якими пов’язаний цей УЕП з кваліфікованим сертифікатом;

7) дотримання вимог, установлених Законом.

45. Кваліфікований сертифікат відкритого ключа, що використовується для створення УЕП з кваліфікованим сертифікатом, повинен відповідати вимогам Закону.

46. Підписувач зобов’язаний використовувати кваліфіковану електронну позначку часу в разі підписування електронного документа УЕП з кваліфікованим сертифікатом.

Підписувач зобов’язаний під час накладання УЕП з кваліфікованим сертифікатом перевірити чинність свого кваліфікованого сертифіката відкритого ключа підписувача.

Перевірка чинності кваліфікованого сертифіката відкритого ключа здійснюється відповідно до вимог Закону.

Підписувачу забороняється накладати УЕП з кваліфікованим сертифікатом, якщо кваліфікований сертифікат відкритого ключа підписувача є нечинним або одержати інформацію про його статус неможливо.

47. Учасники ринку та їх контрагенти та клієнти під час вчинення правочинів у вигляді електронних документів мають право використовувати УЕП на підставі договору з урахуванням вимог пункту 15 розділу II цього Порядку.

48. Учасник ринку визначає технологію використання УЕП та засоби удосконаленого електронного підпису чи печатки, що використовуються під час взаємодії з клієнтом / контрагентом.

49. Суб’єкти електронної взаємодії використовують УЕП без сертифіката відкритого ключа або чинність відкритого ключа підписувача засвідчується сертифікатом відкритого ключа на договірних засадах, або чинність відкритого ключа підписувача засвідчується надавачем електронних довірчих послуг згідно з вимогами нормативно-правових актів у сфері електронних довірчих послуг.

50. УЕП є таким, що пройшов перевірку, якщо виконуються всі такі вимоги:

1) перевірку УЕП здійснено згідно з процедурою, зазначеною в договорі, укладеному між суб’єктами електронної взаємодії;

2) УЕП відповідає вимогам, визначеним Законом.

51. Клієнт, контрагент учасника ринку мають право використовувати простий ЕП у разі дотримання таких вимог:

1) електронна взаємодія здійснюється виключно з цим учасником ринку та з використанням технології, визначеної учасником ринку;

2) використання простого ЕП здійснюється на підставі договору відповідно до вимог пункту 16 розділу II цього Порядку.

52. Простий ЕП має забезпечувати однозначну ідентифікацію особи підписувача, відповідно до законодавства.

53. Доведення цілісності електронних документів із накладеним простим ЕП може забезпечуватися засобами інформаційної системи, у якій здійснюється створення, оброблення, зберігання електронних документів.

54. Учасник ринку забезпечує доведення цілісності, достовірності та авторства електронного документа з накладеним простим ЕП.

Учасник ринку в разі недотримання зазначеної вимоги несе відповідальність за шкоду, заподіяну клієнтові учасника ринку.

55. Суб’єкт електронної взаємодії зобов’язаний використовувати кваліфіковану електронну печатку у випадках, визначених законодавством України.

56. Кваліфікована електронна печатка використовується, якщо відповідно до законодавства України:

1) необхідно забезпечити достовірність походження пов’язаних електронних даних, для засвідчення дійсності електронного підпису на електронному документі;

2) проставлення печатки вимагається для засвідчення відповідності копій документів оригіналам;

3) потрібно підтвердити повноваження представника юридичної особи на використання ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).

57. Накладання кваліфікованих електронних печаток на електронні документи здійснює працівник суб’єкта електронної взаємодії, який має на це повноваження.

Учасник ринку зобов’язаний затвердити внутрішнім документом перелік своїх працівників, яким надається право використання кваліфікованих електронних печаток для електронних документів (у випадку використання кваліфікованих електронних печаток).

58. Суб’єкт електронної взаємодії має право використовувати кваліфіковану електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії.

Суб’єкт електронної взаємодії, установчими документами якого не передбачена наявність фізичної печатки, має право використовувати кваліфіковану електронну печатку з метою підтвердження цілісності та походження інформації під час інформаційної взаємодії.

59. Кваліфікований сертифікат електронної печатки повинен відповідати вимогам Закону та мати позначку, що цей сертифікат сформовано як кваліфікований для використання електронної печатки.

60. Перевірка та підтвердження кваліфікованої електронної печатки здійснюються відповідно до вимог Закону.

61. Суб’єкт електронної взаємодії має право використовувати більше ніж одну кваліфіковану електронну печатку.

62. Суб’єкт електронної взаємодії зобов’язаний забезпечити використання кваліфікованої електронної позначки часу у випадках накладання кваліфікованої електронної печатки, визначених у пункті 56 цього розділу.

Суб’єкт електронної взаємодії зобов’язаний під час накладання кваліфікованої електронної печатки здійснити перевірку чинності кваліфікованого сертифіката електронної печатки.

Перевірка чинності кваліфікованого сертифіката електронної печатки здійснюється відповідно до вимог Закону.

Суб’єкт електронної взаємодії забороняється накладати кваліфіковану електронну печатку, якщо кваліфікований сертифікат електронної печатки є нечинним або одержати інформацію про його статус неможливо.

63. Суб’єкти електронної взаємодії мають право використовувати електронну печатку з кваліфікованим сертифікатом у випадках, коли законодавством України не передбачено обов’язку для суб’єктів електронної взаємодії використовувати виключно кваліфіковану електронну печатку. Суб’єкти електронної взаємодії використовують електронну печатку з кваліфікованим сертифікатом у випадках, коли законодавством України для суб’єктів електронної взаємодії встановлено обов’язок використовувати електронну печатку з кваліфікованим сертифікатом.

64. Суб’єкти електронної взаємодії для використання електронної печатки з кваліфікованим сертифікатом зобов’язані отримувати у кваліфікованого надавача електронних довірчих послуг кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.

65. Електронна печатка з кваліфікованим сертифікатом використовується, якщо законодавством України передбачено:

1) що на електронних документах має бути печатка з кваліфікованим сертифікатом;

2) проставлення печатки для засвідчення відповідності копій документів оригіналам електронною печаткою з кваліфікованим сертифікатом;

3) використання електронної печатки з кваліфікованим сертифікатом для підтвердження повноваження представника юридичної особи на використання ЕП у контексті, визначеному документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).

66. Накладення електронних печаток з кваліфікованим сертифікатом для електронних документів здійснює працівник суб’єкта електронної взаємодії, який має на це повноваження.

Учасник ринку зобов’язаний затвердити внутрішнім документом перелік працівників учасника ринку, яким надається право використання електронних печаток з кваліфікованим сертифікатом для електронних документів.

67. Суб’єкт електронної взаємодії має право використовувати електронну печатку з кваліфікованим сертифікатом у разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії.

Суб’єкт електронної взаємодії, установчими документами якого не передбачена наявність фізичної печатки, має право використовувати електронну печатку з кваліфікованим сертифікатом з метою підтвердження цілісності та походження інформації під час інформаційної взаємодії.

68. Перевірка та підтвердження електронної печатки з кваліфікованим сертифікатом здійснюється у межах отримання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки.

69. Суб’єкт електронної взаємодії має право використовувати більше ніж одну електронну печатку з кваліфікованим сертифікатом.

70. Суб’єкт електронної взаємодії зобов’язаний забезпечити використання електронної позначки часу у випадках накладання електронної печатки з кваліфікованим сертифікатом, визначених у пункті 65 цього розділу, а відповідна система електронної взаємодії має забезпечити перевірку наявності кваліфікованої електронної позначки часу.

Суб’єкт електронної взаємодії зобов’язаний під час накладання електронної печатки з кваліфікованим сертифікатом здійснити перевірку чинності відповідного кваліфікованого сертифіката електронної печатки.

Перевірка чинності кваліфікованого сертифіката електронної печатки здійснюється в межах отримання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки відповідно до вимог Закону.

Суб’єкту електронної взаємодії забороняється накладати електронну печатку з кваліфікованим сертифікатом, якщо кваліфікований сертифікат електронної печатки є нечинним або одержати інформацію про його статус неможливо.

71. Учасник ринку має право використовувати удосконалену електронну печатку для внутрішнього документообігу на підставі свого внутрішнього документа.

72. Суб’єкт електронної взаємодії має право використовувати удосконалену електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії на підставі договору з урахуванням вимог пункту 16 розділу II цього Порядку.

73. Учасник ринку визначає технологію використання удосконаленої електронної печатки та засоби удосконаленого електронного підпису чи печатки, що використовуються під час його взаємодії з клієнтом або контрагентом.

74. Удосконалена електронна печатка накладається, якщо відповідно до умов договору потрібно:

1) засвідчити дійсність підпису на електронних документах;

2) проставити печатку для засвідчення відповідності копій документів оригіналам;

3) підтвердити повноваження представника юридичної особи на використання ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).

75. Суб’єкт електронної взаємодії має право використовувати більше ніж одну удосконалену електронну печатку.

1. ДСТУ ETSI TS 102 778-2:2015 "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 2. Базовий PAdES - профілі, що базуються на ISO 32000-1 (ETSI TS 102 778- 2:2009, IDT)".

2. ДСТУ ETSI TS 102 778-3:2015 "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 3. Посилений PAdES - профілі PAdES-BES і PadES-EPES (ETSI TS 102 778- 3:2010, IDT)".

3. ДСТУ ETSI TS 102 778-4:2015 "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 4. Довгостроковий PAdES - профіль PAdES LTV (ETSI TS 102 778-4:2009, IDT)".

4. ДСТУ ETSI TS 102 778-5:2015 "Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 5. PAdES для XML контенту - профілі для підписів XAdES (ETSI TS 102 778- 5:2009, IDT)".

5. ДСТУ ETSI EN 319 142-1:2016 (ETSI EN 319 142-1:2016, IDT) "Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 1. Структурні елементи та базові PAdES підписи".

6. ДСТУ ETSI EN 319 142-2:2016 (ETSI EN 319 142-2:2016, IDT) "Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 2. Додаткові профілі підписів PAdES".

7. ДСТУ ETSI EN 319 132-1:2021 (ETSI EN 319 132-1 V1.1.1 (2016-04), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 1. Структурні блоки та базові підписи XAdES".

8. ДСТУ ETSI EN 319 132-2:2021 (ETSI EN 319 132-2 V1.1.1 (2016-04), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 2. Розширені підписи XAdES".

9. ДСТУ ETSI EN 319 122-1:2021 (ETSI EN 319 122-1 V1.2.1 (2021-10), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 1. Структурні блоки та базові підписи CAdES".

10. ДСТУ ETSI EN 319 122-2:2021 (ETSI EN 319 122-2 V1.2.1 (2016-04), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 2. Розширені підписи CAdES".

11. ДСТУ ETSI EN 319 162-1:2021 (ETSI EN 319 162-1 V1.1.1 (2016-04), IDT) "Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 1. Структурні блоки та базові контейнери ASiC".

12. ДСТУ ETSI EN 319 162-2:2021 (ETSI EN 319 162-2 V.1.1.1 (2016-04), IDT) "Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 2. Додаткові контейнери ASiC".

13. ДСТУ ETSI TS 119 132-3:2022 (ETSI TS 119 132-3 V1.1.1 (2021-01), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 3. Уведення механізмів синтаксису запису доказів (ERS) у XAdES".

14. ДСТУ ETSI TS 119 182-1:2022 (ETSI TS 119 182-1 V1.1.1 (2021-03), IDT) "Електронні підписи та інфраструктури (ESI). Цифрові підписи JAdES. Частина 1. Структурні блоки та базові підписи JAdES".