надійний рівень неможливості обчислення значення особистого ключа на основі відкритої інформації та надійний захист кваліфікованого електронного підпису чи печатки від підроблення шляхом використання наявних на даний момент технологій;
можливість надійного захисту підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки особистого ключа від використання іншими особами.
2. Засоби кваліфікованого електронного підпису чи печатки не повинні змінювати електронні дані, з якими пов’язаний такий підпис чи печатка, або перешкоджати доступу підписувача чи створювача (уповноваженого представника створювача) електронної печатки до таких електронних даних перед накладанням на них кваліфікованого електронного підпису чи печатки.
3. Генерацію та/або управління парою ключів від імені підписувача чи створювача електронної печатки може здійснювати виключно кваліфікований надавач електронних довірчих послуг.
4. Кваліфікований надавач електронних довірчих послуг, який здійснює управління парою ключів від імені підписувача чи створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача чи створювача електронної печатки з метою його зберігання, за умови дотримання вимоги абзацу п’ятого частини першої статті 19 цього Закону, а також таких вимог:
рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;
кількість резервних копій не повинна перевищувати мінімальне значення, необхідне для забезпечення безперервності надання послуги.
5. Відповідність засобів кваліфікованого електронного підпису чи печатки вимогам, встановленим частинами першою - четвертою цієї статті, підтверджується документами про відповідність, виданими за результатами сертифікації таких засобів відповідно до Закону України "Про технічні регламенти та оцінку відповідності".
Презумпцією відповідності виконання вимог, встановлених частинами першою - четвертою цієї статті, є реалізація вимог стандартів, у тому числі щодо забезпечення сумісності, затверджених центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
6. Органи з оцінки відповідності, акредитовані на проведення сертифікації засобів кваліфікованого електронного підпису чи печатки, формують, підтримують в актуальному стані та публікують на своїх офіційних веб-сайтах переліки сертифікованих ними засобів кваліфікованого електронного підпису чи печатки, а також надають центральному органу виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, переліки сертифікованих ними засобів кваліфікованого електронного підпису чи печатки.
Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, формує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті перелік всіх засобів кваліфікованого електронного підпису чи печатки, сертифікованих органами з оцінки відповідності, акредитованими на проведення сертифікації засобів кваліфікованого електронного підпису чи печатки.
Вимоги до переліків сертифікованих засобів кваліфікованого електронного підпису чи печатки встановлюються центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
( Стаття 19 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 20. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає:
створення умов для генерації пари ключів особисто підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки за допомогою засобу кваліфікованого електронного підпису чи печатки;
формування кваліфікованих сертифікатів електронного підпису чи печатки, що відповідають вимогам цього Закону, та видачу їх користувачу електронної довірчої послуги;
скасування, блокування та поновлення кваліфікованих сертифікатів електронного підпису чи печатки у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованих сертифікатів електронного підпису чи печатки шляхом надання третім особам інформації про їхній статус та відповідність вимогам цього Закону;
надання доступу до сформованих кваліфікованих сертифікатів електронних підписів та печаток шляхом їх розміщення на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди підписувача чи створювача електронної печатки на публікацію кваліфікованого сертифіката електронного підпису чи печатки.
2. Формування та видача кваліфікованих сертифікатів електронного підпису чи печатки, що не відповідають вимогам цього Закону, забороняються.
Формування та видача кваліфікованих сертифікатів відкритого ключа іншого призначення, ніж для автентифікації веб-сайту, створення електронного підпису та електронної печатки, здійснюються відповідно до вимог цього Закону з урахуванням особливостей, встановлених Кабінетом Міністрів України.
( Частина друга статті 20 в редакції Закону № 2801-IX від 01.12.2022 )
3. Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
( Частина третя статті 20 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
4. Особливості надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката шифрування встановлюються центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
( Статтю 20 доповнено частиною четвертою згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 21. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту включає:
формування кваліфікованого сертифіката автентифікації веб-сайту, що відповідає вимогам цього Закону, та передачу його користувачу електронної довірчої послуги;
створення умов для генерації пари ключів особисто користувачем цієї електронної довірчої послуги за допомогою засобу кваліфікованого електронного підпису чи печатки;
скасування, блокування та поновлення кваліфікованого сертифіката автентифікації веб-сайту у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту шляхом надання третім особам інформації про його статус та відповідність вимогам цього Закону;
надання доступу до кваліфікованого сертифіката автентифікації веб-сайту шляхом розміщення його на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті автентифікації веб-сайту, на публікацію кваліфікованого сертифіката автентифікації веб-сайту.
2. Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
( Частина друга статті 21 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 22. Ідентифікація особи під час формування та видачі кваліфікованого сертифіката відкритого ключа
1. Формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються.
Ідентифікація особи здійснюється кваліфікованим надавачем електронних довірчих послуг (його відокремленим пунктом реєстрації) шляхом перевірки та підтвердження належності фізичній чи юридичній особі, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, ідентифікаційних даних особи, отриманих кваліфікованим надавачем електронних довірчих послуг (його відокремленим пунктом реєстрації).
( Частину першу статті 22 доповнено абзацом другим згідно із Законом № 2801-IX від 01.12.2022 )
2. Ідентифікація особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється в один із таких способів:
1) за особистої присутності фізичної особи, фізичної особи - підприємця чи уповноваженого представника юридичної особи - за результатами перевірки відомостей (даних) про особу, отриманими у встановленому законодавством порядку з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
2) віддалено (без особистої присутності особи), з одночасним використанням засобу електронної ідентифікації, що має високий або середній рівень довіри, раніше виданого фізичній особі, фізичній особі - підприємцю чи уповноваженому представнику юридичної особи за особистої присутності, та багатофакторної автентифікації;
3) за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованого (сформованої) та виданого (виданої) згідно з пунктом 1 або 2 цієї частини, за умови чинності такого сертифіката;
4) з використанням інших способів ідентифікації, визначених законом, надійність яких є еквівалентною особистій присутності та підтверджена органом з оцінки відповідності.
( Частина друга статті 22 в редакції Закону № 2801-IX від 01.12.2022 )( Частину третю статті 22 виключено на підставі Закону № 2801-IX від 01.12.2022 )
4. У разі відсутності в іноземців та осіб без громадянства документів, виданих відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи, їх ідентифікація у спосіб, визначений пунктом 1 частини другої цієї статті, здійснюється за легалізованим належним чином паспортним документом іноземця або документом, що посвідчує особу без громадянства.
( Частина четверта статті 22 в редакції Закону № 2801-IX від 01.12.2022 )
5. Під час перевірки цивільної правоздатності та дієздатності юридичної особи (з метою формування кваліфікованого сертифіката електронної печатки або автентифікації веб-сайту) чи фізичної особи - підприємця (з метою формування кваліфікованого сертифіката електронної печатки) кваліфікований надавач електронних довірчих послуг зобов’язаний використовувати інформацію про юридичну особу чи фізичну особу - підприємця, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань або в торговельному, банківському чи судовому реєстрі, який ведеться країною резидентства іноземної юридичної особи, а також пересвідчитися, що обсяг цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа або автентифікації веб-сайту. Порядок проведення перевірки, передбаченої цією частиною, визначається Кабінетом Міністрів України.
Перевірка цивільної правоздатності та дієздатності міжнародних організацій, відомості про яких не внесені до Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань або торговельного, банківського чи судового реєстру, що ведеться іноземною державою, за місцезнаходженням штаб-квартири міжнародної організації здійснюється з використанням інформації з міжнародного договору або іншого офіційного документа, на підставі якого створена та/або діє міжнародна організація.
( Частина п'ята статті 22 в редакції Закону № 2801-IX від 01.12.2022 )
6. Уповноважений представник юридичної особи або фізичної особи - підприємця підписує документи, необхідні для формування та видачі кваліфікованого сертифіката відкритого ключа працівнику юридичної особи або фізичної особи - підприємця. Кваліфікований надавач електронних довірчих послуг під час формування та видачі кваліфікованого сертифіката відкритого ключа працівнику юридичної особи або фізичної особи - підприємця здійснює ідентифікацію працівника, а також ідентифікацію особи уповноваженого представника юридичної особи або фізичної особи - підприємця відповідно до вимог цієї статті та перевіряє обсяг його повноважень за документом, що визначає повноваження уповноваженого представника юридичної особи або фізичної особи - підприємця, чи з використанням інформації, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань або в торговельному, банківському чи судовому реєстрі, який ведеться країною резидентства іноземної юридичної особи.
( Абзац перший частини шостої статті 22 в редакції Закону № 2801-IX від 01.12.2022 )
Якщо від імені юридичної особи діє колегіальний орган, кваліфікованому надавачу електронних довірчих послуг подається документ, у якому визначено повноваження відповідного органу та розподіл обов’язків між його членами.
Стаття 23. Кваліфіковані сертифікати відкритих ключів
1. Під час надання кваліфікованих електронних довірчих послуг використовуються кваліфіковані сертифікати електронного підпису, кваліфіковані сертифікати електронної печатки та кваліфіковані сертифікати автентифікації веб-сайту (далі - кваліфіковані сертифікати відкритих ключів).
2. Кваліфіковані сертифікати відкритих ключів обов’язково повинні містити:
1) позначку (у формі, придатній для автоматизованої обробки) про те, що сертифікат відкритого ключа виданий як кваліфікований сертифікат відкритого ключа;
2) позначку, що сертифікат відкритого ключа виданий в Україні;
3) ідентифікаційні дані, які однозначно визначають кваліфікованого надавача електронних довірчих послуг, засвідчувальний центр або центральний засвідчувальний орган, який видав кваліфікований сертифікат відкритого ключа (далі - суб’єкт, який видав сертифікат), у тому числі обов’язково:
для юридичної особи - найменування та код згідно з Єдиним державним реєстром підприємств та організацій України;
для фізичної особи - підприємця - прізвище, власне ім’я, по батькові (за наявності), унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний податковий орган і мають відмітку або інформацію в паспорті громадянина України про право здійснювати будь-які платежі за серією та/або номером паспорта);
4) ідентифікаційні дані, які однозначно визначають користувача електронних довірчих послуг, у тому числі обов’язково:
прізвище, власне ім’я, по батькові (за наявності) чи псевдонім (із зазначенням про використання особою псевдоніма) підписувача та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний податковий орган і мають відмітку або інформацію в паспорті громадянина України про право здійснювати будь-які платежі за серією та/або номером паспорта), або номер паспортного документа іноземця чи особи без громадянства;
найменування або прізвище, власне ім’я, по батькові (за наявності) створювача електронної печатки та код згідно з Єдиним державним реєстром підприємств та організацій України (код/номер з торговельного, банківського чи судового реєстру, що ведеться країною резидентства іноземної юридичної особи, код/номер з реєстраційного посвідчення місцевого органу влади іноземної держави про реєстрацію юридичної особи), крім міжнародних організацій, відомості про яких не внесені до Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань або торговельного, банківського чи судового реєстру, що ведеться іноземною державою, за місцезнаходженням штаб-квартири міжнародної організації, або унікальний номер запису в Єдиному державному демографічному реєстрі, або реєстраційний номер облікової картки платника податків, або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний податковий орган і мають відмітку або інформацію в паспорті громадянина України про право здійснювати будь-які платежі за серією та/або номером паспорта);
прізвище, власне ім’я, по батькові (за наявності) чи псевдонім (із зазначенням про використання особою псевдоніма) фізичної особи чи найменування юридичної особи, якій видано кваліфікований сертифікат автентифікації веб-сайту, та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний податковий орган і мають відмітку або інформацію в паспорті громадянина України про право здійснювати будь-які платежі за серією та/або номером паспорта), або номер паспортного документа іноземця чи особи без громадянства та найменування уповноваженого органу іноземної держави або статутної організації ООН, яка видала такий паспортний документ, або код згідно з Єдиним державним реєстром підприємств та організацій України (код/номер з торговельного, банківського чи судового реєстру, що ведеться країною резидентства іноземної юридичної особи, код/номер з реєстраційного посвідчення місцевого органу влади іноземної держави про реєстрацію юридичної особи), крім міжнародних організацій, відомості про яких не внесені до Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань або торговельного, банківського чи судового реєстру, що ведеться іноземною державою, за місцезнаходженням штаб-квартири міжнародної організації;
5) назву держави та населеного пункту, інформація про які міститься у відомостях про місце проживання (перебування) фізичної особи, якій видано кваліфікований сертифікат автентифікації веб-сайту, або у відомостях про місцезнаходження юридичної особи, якій видано кваліфікований сертифікат автентифікації веб-сайту;
6) значення відкритого ключа, який відповідає особистому ключу;
7) відомості про початок та закінчення строку дії кваліфікованого сертифіката відкритого ключа;
8) серійний номер кваліфікованого сертифіката відкритого ключа, унікальний для суб’єкта, який видав сертифікат;
9) кваліфікований електронний підпис або кваліфіковану електронну печатку, створені суб’єктом, який видав сертифікат;
10) відомості про місце розміщення в безоплатному доступі кваліфікованого сертифіката електронного підпису чи електронної печатки, з використанням якого перевіряється удосконалений електронний підпис чи печатка, передбачені пунктом 9 цієї частини;
11) відомості про місце надання послуги перевірки статусу відповідного кваліфікованого сертифіката відкритого ключа;
12) зазначення про те, що особистий ключ, пов’язаний з відкритим ключем, зберігається в засобі кваліфікованого електронного підпису чи печатки, - у формі, придатній для автоматизованої обробки;
13) ім’я (імена) домену, що належить фізичній або юридичній особі, якій видано кваліфікований сертифікат автентифікації веб-сайту.
3. Перелік обов’язкових вимог до кваліфікованих сертифікатів відкритих ключів, визначений частиною другою цієї статті, є вичерпним.
4. Кваліфіковані сертифікати електронного підпису чи печатки можуть містити відомості про обмеження використання кваліфікованого електронного підпису чи печатки.
5. Кваліфіковані сертифікати відкритих ключів можуть містити інші необов’язкові додаткові спеціальні атрибути, визначені у стандартах для кваліфікованих сертифікатів відкритих ключів. Такі атрибути не повинні впливати на інтероперабельність і визнання кваліфікованих електронних підписів чи печаток.
6. Порядок перевірки дотримання обов’язкових вимог до кваліфікованих сертифікатів відкритих ключів затверджується Кабінетом Міністрів України.
7. Правочин, вчинений в електронній формі, може бути визнаний судом недійсним у разі, якщо під час його вчинення використовувався кваліфікований електронний підпис чи печатка, кваліфікований сертифікат якого (якої) не містить відомостей, передбачених частиною другою цієї статті, або містить недостовірні відомості.
( Стаття 23 із змінами, внесеними згідно із Законом № 440-IX від 14.01.2020; в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 24. Чинність кваліфікованих сертифікатів відкритих ключів
1. Кваліфікований сертифікат відкритого ключа вважається чинним у разі, якщо на момент перевірки чинності:
строк дії, зазначений у кваліфікованому сертифікаті відкритого ключа, не закінчився;
суб’єктом, який видав сертифікат, статус кваліфікованого сертифіката відкритого ключа не змінено на скасований або блокований з підстав, визначених цим Законом;
за попередніми двома ознаками був чинним кваліфікований сертифікат відкритого ключа суб’єкта, який видав сертифікат.
2. Суб’єкти, які видають сертифікати відкритих ключів, не повинні видавати кваліфіковані сертифікати відкритих ключів із строком дії, що перевищує строк дії їх власних кваліфікованих сертифікатів відкритих ключів.
3. Інформація про статус кваліфікованих сертифікатів відкритих ключів надається суб’єктами, які видали сертифікати, засобами їх інформаційно-комунікаційної системи цілодобово.
( Частина третя статті 24 із змінами, внесеними згідно із Законами № 1089-IX від 16.12.2020, № 2801-IX від 01.12.2022 )
4. Доступ до кваліфікованих сертифікатів відкритих ключів надається суб’єктом, який видав сертифікат, з дотриманням вимог Закону України "Про захист персональних даних".
( Частина четверта статті 24 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 25. Скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів
1. Кваліфікований сертифікат відкритого ключа скасовується суб’єктом, який видав сертифікат, протягом двох годин у разі:
1) подання користувачем електронних довірчих послуг заяви про скасування виданого йому кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи користувача;
подання заяви про скасування кваліфікованого сертифіката відкритого ключа електронного підпису працівника юридичної особи чи фізичної особи - підприємця за підписом уповноваженої особи відповідної юридичної особи чи фізичної особи - підприємця;
2) надходження до суб’єкта, який видав сертифікат, інформації, що підтверджує:
смерть фізичної особи, яка є підписувачем чи якій видано кваліфікований сертифікат автентифікації веб-сайту, або фізичної особи - підприємця, яка є створювачем електронної печатки;
державну реєстрацію припинення юридичної особи або припинення підприємницької діяльності фізичної особи - підприємця, яка є створювачем електронної печатки;
зміну ідентифікаційних даних користувача електронних довірчих послуг, які містяться у кваліфікованому сертифікаті відкритого ключа;
надання користувачем електронних довірчих послуг недостовірних ідентифікаційних даних під час формування його кваліфікованого сертифіката відкритого ключа;
факт компрометації особистого ключа користувача електронних довірчих послуг, виявлений користувачем самостійно або контролюючим органом під час здійснення заходів державного контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг;
набрання законної сили рішенням суду про скасування кваліфікованого сертифіката відкритого ключа, оголошення фізичної особи, яка є підписувачем чи якій видано кваліфікований сертифікат автентифікації веб-сайту, або фізичної особи - підприємця, яка є створювачем електронної печатки, померлою, визнання її безвісно відсутньою, недієздатною, обмеження її цивільної дієздатності, визнання користувача електронних довірчих послуг банкрутом.
2. Центральний засвідчувальний орган або засвідчувальний центр не пізніше ніж протягом 24 годин зобов’язаний повідомити кваліфікованих надавачів електронних довірчих послуг про компрометацію особистого ключа центрального засвідчувального органу або засвідчувального центру у разі:
підтвердження факту компрометації особистого ключа центрального засвідчувального органу або засвідчувального центру, виявленого ним самостійно або контролюючим органом під час здійснення заходів державного контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг;
набрання законної сили рішенням суду про компрометацію самопідписаного сертифіката електронної печатки центрального засвідчувального органу або засвідчувального центру.
Центральний засвідчувальний орган встановлює у Довірчому списку статус "скасований" для:
кваліфікованої електронної довірчої послуги, надання якої здійснювалося з використанням особистого ключа центрального засвідчувального органу або засвідчувального центру, який зазнав компрометації;
всіх кваліфікованих електронних довірчих послуг кваліфікованих надавачів електронних довірчих послуг, сертифікати яких були сформовані з використанням особистого ключа центрального засвідчувального органу або засвідчувального центру, який зазнав компрометації.
3. У разі подання повідомлення про прийняття кваліфікованим надавачем електронних довірчих послуг рішення про припинення діяльності з надання кваліфікованих електронних довірчих послуг центральний засвідчувальний орган або засвідчувальний центр на основі відповідного рішення скасовує кваліфікований сертифікат відкритого ключа, виданий такому надавачу відповідно до цього Закону.
4. Кваліфікований сертифікат відкритого ключа втрачає чинність з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на "скасований".
5. Скасований кваліфікований сертифікат відкритого ключа поновленню не підлягає.
6. Кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин блокується суб’єктом, який видав сертифікат, у разі:
подання користувачем електронних довірчих послуг заяви про блокування виданого йому кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи користувача;
подання заяви про блокування кваліфікованого сертифіката відкритого ключа електронного підпису працівника юридичної особи чи фізичної особи - підприємця за підписом уповноваженої особи відповідної юридичної особи чи фізичної особи - підприємця;
повідомлення користувачем електронних довірчих послуг або контролюючим органом про підозру в компрометації особистого ключа користувача електронних довірчих послуг;
набрання законної сили рішенням суду про блокування кваліфікованого сертифіката відкритого ключа;
порушення користувачем електронних довірчих послуг істотних умов договору про надання кваліфікованих електронних довірчих послуг.
7. Кваліфікований сертифікат відкритого ключа кваліфікованого надавача електронних довірчих послуг блокується суб’єктом, який видав сертифікат, також у разі прийняття контролюючим органом рішення про блокування відповідного кваліфікованого сертифіката відкритого ключа за результатами здійснення заходів державного контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг відповідно до цього Закону.
8. Кваліфікований сертифікат відкритого ключа вважається заблокованим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на "заблокований".
9. Кваліфікований сертифікат відкритого ключа, статус якого змінено на "заблокований", у період блокування є нечинним та не використовується.
10. Заблокований кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин поновлюється суб’єктом, який видав сертифікат, у разі:
подання користувачем електронних довірчих послуг заяви про поновлення його заблокованого кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи користувача (якщо блокування здійснено на підставі заяви про блокування кваліфікованого сертифіката відкритого ключа);
подання заяви про поновлення кваліфікованого сертифіката відкритого ключа електронного підпису працівника юридичної особи чи фізичної особи - підприємця за підписом уповноваженої особи відповідної юридичної особи чи фізичної особи - підприємця;
повідомлення про встановлення недостовірності інформації щодо факту компрометації особистого ключа користувачем електронних довірчих послуг або контролюючим органом, який раніше повідомив про таку підозру;
надходження до суб’єкта, який видав сертифікат, повідомлення про прийняття рішення суду про поновлення кваліфікованого сертифіката відкритого ключа, що набрало законної сили.
11. Заблокований кваліфікований сертифікат відкритого ключа, виданий центральним засвідчувальним органом, поновлюється відповідно до вимог цього Закону також у разі:
відновлення статусу кваліфікованого надавача електронних довірчих послуг;
набрання законної сили рішенням суду на користь надавача електронних довірчих послуг.
12. Кваліфікований сертифікат відкритого ключа, який був заблокований, відновлює свою чинність з моменту його поновлення.
13. Кваліфікований сертифікат відкритого ключа вважається поновленим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на "поновлений".
14. Суб’єкт, який видав сертифікат, повинен забезпечувати доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа.
Порядок скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів визначається регламентом роботи суб’єкта, який видав відповідний сертифікат.
( Стаття 25 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 26. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає:
формування кваліфікованої електронної позначки часу;
передачу кваліфікованої електронної позначки часу користувачеві електронної довірчої послуги.
Кваліфікована електронна позначка часу має презумпцію точності дати та часу, на які вона вказує, та цілісності електронних даних, з якими ці дата та час пов’язані.
2. Кваліфікована електронна позначка часу повинна відповідати таким вимогам:
пов’язувати дату і час з електронними даними в такий спосіб, що обґрунтовано виключає можливість зміни електронних даних, яка не може бути виявлена;
базуватися на джерелі точного часу, синхронізованому із Всесвітнім координованим часом (UTC) з точністю до секунди;
до кваліфікованої електронної позначки часу додається створений для неї удосконалений електронний підпис чи удосконалена електронна печатка кваліфікованого надавача електронних довірчих послуг або може застосовувати інший метод, рівнозначний додаванню до кваліфікованої електронної позначки часу удосконаленого електронного підпису чи удосконаленої електронної печатки, за умови що він забезпечує рівнозначний рівень безпеки кваліфікованої електронної позначки часу та відповідає вимогам цього Закону.
( Частина друга статті 26 в редакції Закону № 2801-IX від 01.12.2022 )( Частину третю статті 26 виключено на підставі Закону № 2801-IX від 01.12.2022 )
4. Використання кваліфікованої електронної позначки часу для постійного зберігання електронних даних є обов’язковим.
5. Вимоги до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження кваліфікованої електронної позначки часу, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
( Частина п'ята статті 26 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 27. Кваліфікована електронна довірча послуга реєстрованої електронної доставки
1. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна відповідати таким вимогам:
надаватися одним чи кількома кваліфікованими надавачами електронних довірчих послуг;
повинна забезпечуватись ідентифікація відправника;
( Абзац третій частини першої статті 27 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
перед доставкою електронних даних повинна забезпечуватися ідентифікація отримувача;
( Абзац четвертий частини першої статті 27 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
до електронних даних, що відправляються та отримуються, додається створений для них удосконалений електронний підпис чи удосконалена електронна печатка або кваліфікований електронний підпис чи кваліфікована електронна печатка кваліфікованого надавача електронних довірчих послуг у такий спосіб, що виключає можливість зміни електронних даних, яка не може бути виявлена;
( Абзац п'ятий частини першої статті 27 в редакції Закону № 2801-IX від 01.12.2022 )
відправник і отримувач електронних даних повинні бути повідомлені про будь-яку зміну електронних даних, необхідну для відправки або отримання цих даних;
дата і час відправки, отримання та будь-яка зміна електронних даних повинні фіксуватися з використанням кваліфікованої електронної позначки часу;
у разі передачі електронних даних між двома або більше кваліфікованими надавачами електронних довірчих послуг наведені вище вимоги повинні застосовуватися до всіх кваліфікованих надавачів електронних довірчих послуг.
( Абзац восьмий частини першої статті 27 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
2. Вимоги до надання кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
( Частина друга статті 27 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )( Частину третю статті 27 виключено на підставі Закону № 2801-IX від 01.12.2022 )
4. Електронні дані, які відправлені та отримані з використанням кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, мають презумпцію цілісності електронних даних, їх відправки ідентифікованим відправником та отримання ідентифікованим отримувачем, а також точності дати і часу відправки та отримання електронних даних, які вказуються під час надання цієї послуги.
( Частина четверта статті 27 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
Стаття 28. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами
1. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами, забезпечує зберігання раніше створених кваліфікованих електронних підписів чи печаток та сформованих сертифікатів, пов’язаних з цими послугами, протягом строку, визначеного законодавством у сфері архівної справи для зберігання паперових документів.
2. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами, надається лише кваліфікованими надавачами електронних довірчих послуг, які використовують процедури та технології, здатні забезпечити довгострокову надійність кваліфікованих електронних підписів чи печаток.
3. Вимоги до надання кваліфікованої електронної довірчої послуги із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з цими послугами, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
( Стаття 28 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 29. Особливості надання кваліфікованих електронних довірчих послуг центральним засвідчувальним органом
1. Центральний засвідчувальний орган надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачам електронних довірчих послуг з використанням самопідписаного сертифіката електронної печатки центрального засвідчувального органу на підставі договору, укладеного між адміністратором інформаційно-комунікаційної системи центрального засвідчувального органу та відповідним надавачем безоплатно з урахуванням частини другої статті 7-1 цього Закону.
( Частина перша статті 29 в редакції Закону № 2801-IX від 01.12.2022 )
2. Договір про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки повинен містити умови щодо:
порядку надання послуг, що відповідає вимогам цього Закону, нормативно-правових актів, прийнятих на його виконання, та регламенту роботи центрального засвідчувального органу;
строку його дії;
підстав для внесення змін або розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.
Підставою для розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки є скасування статусу кваліфікованого надавача електронних довірчих послуг.
( Частина друга статті 29 в редакції Закону № 2801-IX від 01.12.2022 )
3. Центральний засвідчувальний орган під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надавача електронних довірчих послуг здійснює ідентифікацію юридичних та фізичних осіб та перевіряє їхню цивільну правоздатність і дієздатність на підставі наданих документів. Ідентифікаційні дані з наданих документів вносяться центральним засвідчувальним органом у кваліфікований сертифікат відкритого ключа надавача електронних довірчих послуг.
( Частина третя статті 29 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
4. Центральний засвідчувальний орган під час надання кваліфікованих електронних довірчих послуг зобов’язаний виконувати вимоги, які встановлено для кваліфікованих надавачів електронних довірчих послуг.
( Частина четверта статті 29 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
5. Програмно-технічний комплекс центрального засвідчувального органу, що використовується ним для надання кваліфікованих електронних довірчих послуг, повинен відповідати вимогам, встановленим для програмно-технічного комплексу кваліфікованих надавачів електронних довірчих послуг.
( Частина п'ята статті 29 із змінами, внесеними згідно із Законом № 2801-IX від 01.12.2022 )
6. Організаційно-методологічні, технічні та технологічні умови діяльності центрального засвідчувального органу під час надання ним кваліфікованих електронних довірчих послуг, порядок взаємодії надавачів та користувачів електронних довірчих послуг з центральним засвідчувальним органом у процесі надання ним кваліфікованих електронних довірчих послуг встановлюються регламентом роботи центрального засвідчувального органу.
Регламент роботи центрального засвідчувального органу затверджується центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
( Частина шоста статті 29 в редакції Закону № 2801-IX від 01.12.2022 )
Стаття 30. Набуття статусу кваліфікованого надавача електронних довірчих послуг
1. Статусу кваліфікованого надавача електронних довірчих послуг юридичні особи, фізичні особи - підприємці набувають з дня внесення відомостей про них до Довірчого списку за рішенням центрального засвідчувального органу або засвідчувального центру (у разі надання електронних довірчих послуг банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг).
Для отримання адміністративних послуг внесення відомостей про юридичних осіб та фізичних осіб - підприємців, які мають намір надавати кваліфіковані електронні довірчі послуги, до Довірчого списку, внесення змін до Довірчого списку заявник подає документи в паперовій або електронній формі до центрального засвідчувального органу або засвідчувального центру. Порядок подання документів до засвідчувального центру визначається Національним банком України.
2. Юридичні особи, фізичні особи - підприємці, які мають намір надавати кваліфіковані електронні довірчі послуги, для внесення відомостей про них до Довірчого списку подають до центрального засвідчувального органу або засвідчувального центру:
1) заяву про внесення до Довірчого списку;
2) документ, що дає змогу однозначно ідентифікувати фізичну особу - підприємця або уповноваженого представника юридичної особи;
3) оригінал або засвідчену у встановленому законодавством порядку копію документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, виданого за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг;
4) документи про відповідність засобів кваліфікованого електронного підпису чи печатки, які використовуватимуться для надання кваліфікованих електронних довірчих послуг, установленим цим Законом вимогам, видані за результатами сертифікації таких засобів;
5) засвідчені у встановленому законодавством порядку копії документів, що підтверджують право власності або право користування нежилими приміщеннями, які використовуватимуться для розміщення всіх складових програмно-технічного комплексу, що забезпечуватимуть надання кваліфікованих електронних довірчих послуг;
6) персональний та посадовий склад працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг;
7) засвідчені у встановленому законодавством порядку копії документів, що підтверджують право власності або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуватимуться для надання кваліфікованих електронних довірчих послуг;
8) оригінал або засвідчену у встановленому законодавством порядку копію договору страхування відповідальності або засвідчені у встановленому законодавством порядку копії документів, що підтверджують внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку України - для банків - кваліфікованих надавачів електронних довірчих послуг, кваліфікованого надавача електронних довірчих послуг, створеного Національним банком України) для забезпечення відшкодування збитків, які можуть бути заподіяні кваліфікованим надавачем електронних довірчих послуг користувачам електронних довірчих послуг внаслідок неналежного виконання своїх обов’язків;
9) оригінал або засвідчену у встановленому законодавством порядку копію регламенту роботи кваліфікованого надавача електронних довірчих послуг, погодженого з центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг, або засвідчувальним центром - для надавачів електронних довірчих послуг, що вносяться до Довірчого списку за поданням засвідчувального центру, що відповідає вимогам до регламенту роботи кваліфікованого надавача електронних довірчих послуг;
10) оригінал або засвідчену у встановленому законодавством порядку копію плану припинення діяльності з надання кваліфікованих електронних довірчих послуг згідно з формою, встановленою центральним органом виконавчої влади, що забезпечує формування та реалізує державну політику у сферах електронної ідентифікації та електронних довірчих послуг.
У разі подання юридичними особами та фізичними особами - підприємцями, які мають намір надавати кваліфіковані електронні довірчі послуги, документів для внесення відомостей про них до Довірчого списку в паперовій формі подаються також копії документів, передбачених цією частиною, в електронній формі.
Суб’єкти, визначені абзацом першим частини першої статті 9 цього Закону, подають документи для внесення відомостей про них до Довірчого списку до засвідчувального центру.
3. У разі якщо юридична особа, фізична особа - підприємець має намір надавати кваліфіковані електронні довірчі послуги через відокремлені пункти реєстрації, разом із документами, передбаченими частиною другою цієї статті, до центрального засвідчувального органу або засвідчувального центру подаються відомості про відокремлені пункти реєстрації та їх працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг.
4. Центральний засвідчувальний орган або засвідчувальний центр за результатами розгляду поданих документів протягом 15 робочих днів з дня реєстрації заяви про внесення до Довірчого списку приймає рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку або надсилає заявнику вмотивовану відмову.
5. Кваліфікований надавач електронних довірчих послуг на підставі прийнятого центральним засвідчувальним органом або засвідчувальним центром рішення про внесення відомостей про нього до Довірчого списку подає до центрального засвідчувального органу або засвідчувального центру документи для формування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг (окремо для кожної кваліфікованої електронної довірчої послуги) відповідно до вимог регламенту роботи центрального засвідчувального органу або засвідчувального центру.
6. Центральний засвідчувальний орган або засвідчувальний центр приймає рішення про відмову у внесенні відомостей до Довірчого списку у разі: подання неповного пакета документів, передбачених частиною другою цієї статті, або порушення встановлених вимог до поданих документів; виявлення в заяві про внесення до Довірчого списку та документах, що подаються разом із заявою, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
7. У разі зміни відомостей, що містяться в Довірчому списку, кваліфікований надавач електронних довірчих послуг зобов’язаний протягом п’яти робочих днів з дня настання таких змін подати до органу, який приймав рішення про внесення відомостей про нього до Довірчого списку, заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.
У разі пропущення строку подання документів, що є підставою для внесення змін до Довірчого списку, кваліфікованому надавачу електронних довірчих послуг забороняється надавати кваліфіковані електронні довірчі послуги до внесення відповідних змін до Довірчого списку.
Центральний засвідчувальний орган протягом п’яти робочих днів з дня реєстрації заяви про внесення змін до Довірчого списку зобов’язаний внести відповідні зміни до Довірчого списку або надати заявнику вмотивовану відмову.
Центральний засвідчувальний орган або засвідчувальний центр надає вмотивовану відмову у внесенні змін до Довірчого списку у разі:
неподання документів, що є підставою для внесення відповідних змін до Довірчого списку, або порушення встановлених вимог до поданих документів;
виявлення в заяві про внесення змін до Довірчого списку та документах, що подаються разом із заявою, недостовірних відомостей, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
8. Засвідчувальний центр протягом трьох робочих днів з дня прийняття рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку або протягом п’яти робочих днів з дня отримання від такого надавача заяви про внесення змін до Довірчого списку повідомляє центральний засвідчувальний орган, який протягом п’яти робочих днів з дня реєстрації повідомлення засвідчувального центру вносить відповідні зміни до Довірчого списку.