Про електронні довірчі послуги. Закон від 05.10.2017 №2155-VIII

Верховна Рада України Закон від 05.10.2017 №2155-VIII
Остання редакція від 05.10.2017. Прийняття
Реквізити

Видавник: Верховна Рада України

Тип Закон

Дата 05.10.2017

Номер 2155-VIII

Статус Діє

Документ підготовлено в системі iplex
Стаття 20. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає:
створення умов для генерації пари ключів особисто підписувачем чи створювачем (уповноваженим представником створювача) електронної печатки за допомогою засобу кваліфікованого електронного підпису чи печатки;
формування кваліфікованих сертифікатів електронного підпису чи печатки, що відповідають вимогам цього Закону, та видачу їх користувачу електронної довірчої послуги;
скасування, блокування та поновлення кваліфікованих сертифікатів електронного підпису чи печатки у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованих сертифікатів електронного підпису чи печатки шляхом надання третім особам інформації про їхній статус та відповідність вимогам цього Закону;
надання доступу до сформованих кваліфікованих сертифікатів електронних підписів та печаток шляхом їх розміщення на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди підписувача чи створювача електронної печатки на публікацію кваліфікованого сертифіката електронного підпису чи печатки.
2. Формування та видача кваліфікованих сертифікатів електронного підпису чи печатки, що не відповідають вимогам цього Закону, заборонені.
3. Обов’язкові вимоги до кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Стаття 21. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту включає:
формування кваліфікованого сертифіката автентифікації веб-сайту, що відповідає вимогам цього Закону, та передачу його користувачу електронної довірчої послуги;
створення умов для генерації пари ключів особисто користувачем цієї електронної довірчої послуги за допомогою засобу кваліфікованого електронного підпису чи печатки;
скасування, блокування та поновлення кваліфікованого сертифіката автентифікації веб-сайту у випадках, передбачених цим Законом;
перевірку та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту шляхом надання третім особам інформації про його статус та відповідність вимогам цього Закону;
надання доступу до кваліфікованого сертифіката автентифікації веб-сайту шляхом розміщення його на офіційному веб-сайті кваліфікованого надавача електронних довірчих послуг, за умови згоди особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті автентифікації веб-сайту, на публікацію кваліфікованого сертифіката автентифікації веб-сайту.
2. Обов’язкові вимоги до кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Стаття 22. Ідентифікація особи під час формування та видачі кваліфікованого сертифіката відкритого ключа
1. Формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються.
2. Ідентифікація фізичної особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється за умови її особистої присутності за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи.
3. Допускається ідентифікація фізичної особи кваліфікованим надавачем електронних довірчих послуг за ідентифікаційними даними, що містяться у раніше сформованому ним кваліфікованому сертифікаті відкритого ключа, за умови чинності цього сертифіката.
4. Ідентифікація іноземців здійснюється відповідно до законодавства.
5. Під час перевірки цивільної правоздатності та дієздатності юридичної особи кваліфікований надавач електронних довірчих послуг зобов’язаний ознайомитися з інформацією про юридичну особу, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також пересвідчитися, що обсяг її цивільної правоздатності та дієздатності є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа.
6. Кваліфікований надавач електронних довірчих послуг під час формування та видачі кваліфікованого сертифіката відкритого ключа здійснює ідентифікацію особи уповноваженого представника юридичної особи відповідно до вимог цього Закону, а також перевіряє обсяг його повноважень за документом або за даними з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, що визначають повноваження представника.
Якщо від імені юридичної особи діє колегіальний орган, кваліфікованому надавачу електронних довірчих послуг подається документ, у якому визначено повноваження відповідного органу та розподіл обов’язків між його членами.
Стаття 23. Кваліфіковані сертифікати відкритих ключів
1. Під час надання кваліфікованих електронних довірчих послуг використовуються кваліфіковані сертифікати електронного підпису, кваліфіковані сертифікати електронної печатки та кваліфіковані сертифікати автентифікації веб-сайту.
2. Кваліфіковані сертифікати відкритих ключів обов’язково повинні містити:
1) позначку, що сертифікат відкритого ключа виданий як кваліфікований сертифікат відкритого ключа;
2) позначку, що сертифікат відкритого ключа виданий в Україні;
3) ідентифікаційні дані, які однозначно визначають кваліфікованого надавача електронних довірчих послуг, засвідчувальний центр або центральний засвідчувальний орган, які видали кваліфікований сертифікат відкритого ключа (далі - суб’єкти, які видали сертифікат), у тому числі обов’язково:
для юридичної особи: найменування та код згідно з Єдиним державним реєстром підприємств та організацій України, за якими здійснено її державну реєстрацію;
для фізичної особи - підприємця: прізвище, ім’я, по батькові (за наявності) та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний орган доходів і зборів та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта), за якими здійснено її державну реєстрацію;
4) ідентифікаційні дані, які однозначно визначають користувача електронних довірчих послуг, у тому числі обов’язково:
прізвище, ім’я, по батькові (за наявності) підписувача та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний орган доходів і зборів та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта) або;
найменування або прізвище, ім’я, по батькові (за наявності) створювача електронної печатки та код згідно з Єдиним державним реєстром підприємств та організацій України, за якими здійснено його державну реєстрацію, або унікальний номер запису в Єдиному державному демографічному реєстрі, або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний орган доходів і зборів та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта);
5) місцезнаходження юридичної особи, якій видано кваліфікований сертифікат відкритого ключа;
6) значення відкритого ключа, який відповідає особистому ключу;
7) відомості про початок та закінчення строку дії кваліфікованого сертифіката відкритого ключа;
8) серійний номер кваліфікованого сертифіката відкритого ключа, унікальний для суб’єкта, який видав сертифікат;
9) кваліфікований електронний підпис або кваліфіковану електронну печатку, створені суб’єктом, який видав сертифікат;
10) відомості щодо розміщення у вільному доступі кваліфікованих сертифікатів відкритих ключів суб’єкта, який видав сертифікат;
11) відомості щодо розміщення інформації, необхідної для отримання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованих сертифікатів відкритих ключів;
12) відомості про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки);
13) відомості про обмеження використання кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки);
14) ім’я (імена) домену, що належить фізичній або юридичній особі, якій видано сертифікат відкритого ключа (для кваліфікованого сертифіката автентифікації веб-сайту).
3. Кваліфіковані сертифікати відкритих ключів можуть містити інші ідентифікаційні дані фізичних або юридичних осіб, необов’язкові додаткові спеціальні атрибути, визначені у стандартах для кваліфікованих сертифікатів відкритих ключів. Ці атрибути не повинні впливати на інтероперабельність і визнання кваліфікованих електронних підписів.
4. Обов’язкові вимоги до кваліфікованих сертифікатів відкритих ключів, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
5. Правочин, вчинений в електронній формі, може бути визнаний судом недійсним у разі, коли під час його вчинення використовувався кваліфікований електронний підпис чи печатка, кваліфікований сертифікат якого/якої не містить відомостей, передбачених частиною другою цієї статті, або містить недостовірні відомості.
Стаття 24. Чинність кваліфікованих сертифікатів відкритих ключів
1. Кваліфікований сертифікат відкритого ключа вважається чинним у разі, якщо на момент перевірки чинності:
строк дії, зазначений у кваліфікованому сертифікаті відкритого ключа, не закінчився;
суб’єктом, який видав сертифікат, статус кваліфікованого сертифіката відкритого ключа не змінено на скасований або блокований з підстав, визначених цим Законом;
за попередніми двома ознаками був чинним кваліфікований сертифікат відкритого ключа суб’єкта, який видав сертифікат.
2. Суб’єкти, які видають сертифікати відкритих ключів, не повинні видавати кваліфіковані сертифікати відкритих ключів із строком дії, що перевищує строк дії їх власних кваліфікованих сертифікатів відкритих ключів.
3. Інформація про статус кваліфікованих сертифікатів відкритих ключів надається суб’єктами, що видали сертифікати, засобами їх інформаційно-телекомунікаційної системи цілодобово.
4. Доступ до кваліфікованих сертифікатів відкритих ключів надається суб’єктами, що видали сертифікати, з урахуванням вимог законодавства у сфері захисту персональних даних.
Стаття 25. Скасування, блокування та поновлення кваліфікованих сертифікатів відкритих ключів
1. Кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин скасовується суб’єктом, який видав сертифікат, у разі:
1) подання користувачем електронних довірчих послуг заяви про скасування виданого йому кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи-користувача;
2) надходження до суб’єкта, який видав сертифікат, документа, що підтверджує:
смерть фізичної особи - підписувача;
припинення діяльності створювача електронної печатки;
зміни ідентифікаційних даних користувача електронних довірчих послуг;
факт державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення діяльності в установленому законодавством порядку юридичної особи;
надання користувачем електронних довірчих послуг недостовірних ідентифікаційних даних під час формування його кваліфікованого сертифіката відкритого ключа;
факт компрометації особистого ключа користувача електронних довірчих послуг, виявлений самостійно користувачем або контролюючим органом під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;
набрання законної сили рішенням суду про скасування кваліфікованого сертифіката відкритого ключа, оголошення підписувача померлим, визнання безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання користувача електронних довірчих послуг банкрутом.
2. Самопідписаний сертифікат електронної печатки центрального засвідчувального органу не пізніше ніж протягом 24 годин скасовується центральним засвідчувальним органом у разі:
підтвердження факту компрометації особистого ключа центрального засвідчувального органу, виявленого ним самостійно або контролюючим органом під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;
набрання законної сили рішенням суду про скасування самопідписаного сертифіката електронної печатки центрального засвідчувального органу.
3. У разі подання повідомлення про прийняття кваліфікованим надавачем електронних довірчих послуг рішення про припинення діяльності з надання кваліфікованих електронних довірчих послуг центральний засвідчувальний орган або засвідчувальний центр на основі відповідного рішення скасовує кваліфікований сертифікат відкритого ключа, виданий цьому надавачу відповідно до вимог цього Закону.
4. Кваліфікований сертифікат відкритого ключа вважається скасованим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на скасований.
5. Скасований кваліфікований сертифікат відкритого ключа поновленню не підлягає.
6. Кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин блокується суб’єктом, який видав сертифікат, у разі:
подання користувачем електронних довірчих послуг заяви про блокування виданого йому кваліфікованого сертифіката відкритого ключа в будь-який спосіб, що забезпечує підтвердження особи-користувача;
повідомлення користувачем електронних довірчих послуг або контролюючим органом про підозру в компрометації особистого ключа користувача електронних довірчих послуг;
набрання законної сили рішенням суду про блокування кваліфікованого сертифіката відкритого ключа;
порушення користувачем електронних довірчих послуг істотних умов договору про надання кваліфікованих електронних довірчих послуг.
7. Кваліфікований сертифікат відкритого ключа, виданий центральним засвідчувальним органом, також блокується у разі прийняття рішення контролюючим органом про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг за результатами здійснення державного нагляду (контролю) відповідно до вимог цього Закону.
8. Кваліфікований сертифікат відкритого ключа вважається заблокованим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на заблокований.
9. Кваліфікований сертифікат відкритого ключа, статус якого змінено на заблокований, у період блокування не використовується.
10. Заблокований кваліфікований сертифікат відкритого ключа не пізніше ніж протягом двох годин поновлюється суб’єктом, який видав сертифікат, у разі:
подання користувачем електронних довірчих послуг заяви про поновлення його заблокованого кваліфікованого сертифіката відкритого ключа (якщо блокування здійснено на підставі заяви про блокування кваліфікованого сертифіката відкритого ключа);
повідомлення про встановлення недостовірності інформації щодо факту компрометації особистого ключа користувачем електронних довірчих послуг або контролюючим органом, який раніше повідомив про цю підозру;
надходження до суб’єкта, який видав сертифікат, повідомлення про прийняття рішення суду про поновлення кваліфікованого сертифіката відкритого ключа, що набрало законної сили.
11. Заблокований кваліфікований сертифікат відкритого ключа, виданий центральним засвідчувальним органом, також поновлюється відповідно до вимог цього Закону в разі:
відновлення статусу кваліфікованого надавача електронних довірчих послуг;
набрання законної сили рішенням суду на користь надавача електронних довірчих послуг.
12. Кваліфікований сертифікат відкритого ключа, який був заблокований, відновлює свою чинність з моменту його поновлення.
13. Кваліфікований сертифікат відкритого ключа вважається поновленим з моменту зміни суб’єктом, який видав сертифікат, статусу кваліфікованого сертифіката відкритого ключа на поновлений.
14. Суб’єкт, який видав кваліфікований сертифікат відкритого ключа, повинен забезпечити доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа.
Стаття 26. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу
1. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає:
формування кваліфікованої електронної позначки часу;
передачу кваліфікованої електронної позначки часу користувачеві електронної довірчої послуги.
Кваліфікована електронна позначка часу має презумпцію точності дати та часу, на які вона вказує, та цілісності електронних даних, з якими ці дата та час пов’язані.
2. Кваліфікована електронна позначка часу повинна забезпечувати:
зв’язок дати і часу з електронними даними в такий спосіб, що цілком виключає можливість непомітної зміни електронних даних;
точність часу в програмно-технічному комплексі кваліфікованого надавача електронних довірчих послуг, що синхронізується із Всесвітнім координованим часом (UTC) з точністю до секунди.
3. До кваліфікованої електронної позначки часу додається створений для неї удосконалений електронний підпис чи удосконалена електронна печатка.
4. Використання кваліфікованої електронної позначки часу для постійного зберігання електронних даних є обов’язковим.
5. Обов’язкові вимоги до процедур надання кваліфікованої електронної довірчої послуги надання кваліфікованої електронної позначки часу, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Стаття 27. Кваліфікована електронна довірча послуга реєстрованої електронної доставки
1. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна відповідати таким вимогам:
надаватися одним чи кількома кваліфікованими надавачами електронних довірчих послуг;
повинна забезпечуватись електронна ідентифікація відправника;
перед доставкою електронних даних повинна забезпечуватися електронна ідентифікація отримувача;
до електронних даних, що відправляються, додається створений для них удосконалений електронний підпис чи удосконалена електронна печатка кваліфікованого надавача електронних довірчих послуг;
відправник і отримувач електронних даних повинні бути повідомлені про будь-яку зміну електронних даних, необхідну для відправки або отримання цих даних;
дата і час відправки, отримання та будь-яка зміна електронних даних повинні фіксуватися з використанням кваліфікованої електронної позначки часу;
у разі відправки електронних даних між двома або більше кваліфікованими надавачами електронних довірчих послуг наведені вище вимоги повинні застосовуватися до всіх кваліфікованих надавачів електронних довірчих послуг.
2. Обов’язкові вимоги до кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
3. Електронні дані, які відправлені та отримані з використанням кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, не можуть бути позбавлені юридичної сили і можливості розглядатися як доказ у судових справах виключно на тій підставі, що вони мають електронну форму, якщо такі дані відповідають вимогам до кваліфікованої електронної довірчої послуги реєстрованої електронної доставки.
4. Електронні дані, які відправлені та отримані з використанням кваліфікованої електронної довірчої послуги реєстрованої електронної доставки, мають презумпцію цілісності електронних даних, їх гарантованої передачі ідентифікованим відправником та гарантованого отримання ідентифікованим отримувачем, а також точності дати і часу відправки та отримання електронних даних, які вказуються під час надання цієї послуги.
Стаття 28. Кваліфікована електронна довірча послуга зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами
1. Кваліфікована електронна довірча послуга зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних з цими послугами, забезпечує зберігання раніше створених кваліфікованих електронних підписів чи печаток та сформованих сертифікатів, пов’язаних з цими послугами, протягом строку, визначеного законодавством у сфері архівної справи для зберігання паперових документів.
2. Обов’язкові вимоги до кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, а також порядок перевірки їх дотримання встановлюються Кабінетом Міністрів України.
Стаття 29. Особливості надання кваліфікованих електронних довірчих послуг центральним засвідчувальним органом
1. Центральний засвідчувальний орган надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачам електронних довірчих послуг з використанням самопідписаного сертифіката відкритого ключа центрального засвідчувального органу.
Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки надається центральним засвідчувальним органом на підставі заяви про надання такої послуги та укладеного договору про надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, форми яких встановлюються головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг.
2. Договір про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки повинен містити умови щодо:
порядку надання послуг, що відповідає вимогам цього Закону та нормативно-правових актів, прийнятих на його виконання, та регламенту роботи центрального засвідчувального органу;
строку його дії;
підстав для внесення змін або розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.
Підставами для розірвання договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки є:
виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку;
недотримання його істотних умов.
Центральний засвідчувальний орган надає кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки безоплатно для органів державної влади, місцевого самоврядування, інших юридичних осіб публічного права.
Центральний засвідчувальний орган під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки має право припиняти надання електронних довірчих послуг кваліфікованим надавачам електронних довірчих послуг у разі порушення ними законодавства у сфері електронних довірчих послуг та умов договору про надання електронних довірчих послуг.
3. Центральний засвідчувальний орган під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки здійснює ідентифікацію юридичних та фізичних осіб та перевіряє їхню цивільну правоздатність і дієздатність на підставі наданих документів. Ідентифікаційні дані з наданих документів вносяться центральним засвідчувальним органом у кваліфікований сертифікат відкритого ключа фізичної чи юридичної особи.
4. Центральний засвідчувальний орган під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки зобов’язаний виконувати вимоги, які встановлено для кваліфікованих надавачів електронних довірчих послуг.
5. Програмно-технічний комплекс центрального засвідчувального органу, що використовується ним для надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, повинен відповідати вимогам, встановленим для програмно-технічного комплексу кваліфікованих надавачів електронних довірчих послуг.
6. Організаційно-методологічні, технічні та технологічні умови діяльності центрального засвідчувального органу під час надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, порядок взаємодії надавачів електронних довірчих послуг з центральним засвідчувальним органом у процесі надання ним кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки встановлюються регламентом роботи центрального засвідчувального органу.
Регламент роботи центрального засвідчувального органу затверджується та погоджується відповідно до вимог законодавства.
Стаття 30. Набуття статусу кваліфікованого надавача електронних довірчих послуг
1. Статусу кваліфікованого надавача електронних довірчих послуг юридичні особи, фізичні особи - підприємці набувають з дня внесення відомостей про них до Довірчого списку на підставі рішення центрального засвідчувального органу або засвідчувального центру (у разі надання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів).
2. Юридичні особи, фізичні особи - підприємці для внесення відомостей про них до Довірчого списку подають до центрального засвідчувального органу або засвідчувального центру:
1) заяву про внесення до Довірчого списку;
2) документ, що дає змогу однозначно ідентифікувати фізичну особу - підприємця або представника юридичної особи;
3) засвідчену в установленому законодавством порядку копію атестата відповідності комплексної системи захисту інформації вимогам нормативних документів у сфері захисту інформації із засвідченою в установленому законодавством порядку копією позитивного експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації або засвідчену в установленому законодавством порядку копію документа про відповідність, складеного за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг;
4) засвідчені в установленому законодавством порядку копії документів, які підтверджують право власності або право користування нежилими приміщеннями, які використовуватимуться для розміщення всіх складових програмно-технічного комплексу, що забезпечуватимуть надання кваліфікованих електронних довірчих послуг;
5) персональний та посадовий склад працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг;
6) засвідчені в установленому законодавством порядку копії документів, які підтверджують освітньо-кваліфікаційний рівень та трирічний стаж роботи за фахом найманих працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг;
7) засвідчені в установленому законодавством порядку копії документів, які підтверджують право власності або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуватимуться для надання кваліфікованих електронних довірчих послуг;
8) засвідчену в установленому законодавством порядку копію договору страхування цивільно-правової відповідальності або засвідчені в установленому законодавством порядку копії документів, що підтверджують внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) для забезпечення відшкодування збитків, які можуть бути заподіяні кваліфікованим надавачем електронних довірчих послуг користувачам електронних довірчих послуг унаслідок неналежного виконання своїх обов’язків;
9) засвідчену в установленому законодавством порядку копію регламенту роботи кваліфікованого надавача електронних довірчих послуг, погодженого з контролюючим органом (або засвідчувальним центром - для надавачів електронних довірчих послуг, що вносяться до Довірчого списку за поданням засвідчувального центру), що відповідає вимогам до регламенту кваліфікованого надавача електронних довірчих послуг;
10) копії документів, передбачених пунктами 1-9 цієї частини, в електронній формі.
У разі надання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів відомості до Довірчого списку вносяться за поданням засвідчувального центру.
3. У разі якщо юридична особа, фізична особа - підприємець має намір надавати кваліфіковані електронні довірчі послуги через відокремлені пункти реєстрації, разом із документами, передбаченими частиною другою цієї статті, до центрального засвідчувального органу або засвідчувального центру подаються відомості про відокремлені пункти реєстрації та їхніх працівників, обов’язки яких будуть безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг.
4. Центральний засвідчувальний орган або засвідчувальний центр за результатами розгляду поданих документів протягом 15 робочих днів з дня реєстрації заяви про внесення до Довірчого списку приймає рішення про внесення кваліфікованого надавача електронних довірчих послуг або надсилає вмотивовану відмову у внесенні відомостей до Довірчого списку.
5. Кваліфікований надавач електронних довірчих послуг на підставі прийнятого центральним засвідчувальним органом або засвідчувальним центром рішення про внесення відомостей про нього до Довірчого списку засвідчує свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі відповідно до вимог регламенту роботи центрального засвідчувального органу або засвідчувального центру.
6. Центральний засвідчувальний орган або засвідчувальний центр приймає рішення про відмову у внесенні відомостей до Довірчого списку в разі:
подання не в повному обсязі документів, передбачених частиною другою цієї статті;
виявлення в заяві про внесення до Довірчого списку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
7. Зміна відомостей про кваліфікованого надавача електронних довірчих послуг, що містяться в Довірчому списку, є підставою для внесення змін до Довірчого списку.
Кваліфікований надавач електронних довірчих послуг у разі виникнення підстав для внесення змін до Довірчого списку зобов’язаний протягом п’яти робочих днів з дня настання таких підстав подати до органу, який приймав рішення про внесення відомостей про нього до Довірчого списку, заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.
Центральний засвідчувальний орган протягом п’яти календарних днів з дня реєстрації заяви про внесення змін до Довірчого списку зобов’язаний внести відповідні зміни до Довірчого списку або надати вмотивовану відмову у внесенні до Довірчого списку.
Центральний засвідчувальний орган або засвідчувальний центр надає вмотивовану відмову у внесенні змін до Довірчого списку в разі:
неподання документів, що є підставою для внесення відповідних змін до Довірчого списку;
виявлення в заяві про внесення змін до Довірчого списку та документах, що додаються до неї, недостовірної інформації, пошкоджень, які не дають змоги однозначно тлумачити зміст, виправлень або дописок.
8. Засвідчувальний центр протягом трьох робочих днів з дня прийняття рішення про внесення відомостей про кваліфікованого надавача електронних довірчих послуг до Довірчого списку або отримання від такого надавача заяви про внесення змін до Довірчого списку повідомляє центральний засвідчувальний орган, який протягом двох робочих днів з дня реєстрації повідомлення засвідчувального центру вносить відповідні зміни до Довірчого списку.
9. Центральний засвідчувальний орган приймає рішення про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку в разі отримання:
заяви кваліфікованого надавача електронних довірчих послуг про виключення відомостей про нього з Довірчого списку;
подання засвідчувального центру про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку;
подання контролюючого органу про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку за результатами перевірки дотримання вимог законодавства у сфері електронних довірчих послуг;
інформації про припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення діяльності в установленому законодавством порядку юридичної особи);
інформації про смерть кваліфікованого надавача електронних довірчих послуг (фізичної особи - підприємця);
інформації про набрання законної сили рішенням суду про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку, оголошення кваліфікованого надавача електронних довірчих послуг померлим, визнання його безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання кваліфікованого надавача електронних довірчих послуг банкрутом.
Стаття 31. Припинення діяльності з надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг
1. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг у разі:
прийняття центральним засвідчувальним органом рішення про виключення його з Довірчого списку;
прийняття ним рішення про припинення надання кваліфікованих електронних довірчих послуг, що зазначені у Довірчому списку;
припинення діяльності кваліфікованого надавача електронних довірчих послуг (державної реєстрації припинення підприємницької діяльності фізичної особи - підприємця чи припинення діяльності в установленому законодавством порядку юридичної особи);
набрання законної сили рішенням суду про виключення його з Довірчого списку, оголошення його померлим, визнання безвісно відсутнім, недієздатним, обмеження його цивільної дієздатності, визнання його банкрутом.
2. Про прийняття рішення про припинення надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний повідомити користувачам електронних довірчих послуг, центральному засвідчувальному органу або засвідчувальному центру та контролюючому органу не пізніше ніж через п’ять робочих днів з дня прийняття такого рішення.
3. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний оприлюднити інформацію про рішення відповідно центрального засвідчувального органу або засвідчувального центру щодо припинення кваліфікованим надавачем електронних довірчих послуг надання кваліфікованих електронних довірчих послуг чи виключення кваліфікованого надавача електронних довірчих послуг центральним засвідчувальним органом з Довірчого списку не пізніше ніж протягом наступного робочого дня після прийняття такого рішення шляхом:
розміщення інформації про це рішення на своєму офіційному веб-сайті;
надіслання кваліфікованому надавачу електронних довірчих послуг повідомлення про це рішення із зазначенням підстав для скасування.
4. Центральний засвідчувальний орган та/або засвідчувальний центр зобов’язаний опублікувати на своєму офіційному веб-сайті повідомлення про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг не пізніше ніж протягом наступного робочого дня з дня одержання повідомлення про настання підстав, передбачених абзацами третім - п’ятим частини першої цієї статті.
Повідомлення центрального засвідчувального органу або засвідчувального центру про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг повинно містити дату опублікування.
5. Кваліфікований надавач електронних довірчих послуг припиняє свою діяльність з надання кваліфікованих електронних довірчих послуг через три місяці з дня опублікування відповідно центральним засвідчувальним органом або засвідчувальним центром на своєму офіційному веб-сайті повідомлення про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг.
6. З моменту опублікування відповідно центральним засвідчувальним органом або засвідчувальним центром на своєму офіційному веб-сайті повідомлення про припинення надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг та до дня припинення надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний надавати електронні довірчі послуги, крім формування нових кваліфікованих сертифікатів відкритих ключів.
7. Кваліфікований надавач електронних довірчих послуг зобов’язаний надіслати центральному засвідчувальному органу або засвідчувальному центру план припинення діяльності з надання кваліфікованих електронних довірчих послуг протягом 15 робочих днів з дня опублікування на офіційному веб-сайті центрального засвідчувального органу або засвідчувального центру повідомлення про припинення ним надання кваліфікованих електронних довірчих послуг.
План припинення діяльності з надання кваліфікованих електронних довірчих послуг розглядається та погоджується центральним засвідчувальним органом або засвідчувальним центром (у разі надання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів) протягом 15 робочих днів з дня його реєстрації.
У разі непогодження плану припинення діяльності з надання кваліфікованих електронних довірчих послуг центральним засвідчувальним органом або засвідчувальним центром кваліфікованому надавачу електронних довірчих послуг надається вмотивована відмова.
У разі відмови кваліфікований надавач електронних довірчих послуг повинен повторно надіслати доопрацьований план припинення діяльності з надання кваліфікованих електронних довірчих послуг протягом 15 робочих днів з дня отримання такої відмови від центрального засвідчувального органу або засвідчувального центру.
8. Кваліфікований надавач електронних довірчих послуг, що припиняє надання кваліфікованих електронних довірчих послуг, зобов’язаний забезпечити захист прав користувачів шляхом повернення коштів за послуги, що не можуть надаватися в подальшому, якщо вони були попередньо оплачені.
9. Усі кваліфіковані сертифікати відкритих ключів, що були сформовані кваліфікованим надавачем електронних довірчих послуг підписувачам чи створювачам електронної печатки, скасовуються відповідно до вимог цього Закону у день, визначений відповідно до частини п’ятої цієї статті як дата припинення надання кваліфікованих електронних довірчих послуг, чи у день набрання законної сили відповідним рішенням суду.
10. Центральний засвідчувальний орган у день, визначений відповідно до частини п’ятої цієї статті як дата припинення надання кваліфікованих електронних довірчих послуг, повинен внести відповідні зміни до Довірчого списку.
11. У разі припинення надання кваліфікованих електронних довірчих послуг кваліфікований надавач електронних довірчих послуг зобов’язаний передати центральному засвідчувальному органу або засвідчувальному центру документовану інформацію (документи, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, а також реєстри сформованих кваліфікованих сертифікатів відкритих ключів), що забезпечить довгострокове збереження юридичної сили кваліфікованих електронних підписів та печаток, створених для пов’язаних з ними електронних даних користувачів електронних довірчих послуг, шляхом забезпечення можливості їх перевірки.
12. Порядок зберігання документованої інформації та її передавання центральному засвідчувальному органу в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг встановлюється Кабінетом Міністрів України.
13. Порядок передавання документованої інформації до засвідчувального центру в разі припинення діяльності кваліфікованого надавача електронних довірчих послуг встановлюється Національним банком України.
Розділ V
НАГЛЯД (КОНТРОЛЬ) У СФЕРІ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ
Стаття 32. Оцінка відповідності у сфері електронних довірчих послуг
1. Для доведення відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, юридичні особи, фізичні особи - підприємці, які мають намір надавати електронні довірчі послуги, можуть за власний рахунок пройти процедуру оцінки відповідності у сфері електронних довірчих послуг.
2. Оцінка відповідності у сфері електронних довірчих послуг здійснюється органами з оцінки відповідності, акредитованими відповідно до законодавства у сфері акредитації.
3. Оцінка відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, здійснюється з урахуванням вимог законодавства щодо порядку надання і використання кваліфікованих електронних довірчих послуг, у тому числі у банківській системі України та при здійсненні переказу коштів, а також з урахуванням вимог законодавства у сфері захисту інформації.
4. Кваліфіковані надавачі електронних довірчих послуг, які пройшли процедуру оцінки відповідності у сфері електронних довірчих послуг та відомості про яких були внесені до Довірчого списку, повинні кожні 24 місяці за власний рахунок проходити процедуру оцінки відповідності для доведення того, що вони та електронні довірчі послуги, які ними надаються, відповідають вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються.
5. Про результати оцінки відповідності у сфері електронних довірчих послуг кваліфіковані надавачі електронних довірчих послуг повинні повідомити контролюючий орган шляхом надання копії документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, не пізніше трьох робочих днів з дня його отримання.
6. Проведення процедури оцінки відповідності у сфері електронних довірчих послуг здійснюється в порядку, затвердженому Кабінетом Міністрів України.
Стаття 33. Державний нагляд (контроль) за дотриманням вимог законодавства у сфері електронних довірчих послуг
1. Державний нагляд (контроль) за дотриманням вимог законодавства у сфері електронних довірчих послуг здійснює контролюючий орган.
2. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг здійснюються відповідно до Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" з урахуванням особливостей, передбачених цим Законом.
3. Контролюючий орган здійснює такі планові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг:
1) перевірку кваліфікованого надавача електронних довірчих послуг (його відокремлених пунктів реєстрації) або надання запиту до органу з оцінки відповідності щодо проведення процедури оцінки відповідності кваліфікованого надавача електронних довірчих послуг за його власний рахунок для підтвердження того, що він та електронні довірчі послуги, які ним надаються, відповідають вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються;
2) перевірку засвідчувального центру;
3) перевірку центрального засвідчувального органу.
4. Контролюючий орган здійснює такі позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг:
1) перевірку кваліфікованих надавачів електронних довірчих послуг за їхніми заявами;
2) перевірку кваліфікованих надавачів електронних довірчих послуг у разі виявлення та підтвердження недостовірності даних у поданих ними документах;
3) перевірку виконання кваліфікованими надавачами електронних довірчих послуг приписів щодо усунення порушень вимог законодавства, виданих за результатами проведення планових заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;
4) перевірку кваліфікованих надавачів електронних довірчих послуг після отримання інформації чи повідомлення про порушення вимог законодавства у сфері електронних довірчих послуг від засвідчувального центру, центрального засвідчувального органу, суду, користувачів електронних довірчих послуг або третіх осіб.
5. За результатами проведення перевірок кваліфікованих надавачів електронних довірчих послуг (їхніх відокремлених пунктів реєстрації), засвідчувального центру, центрального засвідчувального органу контролюючий орган вживає таких заходів реагування:
1) вимагає від кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу усунення порушень вимог законодавства у сфері електронних довірчих послуг в установлений приписом строк;
2) приймає рішення про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу в разі, якщо під час перевірки виявлено факти компрометації особистого ключа.
Рішення про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг, самопідписаного сертифіката електронної печатки центрального засвідчувального органу контролюючий орган надсилає центральному засвідчувальному органу в день його прийняття.
Рішення про блокування самопідписаного сертифіката електронної печатки засвідчувального центру контролюючий орган надсилає засвідчувальному центру та центральному засвідчувальному органу в день його прийняття;
3) надсилає центральному засвідчувальному органу подання про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку в разі:
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами проходження процедури оцінки відповідності у сфері електронних довірчих послуг;
непроходження додаткової державної експертизи комплексної системи захисту інформації або процедури оцінки відповідності інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг у разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг;
надання кваліфікованих електронних довірчих послуг за відсутності у кваліфікованого надавача електронних довірчих послуг поточного рахунка із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) з необхідним обсягом коштів або чинного договору страхування цивільно-правової відповідальності з необхідним розміром страхової суми, що встановлені частиною третьою статті 16 цього Закону, для забезпечення відшкодування збитків, які можуть бути завдані користувачам електронних довірчих послуг або третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань;
порушення вимог до умов експлуатації комплексної системи захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг;
неусунення виявлених під час перевірки порушень в установлений приписом строк;
надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг;
ЗАКОН УКРАЇНИ
Про електронні довірчі послуги
Цей Закон визначає правові та організаційні засади надання електронних довірчих послуг, у тому числі транскордонних, права та обов’язки суб’єктів правових відносин у сфері електронних довірчих послуг, порядок здійснення державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг, а також правові та організаційні засади здійснення електронної ідентифікації.
Метою цього Закону є врегулювання відносин у сферах надання електронних довірчих послуг та електронної ідентифікації.
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Визначення термінів
1. У цьому Законі терміни вживаються в такому значенні:
1) автентифікація - електронна процедура, яка дає змогу підтвердити електронну ідентифікацію фізичної, юридичної особи, інформаційної або інформаційно-телекомунікаційної системи та/або походження та цілісність електронних даних;
2) блокування сертифіката відкритого ключа - тимчасове зупинення чинності сертифіката відкритого ключа;
3) веб-сайт - сукупність програмних засобів, розміщених за унікальною адресою в обчислювальній мережі, у тому числі в мережі Інтернет, разом з інформаційними ресурсами, що перебувають у розпорядженні певних суб’єктів і забезпечують доступ юридичних та фізичних осіб до цих інформаційних ресурсів та інших інформаційних послуг через обчислювальну мережу;
4) відкритий ключ - параметр алгоритму асиметричного криптографічного перетворення, який використовується як електронні дані для перевірки електронного підпису чи печатки, а також у цілях, визначених стандартами для кваліфікованих сертифікатів відкритих ключів;
5) відокремлений пункт реєстрації - представництво (філія, підрозділ, територіальний орган) надавача електронних довірчих послуг або юридична чи фізична особа, яка на підставі наказу надавача електронних довірчих послуг (його керівника) або договору, укладеного з ним, здійснює реєстрацію підписувачів з дотриманням вимог цього Закону та законодавства у сфері захисту інформації;
6) Довірчий список - перелік кваліфікованих надавачів електронних довірчих послуг та інформації про послуги, що ними надаються;
7) електронна довірча послуга - послуга, яка надається для забезпечення електронної взаємодії двох або більше суб’єктів, які довіряють надавачу електронних довірчих послуг щодо надання такої послуги;