ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
19.09.2019 № 116
Про затвердження Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру
( Із змінами, внесеними згідно з Постановою Національного банку № 35 від 27.03.2023 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 9 Закону України "Про електронні довірчі послуги", з метою врегулювання діяльності кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру, Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру (далі - Положення), що додається.
2. Кваліфікованим надавачам електронних довірчих послуг, що є банками, до 07 листопада 2020 року здійснити заходи, передбачені Положенням, і подати до засвідчувального центру заяви про внесення відомостей про них до Довірчого списку та документи, визначені частиною другою статті 30 Закону України "Про електронні довірчі послуги".
3. Банки, що мають намір набути статусу кваліфікованих надавачів електронних довірчих послуг, зобов’язані здійснити заходи, передбачені Положенням, і подати до засвідчувального центру заяви про внесення відомостей про них до Довірчого списку та документи, визначені частиною другою статті 30 Закону України "Про електронні довірчі послуги".
4. Департаменту безпеки (Олександр Скомаровський) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
5. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Якова Смолія.
6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
Голова | Я. Смолій |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
19.09.2019 № 116
ПОЛОЖЕННЯ
про кваліфікованих надавачів електронних довірчих послуг, внесених до Довірчого списку за поданням засвідчувального центру
1. Це Положення розроблене відповідно до статті 7 Закону України "Про Національний банк України", статті 9 Закону України "Про електронні довірчі послуги" (далі - Закон).
2. Це Положення встановлює вимоги:
1) до надавачів електронних довірчих послуг для внесення відомостей про них до Довірчого списку за поданням засвідчувального центру;
2) до кваліфікованих надавачів електронних довірчих послуг, відомості про яких внесені до Довірчого списку за поданням засвідчувального центру (далі - кваліфіковані надавачі), та їх відокремлених пунктів реєстрації.
3. Це Положення розроблене з урахуванням національних стандартів України:
1) ДСТУ ETSI EN 319 401:2016 (ETSI EN 319 401:2016, IDT) "Електронні підписи й інфраструктури (ESI). Загальні вимоги політики для провайдерів довірчих послуг", прийнятого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 року № 183 (зі змінами);
2) ДСТУ ETSI EN 319 411-1:2016 (ETSI EN 319 411-1:2016, IDT) "Електронні підписи й інфраструктури (ESI). Вимоги політики та безпеки для провайдерів трастових послуг, які видають сертифікати. Частина 1. Загальні вимоги", прийнятого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 року № 183 (зі змінами);
3) ДСТУ ETSI EN 319 411-2:2016 (ETSI EN 319 411-2:2016, IDT) "Електронні підписи й інфраструктури (ESI). Вимоги політики та безпеки для провайдерів трастових послуг, які видають сертифікати. Частина 2. Вимоги до провайдерів трастових послуг, які видають кваліфіковані сертифікати ЄС", прийнятого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 року № 183 (зі змінами);
4) ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) "Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі", прийнятого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 року № 183 (зі змінами).
4. У цьому Положенні терміни вживаються в такому значенні:
1) довірча послуга - електронна довірча послуга або кваліфікована електронна довірча послуга;
2) інформаційно-телекомунікаційна система кваліфікованого надавача - сукупність інформаційних і телекомунікаційних систем кваліфікованого надавача та його відокремлених пунктів реєстрації, що об’єднує програмно-технічний комплекс, який використовується для надання довірчих послуг, фізичне середовище, інформацію, що обробляється в інформаційних і телекомунікаційних системах кваліфікованого надавача та його відокремлених пунктів реєстрації, а також працівників кваліфікованого надавача, обов’язки яких безпосередньо пов’язані з наданням довірчих послуг;
3) кваліфікована електронна довірча послуга - кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки або кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки, або кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації вебсайта, або кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу, або кваліфікована електронна довірча послуга реєстрованої електронної доставки, або кваліфікована електронна довірча послуга зберігання кваліфікованих електронних підписів, печаток та сертифікатів, пов’язаних із цими послугами;
4) клієнт - користувач електронних довірчих послуг, що звернувся до кваліфікованого надавача для укладення договору про отримання довірчих послуг або уклав із кваліфікованим надавачем договір про отримання довірчих послуг;
5) особисті ключі кваліфікованого надавача - особисті ключі, які кваліфікований надавач використовує для надання довірчих послуг;
6) реєстр кваліфікованого надавача - електронна база даних, яка ведеться кваліфікованим надавачем та містить відомості про клієнтів, а також дані, необхідні для надання довірчих послуг, перелік та вимоги до яких наведено в розділі IV Закону. До даних, які необхідні для надання довірчих послуг, можуть відноситися:
дані про засоби кваліфікованого електронного підпису чи печатки та/або засоби удосконаленого електронного підпису чи печатки, які кваліфікований надавач надає своїм клієнтам;
реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
всі сформовані кваліфікованим надавачем позначки часу;
дані, пов’язані з реєстрованою електронною доставкою;
створені електронні підписи, печатки та пов’язані з ними сертифікати відкритих ключів.
Інші терміни в цьому Положенні вживаються в значенні, наведеному в Законі, Законах України "Про електронні документи та електронний документообіг", "Про платіжні системи та переказ коштів в Україні", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення".
5. Кваліфіковані надавачі, внесені до Довірчого списку за поданням засвідчувального центру, мають право надавати кваліфіковані електронні довірчі послуги та електронні довірчі послуги. Кваліфіковані електронні довірчі послуги, що надаються кваліфікованими надавачами, внесеними до Довірчого списку за поданням засвідчувального центру, визнаються всіма користувачами електронних довірчих послуг.
6. Засвідчувальний центр приймає рішення про внесення відомостей про кваліфікованих надавачів до Довірчого списку та надає кваліфіковані електронні довірчі послуги кваліфікованим надавачам відповідно до вимог регламенту роботи засвідчувального центру.
Кваліфікований надавач на підставі прийнятого засвідчувальним центром рішення про внесення відомостей про кваліфікованого надавача до Довірчого списку засвідчує чинність одного або декількох своїх відкритих ключів (окремо для кожної кваліфікованої електронної довірчої послуги) у засвідчувальному центрі відповідно до вимог регламенту роботи засвідчувального центру.
7. Національний банк України (далі - Національний банк) перевіряє виконання вимог цього Положення кваліфікованим надавачем, відомості про якого внесені до Довірчого списку за поданням засвідчувального центру, а також перед прийняттям засвідчувальним центром рішення про внесення відомостей про кваліфікованого надавача до Довірчого списку.
8. Надавач електронних довірчих послуг перед поданням до засвідчувального центру заяви про внесення до Довірчого списку:
1) розробляє та погоджує регламент роботи кваліфікованого надавача із засвідчувальним центром. Надавач електронних довірчих послуг має право подавати на погодження проект регламенту роботи кваліфікованого надавача у формі паперового або електронного документа;
2) укладає з Національним банком договір про надання засвідчувальним центром послуг, визначених Публічною пропозицією Національного банку України на укладення Єдиного договору банківського обслуговування та надання інших послуг Національним банком України, розміщеною на сторінці офіційного Інтернет-представництва Національного банку;
3) вносить кошти на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або забезпечує страхування цивільно-правової відповідальності для забезпечення відшкодування шкоди, яка може бути заподіяна користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем своїх зобов’язань, у розмірі, визначеному частиною третьою статті 16 Закону.
9. Кваліфікований надавач зобов’язаний:
1) підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми відповідно до розміру, визначеного частиною третьою статті 16 Закону, з урахуванням розміру мінімальної заробітної плати, встановленого Законом України "Про Державний бюджет України" на відповідний рік;
2) вжити заходів для відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми протягом трьох місяців у разі зміни розміру мінімальної заробітної плати протягом року або в разі відшкодування збитків, завданих клієнтам, користувачам електронних довірчих послуг чи третім особам унаслідок неналежного виконання своїх зобов’язань.
10. Кваліфікований надавач зобов’язаний повідомити про факти порушень конфіденційності та/або цілісності, та/або доступності інформації, що впливають на надання довірчих послуг або стосуються захисту персональних даних користувачів електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень без зайвої затримки, але в будь-якому випадку не пізніше 24 годин із моменту, коли йому стало відомо про таке порушення:
1) контролюючий орган у сфері електронних довірчих послуг;
2) засвідчувальний центр;
3) Центр кіберзахисту Національного банку України (у разі виникнення кібератаки чи кіберінциденту).
11. Кваліфікований надавач надає послуги клієнтам на підставі укладеного між ними договору (далі - договір про надання довірчих послуг).
Кваліфікований надавач має право надавати довірчі послуги своїм працівникам для виконання ними своїх службових обов’язків на підставі розпорядчого акта та заяви про отримання довірчих послуг з дотриманням вимог щодо ідентифікації таких осіб.
12. Істотними умовами договору про надання довірчих послуг є:
1) перелік довірчих послуг;
2) права та обов’язки сторін;
3) умови використання клієнтами засобів кваліфікованого електронного підпису чи печатки та/або засобів удосконаленого електронного підпису чи печатки (коли довірча послуга передбачає використання таких засобів);
4) умови використання клієнтом особистих ключів (коли довірча послуга передбачає використання особистих ключів);
5) умови публікації сертифікатів відкритих ключів клієнта (коли довірча послуга передбачає формування сертифікатів відкритих ключів);
6) строк дії договору про надання довірчих послуг;
7) умови оплати;
8) порядок вирішення спорів;
9) відповідальність сторін;
10) порядок зміни та розірвання договору про надання довірчих послуг.
13. Підставами для розірвання договору про надання довірчих послуг є:
1) згода сторін;
2) рішення суду про розірвання договору про надання довірчих послуг;
3) оголошення клієнта померлим, визнання клієнта безвісно відсутнім, недієздатним, обмеження цивільної дієздатності клієнта;
4) виключення кваліфікованого надавача з Довірчого списку, якщо договором про надання довірчих послуг передбачено надання тільки кваліфікованих електронних довірчих послуг;
5) припинення діяльності кваліфікованого надавача.
14. Розірвання договору про надання довірчих послуг є підставою для скасування кваліфікованим надавачем усіх сертифікатів відкритих ключів, сформованих для клієнта, якщо таким договором передбачено формування сертифікатів відкритих ключів.
15. Кваліфікований надавач для надання довірчих послуг призначає розпорядчим актом працівників, які виконують функції керівника кваліфікованого надавача, заступника керівника кваліфікованого надавача, адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки.
Кваліфікований надавач призначає адміністратора реєстрації, якщо кваліфікований надавач надає довірчі послуги, що передбачають ідентифікацію, автентифікацію, верифікацію клієнтів.
Кваліфікований надавач призначає адміністратора сертифікації, якщо кваліфікований надавач надає довірчі послуги, що передбачають формування та видачу сертифікатів відкритих ключів.
16. Керівник кваліфікованого надавача та заступник керівника кваліфікованого надавача здійснюють загальне керівництво діяльністю кваліфікованого надавача і контроль за його діяльністю.
Керівник кваліфікованого надавача:
1) дає доручення, обов’язкові для працівників кваліфікованого надавача, які виконують функції адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки;
2) затверджує розпорядчі акти, інструкції, проектну й експлуатаційну документації, документи, що визначають організаційні, технічні та технологічні умови діяльності кваліфікованого надавача;
3) підписує документи, які кваліфікований надавач подає до засвідчувального центру.
17. Керівник кваліфікованого надавача зобов’язаний забезпечити створення умов для безперервної особистої освіти та постійне підвищення кваліфікації працівників кваліфікованого надавача у сферах захисту персональних даних, інформаційних технологій, захисту інформації або кібербезпеки.
Заступник керівника кваліфікованого надавача виконує функції керівника кваліфікованого надавача в разі його відсутності або за його письмовим дорученням.
18. Адміністратор реєстрації та працівник відокремленого пункту реєстрації, на якого покладено обов’язок з реєстрації клієнтів, відповідає за:
1) ідентифікацію, автентифікацію, верифікацію клієнтів;
2) надання допомоги підписувачам під час генерації пар ключів (у разі необхідності);
3) опрацювання документів і запитів, наданих клієнтами.
19. Адміністратор сертифікації відповідає за:
1) формування сертифікатів відкритих ключів;
2) ведення реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів;
3) генерацію, створення резервних копій, використання особистих ключів кваліфікованого надавача;
4) зберігання особистих ключів і резервних копій особистих ключів кваліфікованого надавача.
20. Системний адміністратор відповідає за належне функціонування програмно-технічного комплексу кваліфікованого надавача.
21. Адміністратор безпеки відповідає за:
1) належне функціонування комплексної системи захисту інформації та/або системи управління інформаційною безпекою;
2) проведення перевірок дотримання адміністраторами реєстрації, адміністраторами сертифікації, системними адміністраторами, працівниками відокремлених пунктів реєстрації, на яких покладено обов’язки з реєстрації клієнтів, вимог документації щодо комплексної системи захисту інформації та/або системи управління інформаційною безпекою.
Кваліфікований надавач встановлює періодичність (у днях, тижнях або місяцях) проведення таких перевірок, але не рідше ніж один раз на рік.
Забороняється суміщення обов’язків адміністратора безпеки з обов’язками адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, працівників відокремлених пунктів реєстрації, на яких покладено обов’язки з реєстрації клієнтів.
22. Адміністратором безпеки може бути особа, яка має стаж роботи у сфері захисту інформації або кібербезпеки не менше трьох років та відповідає хоча б одній з умов:
1) має вищу освіту за спеціальністю у сферах захисту інформації або кібербезпеки;
2) має вищу освіту за спеціальністю у сфері інформаційних технологій та пройшла курси підвищення кваліфікації у сфері захисту інформації або кібербезпеки.
23. Кваліфікований надавач та його відокремлені пункти реєстрації зобов’язані дотримуватись у своїй діяльності вимог Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого постановою Правління Національного банку України від 28 вересня 2017 року № 95.
24. Кваліфікований надавач зобов’язаний:
1) розробити план забезпечення безперервної роботи кваліфікованого надавача (далі - План);
2) забезпечити наявність необхідних ресурсів для виконання Плану: інформації, програмного забезпечення, програмно-технічних засобів, засобів безперебійного та резервного електроживлення;
3) забезпечити наявність необхідної для виконання Плану організаційної інфраструктури;
4) не рідше ніж один раз на рік проводити тестування всіх складових Плану.
25. План затверджується керівником кваліфікованого надавача та визначає порядок дій кваліфікованого надавача в разі виникнення критичних ситуацій (збої, аварії, стихійні лиха, компрометацію особистих ключів кваліфікованого надавача), а також порядок дій для відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача за місцем свого штатного функціонування та у віддаленому пункті резервування і відновлення діяльності кваліфікованого надавача (далі - віддалений резервний пункт).
Вимоги до віддаленого резервного пункту визначені в нормативно-правовому акті Національного банку про забезпечення безперервного функціонування інформаційних систем Національного банку та банків України.
26. План має містити:
1) строки відновлення надання довірчих послуг у разі виникнення критичних ситуацій;
2) перелік дій, необхідних для забезпечення безперервної роботи кваліфікованого надавача;
3) перелік основних та резервних виконавців, відповідальних за виконання кожної дії, що виконується для забезпечення безперервної роботи кваліфікованого надавача. З усіма виконавцями повинен бути забезпечений цілодобовий оперативний зв’язок.
Кожен включений до Плану виконавець повинен бути ознайомлений з його функціональними обов’язками.
Кваліфікований надавач зобов’язаний забезпечити внесення змін до Плану в разі зміни законодавства, що регулює порядок надання довірчих послуг, та якщо зміни вносилися до інформаційно-телекомунікаційної системи кваліфікованого надавача, до переліку виконавців, зазначених у підпункті 3 пункту 26 цього Положення.
27. Кваліфікований надавач зобов’язаний створити систему резервування та відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача з урахуванням того, що вона може бути пошкодженою з неможливістю її подальшого функціонування за місцем свого штатного функціонування.
Система резервування та відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача обов’язково має передбачати збереження необхідної інформації у віддаленому резервному пункті.
28. Кваліфікований надавач для відновлення функціонування інформаційно-телекомунікаційної системи зобов’язаний забезпечити наявність в актуальному стані як мінімум таких даних:
1) інструкцій щодо відновлення роботи інформаційно-телекомунікаційної системи кваліфікованого надавача;
2) програмного забезпечення інформаційно-телекомунікаційної системи кваліфікованого надавача;
3) резервної копії реєстру кваліфікованого надавача;
4) резервних копій особистих ключів кваліфікованого надавача.
Кваліфікований надавач має право додатково до даних, наведених у підпунктах 1-4 пункту 28 цього Положення, здійснювати резервування іншої інформації, необхідної для повноцінного відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача.
Кваліфікований надавач зобов’язаний забезпечити періодичне формування резервних копій всіх необхідних для відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача даних та передавання їх до віддаленого резервного пункту. Періодичність формування резервних копій даних визначається технологією відновлення функціонування інформаційно-телекомунікаційної системи кваліфікованого надавача.
29. Кваліфікований надавач у разі неможливості відновлення роботи інформаційної системи кваліфікованого надавача за місцем свого штатного функціонування відновлює роботу інформаційно-телекомунікаційної системи кваліфікованого надавача у віддаленому резервному пункті.
30. Кваліфікований надавач зобов’язаний передбачити засоби інформування клієнтів про:
1) призупинення обслуговування клієнтів;
2) зміну схеми обслуговування клієнтів у разі перенесення роботи кваліфікованого надавача до віддаленого резервного пункту та/або виникнення критичних ситуацій.
31. Кваліфікований надавач зобов’язаний забезпечити захист інформації, що обробляється в інформаційно-телекомунікаційній системі кваліфікованого надавача, шляхом упровадження системи управління інформаційної безпеки та/або комплексної системи захисту інформації з підтвердженою відповідністю.
32. Кваліфікований надавач зобов’язаний забезпечити можливість ознайомлення користувачів електронних довірчих послуг з інформацією про умови отримання кваліфікованих електронних довірчих послуг шляхом розміщення відповідної інформації на вебсайті кваліфікованого надавача. Кваліфікований надавач має право додатково ознайомлювати користувачів електронних довірчих послуг з інформацією про умови отримання кваліфікованих електронних довірчих послуг іншим способом.
Кваліфікований надавач має право ознайомлювати користувачів електронних довірчих послуг з інформацією про умови отримання електронних довірчих послуг шляхом розміщення відповідної інформації на вебсайті кваліфікованого надавача або іншим способом.
33. Кваліфікований надавач зобов’язаний розмістити на своєму вебсайті таку інформацію:
1) відомості про кваліфікованого надавача;
2) сертифікати відкритих ключів кваліфікованого надавача;
3) перелік кваліфікованих електронних довірчих послуг, які надає кваліфікований надавач;
4) дані про засоби кваліфікованого електронного підпису чи печатки, які кваліфікований надавач надає своїм клієнтам (коли кваліфікована електронна довірча послуга передбачає використання таких засобів);
5) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;
6) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
7) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів, сформованих кваліфікованим надавачем;
8) інформацію про порядок перевірки чинності сертифіката відкритого ключа;
9) регламент роботи кваліфікованого надавача або частину регламенту роботи кваліфікованого надавача, що стосується взаємодії кваліфікованого надавача з клієнтами.
34. Кваліфікований надавач зобов'язаний здійснювати ідентифікацію та автентифікацію клієнта відповідно до вимог статті 22 Закону.
( Пункт 34 в редакції Постанови Національного банку № 35 від 27.03.2023 )
34-1. Кваліфікований надавач, що є банком, на період воєнного стану на території України та протягом шести місяців з дня його припинення чи скасування має право для надання послуги формування кваліфікованого сертифіката відкритого ключа здійснювати ідентифікацію та автентифікацію клієнта, що є фізичною особою чи фізичною особою-підприємцем, відповідно до вимог статті 22 Закону, а також одним із таких способів:
1) шляхом здійснення відеоверифікації з дотриманням вимог пунктів 2-10, 13, 14, 16, 17, 20 додатка 3 до Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 19 травня 2020 року № 65 (зі змінами);
2) із використанням е-паспорта/е-паспорта для виїзду за кордон, кваліфікованого або удосконаленого електронного підпису клієнта, фотофіксації клієнта в такому порядку:
клієнт подає кваліфікованому надавачу з дотриманням вимог Порядку формування та перевірки е-паспорта і е-паспорта для виїзду за кордон, їх електронних копій, затвердженого постановою Кабінету Міністрів України від 18 серпня 2021 року № 911 (зі змінами) (далі - Порядок № 911), електронну копію свого е-паспорта/е-паспорта для виїзду за кордон;
клієнт подає кваліфікованому надавачу копію свого ідентифікаційного документа (копії сторінок ідентифікаційного документа, що містять ідентифікаційні дані), засвідчену кваліфікованим електронним підписом клієнта з кваліфікованою електронною позначкою часу або удосконаленим електронним підписом клієнта, що базується на кваліфікованому сертифікаті відкритого ключа, виданому кваліфікованим надавачем електронних довірчих послуг без відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (далі - удосконалений електронний підпис, що базується на кваліфікованому сертифікаті клієнта), з кваліфікованою електронною позначкою часу;
кваліфікований надавач здійснює фотофіксацію клієнта та порівнює фотографію клієнта, що міститься в електронній копії е-паспорта/е-паспорта для виїзду за кордон клієнта, із фотографією, отриманою кваліфікованим надавачем під час фотофіксації клієнта;
кваліфікований надавач порівнює ідентифікаційні дані, що містяться в електронній копії е-паспорта/е-паспорта для виїзду за кордон клієнта, з ідентифікаційними даними, що містяться в копії ідентифікаційного документа клієнта та у кваліфікованому електронному підписі клієнта або удосконаленому електронному підписі, що базується на кваліфікованому сертифікаті клієнта, на їх відповідність;
3) із використанням засобів національної системи електронної дистанційної ідентифікації Національного банку (далі - Система BanklD Національного банку), е-паспорта/е-паспорта для виїзду за кордон, фотофіксації клієнта в такому порядку:
клієнт ініціює надання своїх ідентифікаційних даних кваліфікованому надавачу за допомогою Системи BankID Національного банку;
клієнт подає кваліфікованому надавачу з дотриманням вимог Порядку № 911 електронну копію свого е-паспорта/е-паспорта для виїзду за кордон;
кваліфікований надавач здійснює фотофіксацію клієнта та порівнює фотографію клієнта, що міститься в електронній копії е-паспорта/е-паспорта для виїзду за кордон клієнта, із фотографією, отриманою кваліфікованим надавачем під час фотофіксації клієнта;
кваліфікований надавач порівнює ідентифікаційні дані, отримані за допомогою Системи BankID Національного банку, з ідентифікаційними даними, що містяться в електронній копії е-паспорта/е-паспорта для виїзду за кордон клієнта, на їх відповідність;
4) із використанням Системи BankID Національного банку, кваліфікованого або удосконаленого електронного підпису клієнта, фотофіксації клієнта в такому порядку:
клієнт ініціює надання своїх ідентифікаційних даних кваліфікованому надавачу за допомогою Системи BankID Національного банку;
клієнт подає кваліфікованому надавачу копію свого ідентифікаційного документа (копії сторінок ідентифікаційного документа, що містять ідентифікаційні дані), засвідчену кваліфікованим електронним підписом клієнта з кваліфікованою електронною позначкою часу або удосконаленим електронним підписом, що базується на кваліфікованому сертифікаті клієнта, з кваліфікованою електронною позначкою часу;
кваліфікований надавач здійснює фотофіксацію клієнта в режимі реального часу з використанням алгоритмів, що дають змогу відрізнити реальну людину від репродукції у будь-якому вигляді її зовнішності (наприклад, цифрова репродукція, грим, маска);
кваліфікований надавач порівнює ідентифікаційні дані, отримані за допомогою Системи BankID Національного банку, з ідентифікаційними даними, що містяться в копії ідентифікаційного документа клієнта та у кваліфікованому електронному підписі клієнта або удосконаленому електронному підписі, що базується на кваліфікованому сертифікаті клієнта, на їх відповідність;
кваліфікований надавач порівнює фотографію клієнта, що міститься в копії ідентифікаційного документа, з фотографією, отриманою кваліфікованим надавачем під час фотофіксації клієнта;
5) із використанням Системи BankID Національного банку, віддаленого кваліфікованого електронного підпису "Дія.Підпис" ("Дія ID"), фотофіксації клієнта в такому порядку:
клієнт ініціює надання своїх ідентифікаційних даних кваліфікованому надавачу за допомогою Системи BankID Національного банку;
клієнт подає копію свого ідентифікаційного документа (копії сторінок ідентифікаційного документа, що містять ідентифікаційні дані), засвідчену з використанням віддаленого кваліфікованого електронного підпису "Дія.Підпис" ("Дія ID") клієнта;
кваліфікований надавач здійснює фотофіксацію клієнта та порівнює фотографію клієнта, що міститься в копії ідентифікаційного документа, із фотографією, отриманою кваліфікованим надавачем під час фотофіксації клієнта;
кваліфікований надавач порівнює ідентифікаційні дані, отримані за допомогою Системи BankID Національного банку, з ідентифікаційними даними, що містяться в копії ідентифікаційного документа клієнта та в кваліфікованому електронному підписі "Дія.Підпис" ("Дія ID") клієнта, на їх відповідність.
( Положення доповнено новим пунктом 34-1 згідно з Постановою Національного банку № 35 від 27.03.2023 )
34-2. Кваліфікований надавач у разі здійснення ідентифікації та автентифікації клієнта способом, визначеним у підпункті 1 пункту 34-1 цього Положення:
1) не може використовувати результати відеоверифікації в разі:
наявності сумнівів щодо чинності (дійсності) ідентифікаційного документа особи, які не спростовані;
наявності ознак того, що на клієнта (представника клієнта) чиниться вплив з боку третьої особи;
2) зобов'язаний забезпечити:
документування кожного етапу відеоверифікації;
передавання та зберігання електронних документів, отриманих під час проведення відеоверифікації, у спосіб, що забезпечує неможливість їх модифікації, а також захист таких електронних документів від втрати, знищення, незаконної обробки відповідно до вимог нормативно-правових актів Національного банку з питань забезпечення інформаційної безпеки в банківській системі України;
належну підготовку адміністраторів реєстрації для проведення відеоверифікації перед початком виконання ними обов'язків, пов'язаних зі здійсненням відеоверифікації.
( Положення доповнено новим пунктом 34-2 згідно з Постановою Національного банку № 35 від 27.03.2023 )
34-3. Кваліфікований надавач у разі здійснення ідентифікації та автентифікації клієнта одним чи кількома зі способів, визначених у пункті 34-1 цього Положення, зобов'язаний:
1) здійснювати фотофіксацію клієнта в режимі онлайн таким чином, щоб обличчя особи відображалось анфас, фотозображення було чітким, давало змогу однозначно розпізнати особу клієнта та не містило зображення іншої особи в кадрі;
2) формувати клієнту кваліфікований сертифікат відкритого ключа виключно в разі позитивних результатів перевірок, визначених у підпунктах 2-5 пункту 34-1 цього Положення;
3) забезпечити зберігання отриманої згідно з вимогами пункту 34-1 цього Положення інформації протягом строку, встановленого Правилами застосування переліку документів, що утворюються в діяльності Національного банку України та банків України, затвердженими постановою Правління Національного банку України від 27 листопада 2018 року № 130 (зі змінами), для документованої інформації;
4) унести до регламенту роботи кваліфікованого надавача зміни, пов'язані зі змінами процедур ідентифікації, автентифікації клієнтів, та погодити їх із засвідчувальним центром;
5) протягом шести місяців із дня припинення чи скасування воєнного стану в Україні забезпечити проведення ідентифікації, автентифікації згідно з вимогами статті 22 Закону тих клієнтів, що були ідентифіковані згідно з пунктом 34-1 цього Положення, або скасувати кваліфіковані сертифікати відкритих ключів таких клієнтів.
( Положення доповнено новим пунктом 34-3 згідно з Постановою Національного банку № 35 від 27.03.2023 )
35. Кваліфікований надавач запроваджує управління фізичним доступом до приміщень, в яких розташовані технічні засоби програмно-технічного комплексу, що використовується для надання довірчих послуг, з дотриманням вимог Правил з технічного захисту інформації для приміщень банків, у яких обробляються електронні банківські документи, затверджених постановою Правління Національного банку України від 04 липня 2007 року № 243, зареєстрованих у Міністерстві юстиції України 17 серпня 2007 року за № 955/14222 (далі - Правила з технічного захисту).
Засоби кваліфікованого електронного підпису чи печатки, в яких зберігаються та використовуються особисті ключі кваліфікованого надавача, повинні розташовуватись у приміщеннях, що відповідають вимогам Правил з технічного захисту.
Засоби кваліфікованого електронного підпису чи печатки, в яких зберігаються резервні копії особистих ключів кваліфікованого надавача, повинні зберігатись із забезпеченням їх захисту від несанкціонованого доступу.
36. Генерація, зберігання, використання особистих ключів кваліфікованого надавача здійснюються виключно в засобах кваліфікованого електронного підпису чи печатки, що є апаратно-програмними або апаратними пристроями, що забезпечують захист записаних даних від несанкціонованого доступу.
Резервні копії особистих ключів кваліфікованого надавача повинні зберігатися у засобах кваліфікованого електронного підпису чи печатки, що є апаратно-програмними або апаратними пристроями, що забезпечують захист записаних даних від несанкціонованого доступу.
Особистий ключ кваліфікованого надавача та всі його резервні копії після закінчення строку дії сертифіката відкритого ключа кваліфікованого надавача знищуються способом, що унеможливлюють їх відновлення.
37. Кваліфікований надавач несе відповідальність у сфері електронних довірчих послуг відповідно до статті 36 Закону.
Керівник, заступник керівника, адміністратор реєстрації, адміністратор сертифікації, адміністратор безпеки, системний адміністратор несуть відповідальність за неналежне виконання своїх обов’язків, розголошення конфіденційної інформації згідно із законодавством України.
Кваліфікований надавач повинен встановити відповідальність за недотримання працівниками кваліфікованого надавача своїх посадових обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг та вимог внутрішньої організаційно-розпорядчої документації кваліфікованого надавача та документації на комплексну систему захисту інформації або систему управління інформаційною безпекою в межах організації з урахуванням режиму роботи кваліфікованого надавача.
Права та обов’язки, відповідальність, а також необхідні професійні знання, досвід і кваліфікація керівника, заступника керівника, адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки визначаються у посадових інструкціях працівників кваліфікованого надавача.
38. Кваліфікований надавач зобов’язаний:
1) забезпечити ведення журналів аудиту подій в інформаційно-телекомунікаційній системі кваліфікованого надавача;
2) забезпечити захист журналів аудиту подій від неавторизованого перегляду, від несанкціонованої модифікації, від знищення;
3) визначити, які саме журнали аудиту подій мають право переглядати керівник кваліфікованого надавача, заступник(и) керівника кваліфікованого надавача, адміністратор(и) реєстрації, адміністратор(и) сертифікації, системний(і) адміністратор(и), адміністратор(и) безпеки та частоту перегляду для кожного із журналів аудиту подій.
Особи, зазначені в підпункті 3 пункту 38 цього Положення, під час перегляду журналів аудиту подій вивчають зафіксовані події та перевіряють наявність несанкціонованої модифікації.
39. Кваліфікований надавач зобов’язаний забезпечити резервне копіювання журналів аудиту подій.
Резервні копії журналів аудиту подій повинні зберігатись у віддаленому резервному пункті із забезпеченням їх захисту від несанкціонованого доступу.
40. Кваліфікований надавач зобов’язаний забезпечити зберігання журналів аудиту подій протягом п’яти років в інформаційно-телекомунікаційній системі кваліфікованого надавача.
41. Кваліфікований надавач зобов’язаний забезпечити реєстрацію у журналах аудиту подій таких типів подій:
1) спроби створення, знищення, встановлення паролів, зміни прав доступу в інформаційно-телекомунікаційній системі;
2) заміна програмного забезпечення, технічних засобів інформаційно-телекомунікаційної системи;
3) технічне обслуговування інформаційно-телекомунікаційної системи;
4) генерація, використання, знищення особистих ключів кваліфікованого надавача;
5) формування, блокування, скасування та поновлення сертифікатів відкритих ключів, формування списків відкликаних сертифікатів відкритих ключів;
6) спроба несанкціонованого доступу до інформаційно-телекомунікаційної системи;
7) надання доступу персоналу до інформаційно-телекомунікаційної системи;
8) збої в роботі інформаційно-телекомунікаційної системи.
Кваліфікований надавач має право додатково реєструвати в журналах аудиту інші події, що стосуються надання довірчих послуг.
Записи в журналах аудиту подій повинні містити дату та час події, а також ідентифікувати суб’єкта, який здійснив або ініціював подію.
42. Час, що використовується в інформаційно-телекомунікаційній системі кваліфікованого надавача та в журналах аудиту подій в електронній формі, повинен бути синхронізований із Всесвітнім координованим часом із точністю до секунди.
43. Кваліфікований надавач обліковує та зберігає договори про надання довірчих послуг, а також документи або їх копії, засвідчені в установленому порядку, що використовуються під час ідентифікації, автентифікації, верифікації клієнта, та зберігає їх відповідно до вимог законодавства.
44. Генерацію особистих та відкритих ключів кваліфікованого надавача, а також резервне копіювання особистих ключів кваліфікованого надавача здійснює адміністратор сертифікації у присутності адміністратора безпеки.
Генерація особистих та відкритих ключів клієнта може здійснюватися на території кваліфікованого надавача або на території клієнта.
45. Кваліфікований надавач зобов’язаний здійснювати свою діяльність відповідно до вимог законодавства у сфері електронних довірчих послуг та регламенту роботи кваліфікованого надавача, який визначає організаційно-методологічні, технічні та технологічні умови діяльності кваліфікованого надавача. Регламент роботи кваліфікованого надавача розробляється відповідно до вимог цього Положення та вимог законодавства України у сфері електронних довірчих послуг.
46. Регламент роботи кваліфікованого надавача повинен містити:
1) загальні відомості про кваліфікованого надавача:
найменування кваліфікованого надавача;
код в Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань;
місцезнаходження;
номери телефонів;
електронну адресу вебсайта;
режим роботи кваліфікованого надавача;
2) перелік інформації, що розміщується кваліфікованим надавачем на своєму вебсайті;
3) перелік кваліфікованих електронних довірчих послуг, надання яких забезпечує кваліфікований надавач;
4) опис функцій адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки;
5) політику сертифіката;
6) положення сертифікаційних практик;
7) опис процедур та процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування сертифікатів відкритих ключів.
47. Політика сертифіката визначає кожну кваліфіковану електронну довірчу послугу, яка передбачає формування та обслуговування кваліфікованим надавачем кваліфікованих сертифікатів відкритих ключів, окремо або в сукупності. У політиці сертифіката визначаються:
1) перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих кваліфікованим надавачем;
2) обмеження щодо використання кваліфікованих сертифікатів відкритих ключів, сформованих кваліфікованим надавачем;
3) час і порядок публікації кваліфікованих сертифікатів відкритих ключів та списків відкликаних сертифікатів;
4) механізм підтвердження володіння особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа;
5) умови ідентифікації, верифікації клієнта (документи, які клієнт повинен надати для отримання кваліфікованих електронних довірчих послуг, вимоги щодо особистої присутності клієнта);
6) механізм автентифікації клієнтів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований кваліфікованим надавачем;
7) механізм ідентифікації, автентифікації, верифікації клієнтів під час оброблення заяв на блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа;
8) процедурний контроль (система дисциплінарних стягнень за недотримання працівниками кваліфікованого надавача своїх обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг та вимог внутрішньої організаційно-розпорядчої документації кваліфікованого надавача та документації на комплексну систему захисту інформації або систему управління інформаційною безпекою в межах організації з урахуванням режиму роботи кваліфікованого надавача);
9) порядок ведення журналів аудиту подій;
10) порядок ведення, збереження (із зазначенням строків зберігання), резервування, відновлення, захисту даних, пов’язаних із формуванням та обслуговуванням кваліфікованим надавачем кваліфікованих сертифікатів відкритих ключів;
11) порядок та умови генерації, зберігання, використання пар ключів кваліфікованого надавача;
12) порядок та умови резервного копіювання особистого ключа кваліфікованого надавача, збереження, доступу та використання резервних копій;
13) порядок та умови генерації пар ключів клієнтів;
14) механізм отримання клієнтом особистого ключа в результаті надання кваліфікованої електронної довірчої послуги кваліфікованим надавачем;
15) механізм надання клієнтом запиту на формування кваліфікованого сертифіката відкритого ключа кваліфікованому надавачу для формування кваліфікованого сертифіката відкритого ключа.
48. Положення сертифікаційних практик повинні визначати практичні та процедурні засади реалізації всіх політик сертифіката в сукупності. У положеннях сертифікаційних практик зазначаються:
1) процес подання запиту на формування кваліфікованого сертифіката відкритого ключа (перелік суб’єктів, уповноважених подавати запит на формування кваліфікованого сертифіката відкритого ключа, порядок подачі та оброблення, строки оброблення запиту на формування кваліфікованого сертифіката відкритого ключа);
2) порядок надання сформованого кваліфікованого сертифіката відкритого ключа клієнту;
3) порядок публікації сформованого кваліфікованого сертифіката відкритого ключа клієнта на вебсайті кваліфікованого надавача;
4) умови використання кваліфікованого сертифіката відкритого ключа клієнта та його особистого ключа (попередження про можливі наслідки неправильного використання кваліфікованого сертифіката відкритого ключа та особистого ключа);
5) процедура подачі запиту на формування кваліфікованого сертифіката відкритого ключа для клієнтів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований кваліфікованим надавачем;
6) порядок та умови блокування, поновлення, скасування кваліфікованих сертифікатів відкритих ключів клієнтів:
перелік суб’єктів, уповноважених подавати запити на блокування, поновлення, скасування кваліфікованих сертифікатів відкритих ключів клієнтів;
процедура подання запитів на блокування, поновлення, скасування кваліфікованих сертифікатів відкритих ключів клієнтів;
час оброблення запитів на блокування, поновлення, скасування кваліфікованих сертифікатів відкритих ключів клієнтів;
7) порядок та умови надання інформації про статус кваліфікованих сертифікатів відкритих ключів, сформованих кваліфікованим надавачем:
частота формування списку відкликаних сертифікатів та строки його дії;
можливість та умови надання інформації про статус кваліфікованого сертифіката відкритого ключа в режимі реального часу;
8) строки дії кваліфікованих сертифікатів відкритих ключів, сформованих кваліфікованим надавачем.
49. Кваліфікований надавач зобов’язаний забезпечити проведення аудиту (внутрішнього або зовнішнього) щодо дотримання вимог цього Положення кваліфікованим надавачем не рідше ніж один раз на рік. Кваліфікований надавач зобов’язаний подавати до засвідчувального центру звіт за результатами проведеного аудиту не пізніше п’яти робочих днів із дня його завершення. У кваліфікованого надавача, що є банком, внутрішній аудит проводить підрозділ внутрішнього аудиту банку.
50. Кваліфікований надавач зобов’язаний щороку до 15 січня подавати до засвідчувального центру звіт про діяльність за попередній рік. Форма звіту встановлюється у регламенті роботи засвідчувального центру.
51. Кваліфікований надавач зобов’язаний подавати до засвідчувального центру засвідчену в установленому законодавством порядку копію атестата відповідності комплексної системи захисту інформації вимогам нормативних документів у сфері захисту інформації із засвідченою в установленому законодавством порядку копією позитивного експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації або засвідчену в установленому законодавством порядку копію документа про відповідність, складеного за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг не пізніше трьох робочих днів з дня отримання відповідного документа.
52. Кваліфікований надавач припиняє діяльність з надання кваліфікованих електронних довірчих послуг у порядку, визначеному в Законі.
Директор Департаменту безпеки | О. Скомаровський |