Про затвердження Примірного регламенту роботи центрів сертифікації ключів банків України

накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант документа засобами ПТК ЦСК;

переведення оригіналу документа на паперовому носії в електронний вигляд шляхом сканування;

підшивання оригіналу документа на паперовому носії до справи;

накладення ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу документа засобами ПТК ЦСК;

унесення до БД електронного документа, ЕЦП ЦСК на електронний документ, ЕЦП адміністратора реєстрації ЦСК на електронний документ, електронного варіанта відсканованого оригіналу, ЕЦП адміністратора реєстрації ЦСК на електронний варіант відсканованого оригіналу, сертифікат ключа адміністратора реєстрації ЦСК, сертифікат(и) ключа(ів) підписувача. Якщо на момент подання документа сертифікат ключа підписувача ще не сформовано, то він додається пізніше (відразу після формування).

10.8. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача у заяві про формування чи зміну статусу сертифіката ключа підписувача з даними, одержаними під час реєстрації підписувача.

10.9. Служба реєстрації ЦСК проводить порівняння ідентифікаційних даних підписувача, наведених у заявах про формування сертифіката ключа підписувача і про внесення змін до ідентифікаційних даних підписувача, з даними, що містяться в копіях документів, які підтверджують ці зміни, якщо формування нового сертифіката ключа відбувається у зв'язку зі зміною ідентифікаційних даних підписувача, які внесені до реєстру ЦСК.

11.1. Підписувач перед початком процедури реєстрації повинен ознайомитися з умовами обслуговування сертифікатів ключів, передбачених політикою сертифікації ЦСК, зокрема з питаннями щодо:

зобов'язань та підстав відповідальності ЦСК стосовно обслуговування сертифікатів ключів;

зобов'язань та підстав відповідальності підписувача стосовно використання сертифіката ключа і зберігання особистого ключа;

сфери використання підписувачем сертифіката ключа;

строків зберігання в ЦСК даних про підписувачів та заявників, що були отримані ЦСК під час реєстрації;

відомостей про засоби ЕЦП, що можуть використовуватися для формування та перевірки ЕЦП.

11.2. Заявник для проведення реєстрації підписувача в ЦСК (крім підписувача, який є працівником банку) надає адміністратору реєстрації ЦСК договір, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.

11.3. Підписувач, який є працівником банку, для проведення реєстрації підписує зобов'язання про дотримання умов використання ЕЦП.

11.4. Заявник юридичної особи для проведення реєстрації в ЦСК подає такі документи:

заповнену заяву про формування сертифіката ключа, підписану керівником юридичної особи, заявником та засвідчену відбитком печатки юридичної особи;

копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).

11.5. Заявник відокремленого підрозділу (філії, представництва) юридичної особи подає для реєстрації в ЦСК такі документи:

заповнену заяву про формування сертифіката ключа підписувача, підписану керівником відокремленого підрозділу, заявником та засвідчену відбитком печатки відокремленого підрозділу;

копії паспортів та довідок про присвоєння ідентифікаційного коду керівника та головного бухгалтера відокремленого підрозділу, засвідчені власноручними підписами власників паспортів (якщо сертифікати ключів формуються для керівника та бухгалтера).

11.6. Заявник фізичної особи - суб'єкта підприємницької діяльності подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою - суб'єктом підприємницької діяльності, заявником та засвідчену відбитком печатки фізичної особи - суб'єкта підприємницької діяльності (у разі наявності печатки).

11.7. Заявник фізичної особи подає для реєстрації в ЦСК заповнену заяву про формування сертифіката ключа підписувача, підписану фізичною особою та заявником.

11.8. Якщо заявником подано оригінал документа, то копія такого документа може бути засвідчена підписом та відбитком печатки адміністратора реєстрації ЦСК.

11.9. Підписувач, який є працівником банку, для реєстрації подає заповнену заяву про формування сертифіката ключа, підписану ним особисто. Відділ кадрів подає до ЦСК ідентифікаційні дані для реєстрації підписувача, який є працівником банку.

11.10. ЦСК під час подання зазначених вище документів проводить їх реєстрацію в такому порядку.

11.11. Служба реєстрації ЦСК опрацьовує подані документи протягом трьох годин з моменту їх надходження згідно з вимогами цього Регламенту.

11.12. Служба реєстрації ЦСК у разі наявності всіх необхідних правильно оформлених документів формує унікальне розпізнавальне ім'я підписувача (у разі потреби), а також уносить до реєстру ЦСК необхідні дані підписувача згідно з вимогами цього Регламенту і надає йому статус "збережений".

11.13. Заявник під час проведення реєстрації в ЦСК подає запит про формування сертифіката підписувача або генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів. Підписувач, який є працівником банку, генерує запит про формування сертифіката підписувача в ЦСК на робочій станції генерування ключів підписувачів.

11.14. Служба реєстрації ЦСК уносить запит про формування сертифіката ключа підписувача до реєстру ЦСК.

11.15. Служба сертифікації ЦСК формує сертифікат ключа підписувача згідно з вимогами цього Регламенту та поширює його в порядку, визначеному цим Регламентом. Служба реєстрації ЦСК змінює статус підписувача на "зареєстрований" із зазначенням дати прийняття і номера відповідного рішення про реєстрацію.

11.16. Служба реєстрації ЦСК після завершення процедури реєстрації подає заявнику (підписувачу, який є працівником банку):

носій, що містить чинні сертифікати ключів(15) центрального засвідчувального органу, ЗЦ НБУ, ЦСК та підписувача (якщо сертифікат ключа підписувача вже сформовано);

запечатаний конверт з НКІ та паролем доступу до НКІ (особистого ключа), що містить особистий ключ підписувача (у разі генерування ключів у ЦСК).

(15) ЦСК самостійно визначає перелік сертифікатів на цьому носії залежно від специфіки діяльності.

11.17. ЦСК скасовує реєстрацію підписувача в разі:

подання заявником заяви про скасування реєстрації підписувача;

невиконання підписувачем, який є клієнтом банку, умов договору, на підставі якого йому надаються послуги ЕЦП;

звільнення з роботи підписувача, який є працівником юридичної особи;

звільнення з роботи підписувача, який є працівником банку;

отримання наказу про скасування реєстрації підписувача, який є працівником банку (або подання цим підписувачем заяви про скасування реєстрації);

наявності рішення суду про скасування реєстрації підписувача, що набрало законної сили.

11.18. ЦСК здійснює скасування реєстрації підписувача в такому порядку:

служба реєстрації ЦСК змінює статус зареєстрованого підписувача на "анульований";

служба сертифікації ЦСК скасовує сертифікат підписувача, формує СВС та поширює його в порядку, визначеному цим Регламентом;

ЦСК повідомляє підписувача про рішення щодо скасування його реєстрації із зазначенням підстав;

ЦСК поширює інформацію про скасування реєстрації цього підписувача шляхом унесення відповідних змін до інформації на інформаційному ресурсі ЦСК.

12.1. Служба реєстрації ЦСК формує унікальне розпізнавальне ім'я підписувача під час унесення даних про нього до реєстру ЦСК. Забезпечення його унікальності відбувається шляхом додавання до розпізнавального імені підписувача реквізиту "серійний номер" (поле "SERIALNUMBER").

12.2. Значення реквізиту "серійний номер" для підписувача формується таким чином:

UA-[код установи/особи]{-[додаток]},

де код установи/особи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації юридичної особи, код ДРФО фізичної особи - підприємця, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію або ідентифікаційний код фізичної особи;

додаток - необов'язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання додатка він відокремлюється від коду установи/особи символом "-".

13.1. Відкритий та особистий ключі підписувача можуть бути згенеровані:

на робочому місці підписувача;

у ЦСК на робочій станції генерування ключів підписувачів.

13.2. ЦСК у разі необхідності надає заявнику засоби ЕЦП для генерування криптографічних ключів та запитів про формування сертифіката ключа підписувача на його робочому місці. Ці засоби ЕЦП створюють запит у форматі, визначеному цим Регламентом.

13.3. Запит про формування сертифіката ключа підписувача може бути двох видів:

у форматі PKCS#10 з накладеним ЕЦП з використанням особистого ключа підписувача;

самопідписаний сертифікат ключа підписувача.

13.4. Заявник генерує ключі підписувача на робочій станції генерування ключів, яка входить до складу ПТК ЦСК, якщо підписувач надав йому відповідні повноваження.

13.5. Підписувач, який є працівником банку, генерує свої криптографічні ключі на робочій станції генерування ключів, що входить до складу ПТК ЦСК.

13.6. Згенерований особистий ключ підписувача захищається паролем та записується на НКІ. Підписувач несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа. Заявник, якщо він виконував генерацію ключів, несе відповідальність за забезпечення конфіденційності та цілісності особистого ключа до моменту його передавання підписувачу.

13.7. ПТК ЦСК забезпечує автоматичне знищення особистого ключа підписувача на робочій станції, на якій генерувалися ключі, методом, що не допускає можливості його відновлення, після генерування та запису ключів на НКІ.

13.8. Заявник, якщо генерування ключів здійснювалося в ЦСК, вкладає НКІ та фразу-пароль у непрозорий конверт, який запечатується, засвідчується відбитком печатки ЦСК, підписами заявника та адміністратора реєстрації ЦСК.

13.9. Підписувач під час отримання конверта з НКІ та фразою-паролем зобов'язаний перевірити цілісність цього конверта. Якщо цілісність не порушена, то терміново до першого використання особистого ключа підписувач зобов'язаний змінити пароль доступу до нього. Підписувач зобов'язаний терміново звернутися до ЦСК із заявою про скасування сертифіката відповідного ключа, якщо цілісність конверта порушена.

14.1. ЦСК формує сертифікати ключів підписувачів тільки під час проведення процедури реєстрації підписувача або для зареєстрованих підписувачів у разі подання підписувачем/заявником заяви про формування сертифіката ключа підписувача.

14.2. ЦСК формує сертифікати ключів підписувачів для відкритих ключів, що згенеровані відповідно до криптографічних алгоритмів ДСТУ 4145-2002 та RSA.

14.3. ЦСК здійснює формування сертифіката ключа підписувача на підставі даних, що містяться в запиті про формування сертифіката ключа.

14.4. Час розгляду заяви про формування сертифіката ключа підписувача, зареєстрованого в ЦСК, становить не більше двох годин після її прийняття.

14.5. ЦСК здійснює формування сертифікатів ключів підписувачів у такому порядку.

14.6. Служба реєстрації ЦСК опрацьовує поданий заявником (підписувачем, який є працівником банку) запит про формування сертифіката ключа підписувача та документи згідно з вимогами цього Регламенту і встановлює належність підписувачу особистого ключа та його відповідність відкритому ключу.

14.7. Служба реєстрації ЦСК вносить поданий заявником запит про формування сертифіката ключа підписувача до БД.

14.8. ЦСК приймає рішення про формування/відмову в формуванні сертифіката ключа підписувача.

14.9. Процедура встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу здійснюється шляхом перевірки ЕЦП у запиті про формування сертифіката ключа підписувача. Сертифікат ключа підписувача формується лише в разі підтвердження ЕЦП.

14.10. Служба сертифікації ЦСК формує сертифікати ключа підписувача в разі позитивного рішення ЦСК.

14.11. Служба сертифікації ЦСК під час формування сертифіката ключа підписувача:

визначає дату і час початку та закінчення строку чинності сертифіката ключа підписувача;

уносить до сертифіката ключа підписувача обов'язкові дані, визначені Законом України "Про електронний цифровий підпис";

уносить до сертифіката ключа підписувача додаткові дані за зверненням заявника;

уносить до сертифіката ключа підписувача інформацію щодо місця розміщення СВС на інформаційному ресурсі ЦСК;

забезпечує унікальність реєстраційного номера сертифіката ключа в межах ЦСК, а також унікальність відкритих ключів у реєстрі чинних, блокованих та скасованих сертифікатів ключів.

14.12. Служба сертифікації ЦСК під час формування нового сертифіката ключа підписувача створює запит про скасування поточного сертифіката ключа підписувача, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа підписувача.

14.13. Служба реєстрації ЦСК після формування сертифіката ключа підписувача надає його заявнику (підписувачу, який є працівником банку). Заявник (підписувач, який є працівником банку) повинен перевірити правильність відомостей, що містяться в сертифікаті ключа підписувача. У разі виявлення некоректних даних (помилки в реквізитах) він повинен повідомити про зазначене службу реєстрації ЦСК. У цьому разі сертифікат ключа скасовується та формується новий сертифікат ключа підписувача.

14.14. Служба сертифікації ЦСК здійснює поширення сертифіката ключа підписувача в установленому цим Регламентом порядку.

14.15. Заявник (підписувач, який є працівником банку) може подавати до ЦСК на сертифікацію попередньо засвідчений відкритий ключ підписувача, якщо відповідний йому особистий ключ не був скомпрометований. У цьому разі дата і час закінчення строку чинності нового сертифіката ключа підписувача, сформованого на основі попередньо засвідченого відкритого ключа підписувача, не може перевищувати дати і часу закінчення строку чинності попереднього сертифіката ключа підписувача. Строк чинності особистого ключа підписувача не може перевищувати один рік.

14.16. Заявник (підписувач, який є працівником банку) подає до ЦСК заяву про формування нового сертифіката ключа підписувача не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа підписувача. У разі неотримання заяви про формування нового сертифіката ключа підписувача у визначений термін ЦСК після закінчення строку чинності цього сертифіката скасовує його і накладає штрафні санкції на підписувача.

15.1. Відкритий та особистий ключі відповідальної особи ЦСК можуть бути згенеровані на:

її автоматизованому робочому місці;

окремо виділеній робочій станції генерування ключів.

Під час генерування ключів автоматично створюється запит про формування сертифіката ключа.

15.2. Відповідальна особа ЦСК самостійно вносить запит про формування сертифіката свого ключа до БД ПТК ЦСК.

15.3. Служба сертифікації ЦСК засвідчує запит про формування сертифіката ключа відповідальної особи ЦСК.

15.4. Служба сертифікації ЦСК (чи відповідальна особа ЦСК, якщо вона має відповідні повноваження) під час формування нового сертифіката ключа створює запит про скасування поточного сертифіката ключа, засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа відповідальної особи ЦСК.

15.5. Відповідальна особа ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та ініціює процедуру формування нового сертифіката ключа.

16.1. Служба сертифікації ЦСК здійснює генерування відкритих та особистих ключів допоміжних послуг ЦСК.

16.2. Служба сертифікації ЦСК вносить запити про формування сертифікатів ключів допоміжних послуг ЦСК до БД ПТК ЦСК.

16.3. Служба сертифікації ЦСК засвідчує запити про формування сертифікатів ключів допоміжних послуг ЦСК.

16.4. Служба сертифікації ЦСК під час формування нового сертифіката ключа допоміжної послуги ЦСК створює запит про скасування поточного сертифіката ключа відповідної допоміжної послуги, потім засвідчує його, формує та поширює СВС і тільки після цього формує новий сертифікат ключа допоміжної послуги ЦСК.

16.5. Служба сертифікації ЦСК не пізніше ніж за десять робочих днів до закінчення строку чинності поточного сертифіката ключа генерує нові криптографічні ключі та здійснює процедуру формування нового сертифіката ключа допоміжної послуги ЦСК.

17.1. Зміна статусу сертифіката ключа підписувача набирає чинності з часу внесення відповідних змін до СВС та до реєстру чинних сертифікатів ключів підписувачів.

17.2. Підписувач зобов'язаний протягом не більше 30 календарних днів після блокування сертифіката ключа скасувати або поновити його. Поновлення сертифіката ключа підписувача можливе лише для сертифікатів, що заблоковані й термін блокування яких не закінчився. Якщо до закінчення терміну блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа підписувача.

17.3. Дозволяється на розсуд підписувача скасувати сертифікат ключа без його блокування.

17.4. ЦСК негайно блокує/поновлює сертифікат ключа підписувача в разі:

подання заявником (підписувачем, який є працівником банку) звернення щодо блокування/поновлення сертифіката ключа підписувача до служби реєстрації ЦСК;

наявності рішення суду про блокування/поновлення сертифіката ключа підписувача, що набрало законної сили.

17.5. ЦСК негайно скасовує сертифікат ключа підписувача в разі:

подання заявником (підписувачем, який є працівником банку) письмової заяви про скасування сертифіката ключа підписувача до служби реєстрації ЦСК;

наявності рішення суду про скасування сертифіката ключа підписувача, що набрало законної сили;

смерті підписувача або оголошення його померлим за рішенням суду;

визнання підписувача недієздатним за рішенням суду;

припинення діяльності суб'єкта господарювання (якщо підписувач - клієнт банку, юридична особа чи фізична особа-підприємець);

розірвання підписувачем трудового договору з юридичною особою, що є клієнтом банку (якщо сертифікат ключа виданий фізичній особі як представнику юридичної особи);

надання заявником (підписувачем, який є працівником банку) недостовірних даних;

не поновлення підписувачем заблокованого сертифіката протягом 30 календарних днів;

припинення (розірвання) договору, на підставі якого підписувачу, який є клієнтом банку, надаються послуги ЕЦП.

17.6. Причинами, унаслідок яких заявник (підписувач, який є працівником банку) звертається до служби реєстрації ЦСК щодо блокування/скасування сертифіката ключа підписувача, є:

втрата або компрометація особистого ключа підписувача;

втрата контролю за особистим ключем підписувача через компрометацію пароля доступу;

зміна відомостей, зазначених у сертифікаті ключа;

інші причини, визначені цим Регламентом та законодавством України у сфері ЕЦП.

17.7. Причинами, унаслідок яких заявник (підписувач, який є працівником банку) звертається до служби реєстрації ЦСК щодо поновлення сертифіката ключа підписувача, є виявлення недостовірності даних про:

втрату або компрометацію особистого ключа підписувача;

втрату контролю за особистим ключем підписувача через компрометацію пароля доступу;

зміну відомостей, зазначених у сертифікаті ключа.

17.8. Заявник (підписувач, який є працівником банку) може подати до служби реєстрації ЦСК звернення щодо блокування/поновлення сертифіката ключа підписувача у вигляді:

письмової заяви;

заяви в усній формі телефоном;

електронного запиту.

17.9. Заявник (підписувач, який є працівником банку) подає до служби реєстрації ЦСК звернення щодо скасування сертифіката ключа підписувача у вигляді письмової заяви.

17.10. Заявник (підписувач, який є працівником банку) подає заяву в усній формі засобами телефонного зв'язку за номерами ЦСК. У заяві в усній формі повідомляються:

ідентифікаційні дані підписувача - власника сертифіката ключа підписувача;

ідентифікаційні дані заявника (якщо підписувач та заявник є різними суб'єктами);

серійний номер сертифіката ключа підписувача, що блокується;

причина блокування;

термін, на який блокується сертифікат ключа підписувача;

фраза-пароль (обумовлена в процесі реєстрації підписувача).

Блокування сертифіката ключа підписувача за заявою в усній формі здійснюється тільки в разі позитивної автентифікації заявника (збіг ідентифікаційних даних підписувача, заявника, серійного номера сертифіката ключа підписувача та фрази-пароля, переданої в усній заяві, з інформацією з реєстру ЦСК).

17.11. ЦСК надає підписувачу програмні засоби, що здійснюють формування електронного запиту про блокування сертифіката підписувача. Запит може передаватися у вигляді HTTP-запиту чи засобами електронної пошти. Законність звернення встановлюється шляхом перевірки ЕЦП на запиті за допомогою чинного сертифіката підписувача.

17.12. Заява про блокування сертифіката ключа підписувача в усній формі чи у вигляді електронного запиту має бути підтверджена письмовою заявою протягом двох робочих днів з часу прийняття службою реєстрації ЦСК відповідного звернення. У разі ненадходження відповідної письмової заяви, що підтверджує блокування сертифіката ключа підписувача, протягом зазначеного терміну ЦСК блокує сертифікат ключа цього підписувача строком на один календарний місяць і накладає штрафні санкції.

17.13. Документи, що були підставою для зміни статусу сертифіката ключа підписувача, фіксуються та зберігаються в ЦСК.

17.14. Служба реєстрації ЦСК приймає письмові заяви про зміну статусу сертифіката ключа підписувача тільки протягом робочого дня ЦСК. Заяви про блокування сертифіката підписувача в усній формі та звернення у вигляді електронного запиту приймаються цілодобово.

17.15. ЦСК здійснює зміну статусу сертифіката ключа підписувача в такому порядку.

17.16. Служба реєстрації ЦСК під час подання заявником заяви про зміну статусу сертифіката ключа підписувача:

опрацьовує її згідно з вимогами цього Регламенту;

створює запит про зміну статусу поточного сертифіката ключа підписувача в разі виконання заявником (підписувачем, який є працівником банку) усіх умов, визначених цим Регламентом.

17.17. Служба сертифікації ЦСК:

засвідчує запит про зміну статусу поточного сертифіката ключа підписувача;

уносить відповідні зміни до реєстру чинних сертифікатів ключів підписувачів із зазначенням дати, часу та причин зміни статусу сертифіката ключа підписувача;

формує СВС;

поширює інформацію про зміну статусу сертифіката ключа підписувача згідно з вимогами цього Регламенту.

17.18. ЦСК здійснює зміну статусу сертифіката підписувача протягом не більше двох годин з часу подання заяви.

17.19. Заявник протягом трьох робочих днів (підписувач, який є працівником банку - протягом одного робочого дня) повідомляє ЦСК про зміну ідентифікаційних даних підписувача, які внесені до реєстру, шляхом подання відповідної заяви. Заявник (підписувач, який є працівником банку) разом із заявою про зміну ідентифікаційних даних підписувача подає заяву про формування нового сертифіката ключа підписувача в ЦСК, якщо дані, які змінюються, унесені до сертифіката ключа підписувача. Разом із заявою необхідно подати документи, що підтверджують ці зміни. ЦСК скасовує сертифікат ключа підписувача в разі неотримання від нього зазначеної заяви у визначений термін і накладає штрафні санкції.

18.1. Зміна статусу сертифіката ключа відповідальної особи ЦСК набирає чинності з часу внесення відповідних змін до реєстру чинних сертифікатів ключів.

18.2. Строк блокування сертифікатів ключів відповідальних осіб ЦСК встановлює служба безпеки ЦСК. Цей строк не може перевищувати 30 робочих днів. Служба безпеки ЦСК може ініціювати скасування або поновлення заблокованого сертифіката ключа самостійно або за зверненням відповідальної особи ЦСК. Поновлення сертифіката ключа відповідальної особи ЦСК можливе лише для сертифікатів, що заблоковані й строк блокування яких не закінчився. Якщо до закінчення строку блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа.

18.3. Дозволяється на розсуд служби безпеки ЦСК скасувати сертифікат ключа відповідальної особи ЦСК без його блокування.

18.4. Відповідальна особа ЦСК для зміни статусу свого сертифіката ключа подає відповідну заяву до служби безпеки ЦСК(16).

(16) ЦСК самостійно визначає форму заяви (усна, письмова, електронний запит тощо) та її зміст.

18.5. ЦСК негайно змінює статус сертифіката ключа відповідальної особи ЦСК у разі подання службою безпеки ЦСК до служби реєстрації ЦСК відповідної заяви.

18.6. Причинами, унаслідок яких відповідальна особа ЦСК звертається до служби безпеки ЦСК щодо блокування/скасування свого сертифіката ключа, є:

компрометація особистого ключа, записаного на НКІ відповідальної особи ЦСК;

вихід з ладу (фізичне пошкодження, збоїв під час роботи тощо) НКІ відповідальної особи ЦСК (якщо немає резервної копії цього НКІ);

втрати НКІ відповідальною особою ЦСК;

втрати або компрометація пароля доступу до НКІ відповідальної особи ЦСК;

зміна відомостей, зазначених у сертифікаті ключа;

інші причини, визначені цим Регламентом та законодавством України у сфері ЕЦП.

18.7. Причинами, унаслідок яких служба безпеки ЦСК звертається до служби сертифікації ЦСК щодо блокування/скасування сертифіката ключа відповідальної особи ЦСК, є:

подання відповідальною особою ЦСК до служби безпеки ЦСК відповідної заяви;

тривала відсутність відповідальної особи ЦСК на робочому місці (відпустка, хвороба тощо).

18.8. Причинами, унаслідок яких відповідальна особа ЦСК звертається до служби безпеки ЦСК щодо поновлення свого сертифіката ключа, є виявлення недостовірності даних про:

втрату або компрометацію особистого ключа відповідальної особи ЦСК;

втрату контролю за особистим ключем відповідальної особи ЦСК через компрометацію пароля доступу;

зміну відомостей, зазначених у сертифікаті ключа.

18.9. Причинами, унаслідок яких служба безпеки ЦСК звертається до служби сертифікації ЦСК щодо поновлення сертифіката ключа відповідальної особи ЦСК, є подання відповідальною особою ЦСК до служби безпеки ЦСК заяви про поновлення сертифіката ключа.

18.10. Документи, що були підставою для зміни статусу сертифіката ключа відповідальної особи ЦСК, зберігаються в ЦСК.

18.11. Служба реєстрації ЦСК під час подання службою безпеки ЦСК заяви про зміну статусу сертифіката ключа відповідальної особи ЦСК:

опрацьовує її згідно з вимогами цього Регламенту;

створює запит на зміну статусу поточного сертифіката ключа відповідальної особи ЦСК та засвідчує його;

уносить відповідні зміни до реєстру чинних сертифікатів ключів із зазначенням дати, часу та причин зміни статусу сертифіката ключа відповідальної особи ЦСК.

18.12. Служба реєстрації ЦСК здійснює зміну статусу сертифіката відповідальної особи ЦСК протягом не більше однієї години з часу подання заяви службою безпеки ЦСК.

18.13. Відповідальна особа ЦСК протягом одного робочого дня повідомляє службу безпеки ЦСК про зміну своїх ідентифікаційних даних, які внесено до реєстру, шляхом подання відповідної заяви. Відповідальна особа ЦСК разом із заявою про зміну своїх ідентифікаційних даних подає заяву про формування нового сертифіката ключа, якщо дані, які змінюються, унесено до сертифіката ключа відповідальної особи ЦСК. Разом із заявою необхідно подати документи, що підтверджують ці зміни. ЦСК скасовує сертифікат ключа відповідальної особи ЦСК у разі неотримання зазначеної заяви у визначений термін і накладає штрафні санкції.

19.1. Зміна статусу сертифіката ключа допоміжної послуги ЦСК набирає чинності з часу внесення відповідних змін у СВС та до реєстру чинних сертифікатів ключів.

19.2. Термін блокування сертифіката ключа допоміжної послуги ЦСК установлює служба сертифікації ЦСК. Цей термін не може перевищувати 30 робочих днів. Поновлення сертифіката ключа допоміжної послуги ЦСК можливе лише для сертифіката, що заблокований, і термін блокування якого не закінчився. Якщо до закінчення терміну блокування сертифікат ключа не був поновлений, то ЦСК скасовує цей сертифікат ключа.

19.3. Дозволяється на розсуд служби сертифікації ЦСК скасувати сертифікат ключа допоміжної послуги ЦСК без його блокування.

19.4. Служба сертифікації ЦСК негайно блокує/скасовує сертифікат ключа допоміжної послуги ЦСК у разі:

втрати або компрометації особистого ключа допоміжної послуги ЦСК;

втрати контролю за особистим ключем допоміжної послуги ЦСК через компрометацію пароля доступу;

зміни відомостей, зазначених у сертифікаті ключа допоміжної послуги ЦСК (зокрема, у зв'язку зі зміною даних ЦСК чи зміною налаштувань під час надання відповідних послуг).

19.5. Служба сертифікації ЦСК негайно поновлює сертифікат ключа допоміжної послуги ЦСК у разі виявлення недостовірності даних про:

втрату або компрометацію особистого ключа допоміжної послуги ЦСК;

втрату контролю за особистим ключем допоміжної послуги ЦСК через компрометацію пароля доступу;

зміни відомостей, зазначених у сертифікаті ключа допоміжної послуги ЦСК.

19.6. Служба реєстрації ЦСК під час зміни статусу сертифіката ключа допоміжної послуги ЦСК:

створює запит на зміну статусу поточного сертифіката ключа допоміжної послуги ЦСК та засвідчує його;

уносить відповідні зміни до реєстру чинних сертифікатів ключів із зазначенням дати, часу та причин зміни статусу сертифіката ключа допоміжної послуги ЦСК;

формує СВС;

поширює інформацію про зміну статусу сертифіката ключа допоміжної послуги згідно з вимогами цього Регламенту.

19.7. Служба сертифікації ЦСК виконує зміну статусу сертифіката допоміжної послуги ЦСК протягом однієї години після прийняття цього рішення відповідно до причин, зазначених у цій главі.

19.8. Документи, що були підставою для зміни статусу сертифіката ключа допоміжної послуги ЦСК, зберігаються в ЦСК.

(17) Блокування/розблокування відповідальних осіб ЦСК може використовуватись як додатковий інструмент адміністрування відповідальних осіб ЦСК.

20.1. Адміністратор безпеки ЦСК може заблокувати обліковий запис відповідальної особи ЦСК. У разі блокування облікового запису відповідальної особи ЦСК вона не має змоги працювати в ПТК ЦСК.

20.2. Блокування відбувається у випадках:

подання заяви відповідальною особою ЦСК про блокування свого облікового запису;

закінчення строку чинності поточного сертифіката ключа відповідальної особи ЦСК у разі несформованого нового сертифіката ключа цієї відповідальної особи ЦСК.

20.3. Відповідальна особа ЦСК подає заяву про блокування свого облікового запису до служби захисту інформації ЦСК у разі:

компрометації особистого ключа, записаного на НКІ відповідальної особи ЦСК;

виходу з ладу (фізичного пошкодження, збоїв під час роботи тощо) НКІ відповідальної особи ЦСК (якщо немає резервної копії цього НКІ);

втрати НКІ відповідальною особою ЦСК;

втрати або компрометації пароля доступу до НКІ відповідальної особи ЦСК.

20.4. Відповідальна особа ЦСК подає заяву про розблокування свого облікового запису до служби захисту інформації ЦСК у разі виявлення недостовірності даних про:

компрометацію особистого ключа, записаного на НКІ відповідальної особи ЦСК;

вихід з ладу НКІ відповідальної особи ЦСК;

втрату НКІ відповідальною особою ЦСК;

втрату або компрометацію пароля доступу до НКІ відповідальної особи ЦСК.

20.5. Відповідальна особа ЦСК подає заяву про блокування/розблокування свого облікового запису до служби захисту інформації ЦСК в усній формі телефоном. У цій заяві зазначаються:

ідентифікаційні дані цієї відповідальної особи ЦСК;

серійний номер сертифіката ключа відповідальної особи ЦСК;

причина блокування облікового запису;

фраза-пароль (обумовлена в процесі створення облікового запису відповідальної особи ЦСК).

20.6. Служба захисту інформації ЦСК здійснює блокування/розблокування облікового запису відповідальної особи ЦСК за заявою в усній формі тільки в разі позитивної автентифікації відповідальної особи ЦСК (збігання наданих у заяві даних з інформацією з реєстру ЦСК).

21.1. Інформаційний ресурс ЦСК призначено для розміщення на ньому відкритої інформації, яка структурно поділяється на:

довідкову інформацію (режим роботи ЦСК, положення Регламенту роботи ЦСК, нормативні документи, зразок договору про надання підписувачам послуг ЕЦП, форми заяв тощо);

сертифікати ключів ЦСК та підписувачів;

СВС, що містить інформацію про статус сертифікатів ключів ЦСК та підписувачів;

клієнтське ПЗ.

21.2. Публікація СВС і сертифікатів ключів ЦСК та підписувачів на інформаційному ресурсі ЦСК здійснюється відразу після їх формування та перевірки власником сертифіката/заявником даних, що вносяться до сертифіката ключа.

21.3. Публікація сертифікатів ключів підписувачів на інформаційному ресурсі ЦСК здійснюється за згодою підписувачів. Інформація про потребу публікації сертифіката ключа підписувача вноситься до його даних під час реєстрації.

21.4. Після закінчення строку чинності сертифіката ключа він видаляється з інформаційного ресурсу ЦСК.

21.5. Довідкова інформація розміщується на інформаційному ресурсі ЦСК на HTTP-сервері у вигляді набору веб-сторінок.

21.6. Сертифікати ключів ЦСК та підписувачів, а також СВС розміщуються:

у складі веб-сторінок на HTTP-сервері інформаційного ресурсу ЦСК;

в інформаційному дереві LDAP-каталогу на LDAP-сервері.

21.7. Публікація сертифікатів ключів ЦСК та підписувачів в інформаційному дереві LDAP-каталогу здійснюється автоматично з інтервалом п'ять хвилин. Публікація СВС в інформаційному дереві LDAP-каталогу здійснюється автоматично з інтервалом синхронізації п'ять хвилин.

21.8. Доступ до HTTP-сервера здійснюється за DNS-ім'ям (зазначити) за протоколом HTTP (номер TCP-порту 80).

21.9. Доступ до LDAP-сервера здійснюється за DNS-ім'ям (зазначити) за протоколом LDAP (зазначити номер TCP-порту).

22.1. У ПТК ЦСК застосовано такі операційні протоколи обміну для підтримки експорту-імпорту даних у ЦСК:

HTTP використовують для надання доступу до інформаційного ресурсу ЦСК;

SMTP, POP3 та IMAP4 використовують для обміну електронними поштовими повідомленнями між ЦСК і підписувачами;

LDAP використовують для отримання доступу до всіх об'єктів і реєстрів загальнодоступної частини БД, коли потрібна більша ширина смуги каналу доступу, ніж у процесі отримання тих самих даних через HTTP, або до інформації з розподіленого набору даних у кількох сегментах інформаційного ресурсу ЦСК, а також для побудови мереж каталогів.

23.1. ЦСК поширює інформацію про статус сертифіката ключа:

за запитом підписувача у реальному часі (OCSP-запити) з використанням OCSP-сервера;

шляхом поширення СВС.

23.2. Взаємодія з OCSP-сервером для отримання послуг визначення статусу сертифікатів ключів забезпечується шляхом використання клієнтського програмного забезпечення. Таке ПЗ повинно відповідати технічним специфікаціям та форматам даних, визначеним ЦСК. Підписувач на свій розсуд може використовувати клієнтське ПЗ, яке вільно поширюється шляхом його розміщення на інформаційному ресурсі ЦСК, розроблене самостійно чи створене сторонніми розробниками.

23.3. ЦСК під час формування СВС забезпечує таке:

наявність у СВС даних щодо часу формування наступного СВС;

накладення ЕЦП на СВС за допомогою особистого ключа ЦСК.

23.4. ЦСК поширює СВС шляхом їх розміщення на інформаційному ресурсі ЦСК та розсилання засобами електронної пошти (e-mail) на адреси, що зазначаються в заяві про формування сертифіката ключа підписувача у ЦСК.

23.5. ЦСК формує та публікує СВС двох типів:

повний список;

частковий список.

23.6. Повний список виходить один раз на тиждень і містить інформацію про всі відкликані сертифікати ключів, які були сформовані в ЦСК за допомогою чинного власного особистого ключа ЦСК. Частковий список формується та поширюється кожні дві години та містить інформацію про всі відкликані сертифікати ключів, статус яких був змінений у межах часу випуску останнього повного списку та часу формування поточного часткового списку.

23.7. Періодичність формування та поширення СВС(18):

(18) Цей пункт є альтернативою до двох попередніх пунктів.

один раз на добу, навіть якщо за час від останнього формування СВС до нього не вносилися зміни, або

протягом двох годин після отримання заяви про зміну статусу сертифіката ключа підписувача, або

протягом однієї години після прийняття рішення про зміну статусу сертифіката ключа допоміжної послуги ЦСК.

Наступний СВС може бути сформований раніше визначеного часу його формування.

23.8. Перед використанням сертифіката ключа підписувача слід перевірити:

статус сертифіката ключа підписувача за поточним СВС або за допомогою OCSP-запиту;

автентичність і цілісність СВС та/чи отриманої OCSP-відповіді.

23.9. Якщо одержати інформацію про статус сертифіката ключа підписувача тимчасово неможливо, то потрібно відмовитися від його використання.

24.1. У ЦСК послуги фіксування часу надаються з використанням TSP-сервера.

24.2. Взаємодія з TSP-сервером для отримання послуг фіксування часу забезпечується шляхом використання клієнтського ПЗ. Таке ПЗ повинно відповідати технічним специфікаціям та форматам даних, визначених ЦСК. Підписувач на свій розсуд може використовувати клієнтське програмне забезпечення, яке поширюється шляхом його розміщення на інформаційному ресурсі ЦСК, розроблене самостійно чи створене сторонніми розробниками.

25.1. Час, який використовується в позначці часу, установлюється з точністю до однієї секунди на момент формування позначки за київським часом, який синхронізований із всесвітнім координованим часом (UTC).

25.2. ПТК ЦСК забезпечує синхронізацію із всесвітнім координованим часом (UTC) з точністю до однієї секунди за допомогою мережевого протоколу NTP. Алгоритм корекції часу в ПТК ЦСК з використанням NTP включає внесення затримок, корекцію частоти годинника і ряд механізмів, що дають змогу досягти необхідної точності під час синхронізації часу в ПТК ЦСК, навіть після тривалих періодів втрати зв'язку із сервером часу. ПТК ЦСК працює за київським часом з автоматичною поправкою на літній та зимовий періоди.

25.3. ЦСК синхронізує час із серверами часу територіального управління Національного банку України, у якому він зареєстрований/акредитований.

25.4. Системний адміністратор ЦСК налаштовує NTP з використанням засобів операційної системи.

25.5. Апаратно-програмний пристрій (зазначити назву), що підтримує протоколи NTP, використовується як зовнішнє джерело точного часу в ПТК ЦСК.

26.1. ЦСК здійснює архівне зберігання таких документів:

сертифікати ключів ЦСК, відповідальних осіб ЦСК та підписувачів (чинні, скасовані, блоковані);

реєстр відповідальних осіб ЦСК та підписувачів;

копії і оригінали документів на папері та документи в електронному вигляді, що подані заявниками (підписувачами, які є працівниками банку) під час реєстрації, формування, зміни статусу сертифіката ключа, зміни даних підписувачів;

СВС;

запити на формування позначок часу і самі позначки часу;

запити на визначення статусу сертифікатів ЦСК та підписувачів і квитанції-відповіді на ці запити;

журнали аудиту та документи ЦСК, у тому числі протоколи роботи ПТК ЦСК.

26.2. ЦСК зберігає документи на паперових носіях у порядку, установленому законодавством України про архіви й архівну справу. ЦСК зберігає електронні копії БД та журналів аудиту на окремих знімних носіях у приміщенні, захищеному від несанкціонованого доступу.

26.3. Сертифікати ключів ЦСК, відповідальних осіб ЦСК, підписувачів та СВС є документами постійного зберігання.

26.4. Інші документи, що підлягають архівному зберіганню, є документами тимчасового зберігання. Термін зберігання архівних документів становить п'ять років.

26.5. Виділення архівних документів до знищення та саме знищення виконуються комісією за безпосередньою участю керівника ЦСК та адміністратора безпеки ЦСК або уповноважених ними відповідальних осіб ЦСК. За фактом проведення процедури знищення архівних документів складається відповідний акт.

26.6. ЦСК надає доступ до необхідного сертифіката та пов'язаних з ним СВС з архівних записів ЦСК за запитом заявників у строки, установлені законодавством України для відповідей на звернення громадян.

27.1. Зміни до цього Регламенту вносяться відповідно до законодавства України.

27.2. У разі внесення змін до цього Регламенту відповідальні особи ЦСК та підписувачі інформуються про це шляхом:

розміщення оновленого Регламенту та об'яви про відповідні зміни на інформаційному ресурсі ЦСК;

розсилання зазначених змін електронною поштою.

27.3. Зміни до цього Регламенту можуть бути проведені внаслідок зміни законодавства України з питань ЕЦП, розвитку відповідних інформаційних технологій, появи нових міжнародних і національних стандартів України, виправлення помилок тощо.