Rozdział 3
Podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów
§ 12. Maksymalny okres ważności kwalifikowanego certyfikatu przewidziany przez politykę certyfikacji wynosi nie więcej niż 2 lata.
§ 13. 1. Ważność kwalifikowanego certyfikatu i znacznika czasu określa się na podstawie odpowiedniej ścieżki certyfikacji.
2. Ścieżka certyfikacji zostaje zweryfikowana poprawnie, gdy wszystkie zaświadczenia certyfikacyjne i kwalifikowane certyfikaty zawarte w ścieżce, o której mowa w ust. 1, są w określonym czasie ważne i posiadają identyfikatory polityk certyfikacji z określonego przez weryfikującego zbioru dopuszczalnych polityk certyfikacji.
3. Ścieżka certyfikacji, o której mowa w ust. 1, zawiera zaświadczenie certyfikacyjne, określone w art. 23 ust. 2 ustawy.
§ 14. 1. Listy unieważnionych i zawieszonych certyfikatów, zwane dalej "listami CRL", listy unieważnionych zaświadczeń certyfikacyjnych oraz kwalifikowane certyfikaty, wydawane w ramach polityk certyfikacji, zawierają wszystkie obligatoryjne pola wymienione w załączniku nr 2 do rozporządzenia.
2. Polityka certyfikacji może dopuszczać, aby kwalifikowane certyfikaty, wydawane w ramach polityki certyfikacji, zawierały dodatkowe pola rozszerzeń oznaczane jako niekrytyczne, których wartości nie muszą być rozpoznawane przez bezpieczne urządzenia służące do składania podpisu elektronicznego i bezpieczne urządzenia do weryfikacji podpisu elektronicznego,
§ 15. 1. Polityki certyfikacji dla kwalifikowanych certyfikatów określają parametry algorytmów szyfrowych używanych do świadczenia usług certyfikacyjnych przez kwalifikowany podmiot świadczący usługi certyfikacyjne, co najmniej takie same jak określone w wymaganiach dla algorytmów szyfrowych.
2. Wymagania dla algorytmów szyfrowych określa załącznik nr 3 do rozporządzenia.
3. Polityki certyfikacji wskazują identyfikatory obiektów dotyczących struktury użycia algorytmów szyfrowych przewidzianych dla danej polityki certyfikacji wraz z funkcjami skrótu.
4. Liczby będące parametrami algorytmów szyfrowych, które według specyfikacji algorytmu są liczbami pierwszymi, powinny wypełniać kryteria testów sprawdzających cechy liczb pierwszych w ten sposób, że mogą dawać błędny wynik z prawdopodobieństwem nie większym niż 2^-60.
5. Procedury stosowane przy tworzeniu danych służących do składania lub weryfikacji bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego używają jako argumentu ciągu losowego pochodzącego ze źródła generującego ciąg losowy w oparciu o zjawisko fizyczne. Argument ciągu losowego musi być tej samej długości co parametry składające się na tworzone dane.
6. Procedury stosowane przy tworzeniu losowych parametrów algorytmów szyfrowych, o których mowa w ust. 1, różnych dla każdego użycia algorytmu w celu złożenia bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego, używają jako argumentu ciągu losowego pochodzącego ze źródła generującego ciąg losowy w oparciu o zjawisko fizyczne lub ciągu pseudolosowego. W obu przypadkach należy zapewnić, że prawdopodobieństwo przypadkowego, ponownego wygenerowania takiego samego ciągu było nie większe niż większa z dwóch wartości 2^-128 lub 2^-k, przy czym przez "k" należy rozumieć określoną w bitach długość tworzonych losowych parametrów.
7. Ciąg pseudolosowy, o którym mowa w ust. 6, jest tworzony w oparciu o generator określony w normie, o której mowa w § 49 ust. 2 pkt 1, lub w oparciu o inny generator, zapewniający co najmniej takie samo bezpieczeństwo stosowania.
8. Badanie jakości generatorów losowych opartych na zjawiskach fizycznych, o których mowa w ust. 5 i 6, wykonuje się z wykorzystaniem proponowanych testów statystycznych lub z wykorzystaniem innego zestawu testów, zapewniających co najmniej takie samo bezpieczeństwo stosowania generatorów.
9. Wykaz testów statystycznych proponowanych do badania jakości generatorów losowych zawiera załącznik nr 4 do rozporządzenia.
§ 16. Polityka certyfikacji określa sposób stosowania przez kwalifikowane podmioty świadczące usługi certyfikacyjne kluczy infrastruktury do zapewnienia poufności i integralności podczas transmisji lub przechowywania zgłoszeń certyfikacyjnych, kluczy użytkowników, rejestrów lub dzienników zdarzeń do weryfikacji dostępu do urządzeń i oprogramowania lub do dystrybucji i uzgadniania kluczy w odpowiednich protokołach.
§ 17. Polityka certyfikacji określa minimalne parametry asymetrycznych algorytmów szyfrowych stosujących klucze infrastruktury, o których mowa w § 16, odpowiednie do wymagań zawartych w załączniku nr 3 do rozporządzenia, jeżeli podmiot używa algorytmów w nim wymienionych.
§ 18. 1. Polityka certyfikacji zapewnia, że dane służące do składania poświadczenia elektronicznego stosowane przez kwalifikowany podmiot świadczący usługi certyfikacyjne do poświadczeń elektronicznych lub klucze chroniące te dane są dzielone na części według schematu progowego stopnia (m, n), gdzie wartość "m" wynosi co najmniej 2, natomiast n > m + 1. Każdą z części przechowuje się w modułach kluczowych.
2. Dane, o których mowa w ust. 1, pojawiają się w pełnej formie wyłącznie w komponencie technicznym.
§ 19. Polityka certyfikacji przewiduje, że klucze infrastruktury wykorzystywane do zapewnienia poufności przekazu podpisywanych danych przez osobę składającą bezpieczny podpis elektroniczny lub do zapewnienia poufności przekazu danych służących do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego przez kwalifikowany podmiot świadczący usługi certyfikacyjne przechowuje się w indywidualnych modułach kluczowych lub komponentach technicznych. Kilka modułów kluczowych lub komponentów technicznych, będących pod kontrolą jednej lub więcej osób, może zawierać te same dane związane z zapewnieniem poufności podpisywanych lub poświadczanych danych.
§ 20. 1. Polityka certyfikacji może przewidywać, że kwalifikowany podmiot świadczący usługi certyfikacyjne może je świadczyć za pośrednictwem podległych punktów rejestracji.
2. Punkty rejestracji mogą zajmować się bezpośrednią obsługą klientów, w szczególności mogą tworzyć zgłoszenia certyfikacyjne i przechowywać dokumenty, o których mowa w § 21 ust. 1 pkt 2 i 3.
§ 21. 1. Polityka certyfikacji, określając minimalne warunki identyfikacji osób, którym są wydawane kwalifikowane certyfikaty, wskazuje, że:
1) kwalifikowane podmioty świadczące usługi certyfikacyjne lub podległe im punkty rejestracji w ramach polityk certyfikacji potwierdzają tożsamość osoby ubiegającej się o wydanie kwalifikowanego certyfikatu na podstawie ważnego dowodu osobistego lub paszportu, z zastrzeżeniem ust. 2;
2) umowę o wydanie kwalifikowanego certyfikatu wnioskodawca podpisuje własnoręcznie;
3) osoba potwierdzająca w imieniu kwalifikowanego podmiotu świadczącego usługi certyfikacyjne tożsamość wnioskodawcy poświadcza dokonanie tego potwierdzenia własnoręcznym podpisem oraz podaniem swojego numeru PESEL w pisemnym oświadczeniu o potwierdzeniu tożsamości wnioskodawcy, z zastrzeżeniem ust. 2.
2. W przypadku gdy osoba ubiegająca się o wydanie kwalifikowanego certyfikatu posiada ważny kwalifikowany certyfikat, potwierdzenie jej tożsamości nie wymaga przedstawienia ważnego dowodu osobistego lub paszportu, a dane niezbędne do zgłoszenia certyfikacyjnego mogą być opatrzone bezpiecznym podpisem elektronicznym tej osoby, o ile posiadany kwalifikowany certyfikat i certyfikat, którego dotyczy zgłoszenie certyfikacyjne, jest wydawany przez ten sam podmiot i w ramach tej samej polityki certyfikacji.
3. Umowa o wydanie kwalifikowanego certyfikatu zawiera co najmniej następujące dane wnioskodawcy:
1) imię, nazwisko;
2) datę i miejsce urodzenia;
3) numer PESEL;
4) serię, numer i rodzaj dokumentu tożsamości oraz oznaczenie organu wydającego dowód osobisty lub paszport, na podstawie którego potwierdzono tożsamość wnioskodawcy.
4. W przypadku, o którym mowa w ust. 2, podmiot świadczący usługi certyfikacyjne sprawdza prawdziwość danych podanych przez osobę ubiegającą się o kwalifikowany certyfikat przez porównanie ich z danymi zawartymi w umowie dotyczącej kwalifikowanego certyfikatu uwierzytelniającego bezpieczny podpis elektroniczny, którego użyto do podpisania umowy.
5. Kwalifikowany podmiot świadczący usługi certyfikacyjne może za zgodą właściciela kwalifikowanego certyfikatu wpisać do kwalifikowanego certyfikatu dodatkowe informacje o jego posiadaczu do pól rozszerzeń, o których mowa w § 14 ust. 2.