Rozdział 4
Szczegółowe warunki techniczne i organizacyjne, które muszą spełnić kwalifikowane podmioty świadczące usługi certyfikacyjne
§ 22. Kwalifikowany podmiot świadczący usługi certyfikacyjne zapewnia, że bezpieczny podpis elektroniczny oraz poświadczenie elektroniczne są tworzone w oparciu o algorytmy szyfrowe i funkcje skrótu określone w załączniku nr 1 do rozporządzenia.
§ 23. Kwalifikowane certyfikaty lub znaczniki czasu są wydawane przez kwalifikowane podmioty świadczące usługi certyfikacyjne, zgodnie z wybraną przez podmiot i określoną we wniosku o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne polityką certyfikacji.
§ 24. 1. Wydając kwalifikowany certyfikat, podmiot świadczący usługi certyfikacyjne:
1) potwierdza tożsamość osoby i prawdziwość danych identyfikacyjnych zawartych w zgłoszeniu certyfikacyjnym oraz, w przypadkach gdy jest to konieczne, potwierdza, że dane służące do składania bezpiecznego podpisu elektronicznego komplementarne z danymi służącymi do weryfikacji bezpiecznego podpisu elektronicznego znajdującymi się w zgłoszeniu certyfikacyjnym znajdują się w posiadaniu osoby starającej się o kwalifikowany certyfikat;
2) zapewnia, że zgłoszenie certyfikacyjne będzie zawierało czas jego przygotowania z minimalną dokładnością do jednej minuty, bez konieczności synchronizacji czasu;
3) zapewnia, że zgłoszenie certyfikacyjne będzie opatrzone podpisem elektronicznym Inspektora do spraw Rejestracji, o którym mowa w § 36 ust. 2 pkt 2, zapewniającym integralność podpisanych danych.
2. Czas początku ważności kwalifikowanego certyfikatu powinien być zsynchronizowany z czasem, o którym mowa w § 31, i nie może być wcześniejszy niż moment jego wydania.
§ 25. Kwalifikowany podmiot świadczący usługi certyfikacyjne, przetwarzając klucze infrastruktury lub dane służące do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego, zapewnia, aby:
1) dane, których ujawnienie spowoduje brak skuteczności mechanizmów zabezpieczających, w szczególności prywatne klucze infrastruktury i dane służące do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego, były wysyłane drogą elektroniczną w postaci zaszyfrowanej zapewniającej poufność tych danych lub przez przekazywanie modułów kluczowych lub komponentów technicznych bezpiecznymi kanałami łączności;
2) dane służące do weryfikacji bezpiecznego podpisu lub poświadczenia elektronicznego i publiczne klucze infrastruktury były wysyłane do użytkowników w sposób zapewniający ich integralność i autentyczność, przy czym samo zastosowanie zaświadczeń certyfikacyjnych, w których pola: wydawca i właściciel, o których mowa w załączniku nr 2 do rozporządzenia, są identyczne, nie zapewnia wystarczającego poziomu pewności co do autentyczności danych lub klucza.
§ 26. 1. Serwery oraz stacje robocze systemu teleinformatycznego wykorzystywane przez kwalifikowany podmiot świadczący usługi certyfikacyjne do świadczenia usług certyfikacyjnych łączy się za pomocą logicznie wydzielonej, co najmniej dwusegmentowej sieci wewnętrznej.
2. Sieć, o której mowa w ust. 1, musi spełniać następujące wymagania:
1) dostęp do sieci z zewnątrz odbywa się tylko za pośrednictwem serwerów zlokalizowanych w strefie, w której serwery w niej zgromadzone mogą kontaktować się bez konieczności użycia śluzy bezpieczeństwa tylko między sobą, natomiast w przypadku transmisji informacji z segmentem sieci wewnętrznej muszą korzystać z pośrednictwa wewnętrznej śluzy bezpieczeństwa; w przypadku transmisji z zewnętrzną siecią teleinformatyczną muszą korzystać z pośrednictwa zewnętrznej śluzy bezpieczeństwa;
2) segment sieci, w którym znajduje się serwer dokonujący poświadczeń elektronicznych, jest oddzielony od segmentu podłączonego do strefy, o której mowa w pkt 1, za pomocą śluzy bezpieczeństwa lub urządzenia pośredniczącego w wymianie danych między siecią wewnętrzną i sieciami zewnętrznymi, rozpoznającego dane przychodzące spoza sieci wewnętrznej na podstawie adresu i portu docelowego i rozsyłającego je do odpowiednich adresów w sieci wewnętrznej;
3) śluzy bezpieczeństwa sieci konfiguruje się w taki sposób, że pozwalają na realizację wyłącznie tych protokołów i usług, które są niezbędne do realizacji usług certyfikacyjnych.
3. Śluzy bezpieczeństwa, o których mowa w ust. 2 pkt 1, muszą posiadać co najmniej klasę E3 według normy, o której mowa w § 49 ust. 2 pkt 2, lub zapewniać co najmniej taki sam stopień bezpieczeństwa.
§ 27. Dane służące do składania poświadczenia elektronicznego kwalifikowanych certyfikatów, wykorzystywane przez kwalifikowany podmiot świadczący usługi certyfikacyjne w ramach danej polityki certyfikacji, mogą być dodatkowo wykorzystywane wyłącznie do poświadczania kluczy infrastruktury, list CRL, list unieważnionych zaświadczeń certyfikacyjnych.
§ 28. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty tworzy zapasowy ośrodek przetwarzania danych, zapewniający możliwość wykonywania obowiązku, o którym mowa w § 29, w przypadku awarii podstawowych urządzeń.
§ 29. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty zapewnia możliwość ich unieważnienia oraz tworzenia i publikowania list CRL i list unieważnionych zaświadczeń certyfikacyjnych również w przypadku awarii, w szczególności przez użycie zapasowego ośrodka przetwarzania danych, z zachowaniem obowiązku określonego w § 33 ust. 3.
§ 30. 1. Poświadczenia elektroniczne, kwalifikowane certyfikaty, listy CRL, listy unieważnionych zaświadczeń certyfikacyjnych oraz znaczniki czasu powinny spełniać wymagania zawarte w odpowiednich Polskich Normach, a w razie ich braku - wymagania określone w dokumentach, o których mowa w § 49:
1) w ust. 2 pkt 3-5 - dla poświadczeń elektronicznych;
2) w ust. 2 pkt 6 - dla znaczników czasu;
3) w ust. 1 pkt 3 lub ust. 2 pkt 7 - dla kwalifikowanych certyfikatów, list CRL oraz list unieważnionych zaświadczeń certyfikacyjnych.
2. W przypadku gdy bezpieczne urządzenie do składania lub weryfikacji podpisów elektronicznych stosuje inny niż określony w ust. 1 pkt 1 format podpisu elektronicznego, kwalifikowany podmiot świadczący usługi certyfikacyjne, który umieścił takie urządzenie w wykazie, o którym mowa w art. 10 ust. 1 pkt 8 ustawy, format ten rejestruje i opatruje identyfikatorem obiektu zawartym w odpowiednim atrybucie podpisu, o ile taki format nie został wcześniej zarejestrowany i opatrzony identyfikatorem obiektu przez inny podmiot.
3. Szczegółowy opis struktur danych, o których mowa w ust. 1, zapisuje się przy użyciu formalnej notacji określonej w normie wskazanej w § 49 ust. 1 pkt 1.
4. Szczegółowe opisy struktur danych, o których mowa w ust. 1 i 2, wykorzystywane przez kwalifikowany podmiot świadczący usługi certyfikacyjne udostępnia się nieodpłatnie odbiorcy usług certyfikacyjnych na jego wniosek.
§ 31. Kwalifikowany podmiot świadczący usługi certyfikacyjne wykorzystujący przy świadczeniu usług oznaczenie czasu, w szczególności przy znakowaniu czasem, tworzeniu rejestrów zdarzeń oraz tworzeniu listy CRL, stosuje rozwiązania zapewniające synchronizację z Międzynarodowym Wzorcem Czasu (Coordinated Universal Time), zwanym dalej "UTC", z dokładnością do 1 sekundy.
§ 32. 1. Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty zapewnia możliwość zgłoszenia wniosku o unieważnienie kwalifikowanego certyfikatu przez całą dobę.
2. Procedury zgłoszenia, o którym mowa w ust. 1, uzgadnia się z osobą ubiegającą się o wydanie kwalifikowanego certyfikatu, najpóźniej w momencie jego wydania.
3. Posiadacza kwalifikowanego certyfikatu informuje się o konieczności niezwłocznego zgłoszenia wniosku o unieważnienie kwalifikowanego certyfikatu w momencie podejrzenia utraty lub ujawnienia swoich danych służących do składania bezpiecznego podpisu elektronicznego innej osobie.
§ 33. 1. Lista CRL wydana w ramach polityki certyfikacji powinna zapewnić określenie czasu unieważnienia lub zawieszenia kwalifikowanego certyfikatu z dokładnością do jednej sekundy.
2. Oprogramowanie stosowane do unieważniania lub zawieszania kwalifikowanych certyfikatów i unieważniania zaświadczeń certyfikacyjnych dokonuje automatycznie zapisu czasu unieważnienia lub zawieszenia i umieszcza go odpowiednio na liście CRL lub liście unieważnionych zaświadczeń certyfikacyjnych, używając do tego czasu rzeczywistego.
3. Czas między odebraniem zgłoszenia o unieważnieniu lub zawieszeniu kwalifikowanego certyfikatu a opublikowaniem listy CRL nie może być dłuższy niż jedna godzina.
4. Zaktualizowana lista CRL, o której mowa w ust. 1, jest wydawana nie rzadziej niż raz dziennie.
5. Dostęp do list CRL i list unieważnionych zaświadczeń certyfikacyjnych dla odbiorców usług certyfikacyjnych jest nieodpłatny.
§ 34. Kwalifikowany podmiot świadczący usługi certyfikacyjne zapewnia, aby komponenty techniczne, stosowane przez ten podmiot do świadczenia usług w ramach danej polityki certyfikacji, nie były stosowane do żadnego innego celu, w tym do świadczenia usług w ramach innej polityki certyfikacji, oraz zapewnia, że do świadczenia usługi znakowania czasem i wydawania kwalifikowanych certyfikatów zostaną użyte oddzielne komponenty techniczne.
§ 35. 1. W systemie teleinformatycznym wykorzystywanym przez kwalifikowany podmiot świadczący usługi certyfikacyjne do tworzenia danych służących do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego stosuje się mechanizmy zabezpieczające przed nieupoważnionym dostępem.
2. Każdy dostęp do systemu jest monitorowany, a każde użycie systemu w celu wygenerowania danych służących do składania bezpiecznego podpisu elektronicznego jest rejestrowane.
§ 36. 1. Kwalifikowany podmiot świadczący usługi certyfikacyjne zapewnia szczegółowe udokumentowanie i opisanie wszystkich elementów stosowanego przez niego systemu teleinformatycznego, bezpośrednio związanych ze świadczeniem usług certyfikacyjnych.
2. Kwalifikowany podmiot świadczący usługi certyfikacyjne zapewnia obsługę systemów teleinformatycznych przez:
1) osoby nadzorujące wdrożenie i stosowanie wszystkich procedur bezpiecznej eksploatacji systemów teleinformatycznych wykorzystywanych przy świadczeniu usług certyfikacyjnych, zwane dalej "Inspektorami Bezpieczeństwa";
2) osoby, które zatwierdzają przygotowane zgłoszenia certyfikacyjne lub potwierdzają tworzenie listy CRL, zwane dalej "Inspektorami do spraw Rejestracji";
3) osoby, które instalują, konfigurująi zarządzają systemem i siecią teleinformatyczną, zwane dalej "Administratorami Systemu";
4) osoby, które wykonują stałą obsługę systemu teleinformatycznego, w tym wykonujące kopie zapasowe, zwane dalej "Operatorami Systemu";
5) osoby, które analizują zapisy rejestrów zdarzeń mających miejsce w systemach teleinformatycznych wykorzystywanych przy świadczeniu usług certyfikacyjnych, zwane dalej "Inspektorami do spraw Audytu".
3. Funkcja, o której mowa w ust. 2 pkt 1, nie może być łączona z żadną z funkcji wymienionych w ust. 2 pkt 3 i 4.
4. Funkcja, o której mowa w ust. 2 pkt 5, nie może być łączona z żadną z funkcji wymienionych w ust. 2 pkt 1-4.
§ 37. 1. Systemy i sieci teleinformatyczne wykorzystywane przez kwalifikowany podmiot świadczący usługi certyfikacyjne przy świadczeniu usług certyfikacyjnych powinny umożliwiać rejestrowanie zdarzeń zapisanych w rejestrach zdarzeń.
2. Przy tworzeniu rejestrów zdarzeń stosuje się następujące zasady: 1) w rejestrach zdarzeń zapisuje się informacje dotyczące:
a) żądania świadczenia usług certyfikacyjnych normalnie udostępnianych przez system lub usług nie wykonywanych przez system, informacji o wykonaniu lub niewykonaniu usługi oraz o przyczynie jej niewykonania,
b) istotnych zdarzeń związanych ze zmianami w środowisku systemu, w tym w podsystemie zarządzania kluczami i certyfikatami, w szczególności tworzenia kont i rodzaju przydzielanych uprawnień,
c) instalacji nowego oprogramowania lub aktualizacje,
d) rozpoczęcia i przerwania funkcji rejestrujących zdarzenia,
e) zmian w konfiguracji funkcji rejestrujących zdarzenia, w tym w szczególności każdą modyfikację czasu systemowego,
f) czasu tworzenia kopii zapasowych,
g) czasu archiwizowania rejestrów zdarzeń,
h) zamykania, otwierania i ponownego uruchamiania po zamknięciu systemu, i) negatywnych wyników testów, o których mowa w § 15 ust. 8,
j) wszystkich zgłoszeń unieważnienia kwalifikowanego certyfikatu oraz wszystkich wiadomości z tym związanych, a w szczególności wysłane i odebrane komunikaty o zgłoszeniach przesyłane w relacjach posiadacza kwalifikowanego certyfikatu z kwalifikowanym podmiotem świadczącym usługi certyfikacyjne;
2) każdy wpis do rejestru zdarzeń zawiera co najmniej następujące informacje:
a) datę i czas wystąpienia zdarzenia z dokładnością do jednej sekundy,
b) rodzaj zdarzenia,
c) identyfikator lub inne dane pozwalające na określenie osoby odpowiedzialnej za zaistnienie zdarzenia,
d) określenie, czy zdarzenie dotyczy operacji zakończonej sukcesem czy błędem;
3) systemy teleinformatyczne stosowane przez kwalifikowane podmioty świadczące usługi certyfikacyjne umożliwiają przeglądanie rejestrów zdarzeń co najmniej w zakresie informacji, o których mowa w pkt 2, i zapewniają uprawnionym osobom dokonującym przeglądu zawartości czytelną formę zapisów umożliwiającą ich interpretację;
4) zmiany zapisów dotyczących zarejestrowanych zdarzeń są zabronione;
5) system zawiera mechanizmy zapewniające zachowanie integralności rejestru zdarzeń w stopniu uniemożliwiającym ich modyfikację po przeniesieniu do archiwum.
3. Rejestry zdarzeń dotyczące instalacji nowego oprogramowania lub jego aktualizacji, archiwizacji lub kopii zapasowych mogą być tworzone w formie innej niż elektroniczna.
§ 38. 1. Kwalifikowany podmiot świadczący usługi certyfikacyjne tworzy kopie zapasowe rejestrów zdarzeń.
2. Kopie zapasowe tworzy się z wykorzystaniem technik zapewniających integralność danych.
3. Przy tworzeniu kopii zapasowych powinny być obecne co najmniej dwie spośród osób, o których mowa w § 36 ust. 2.
4. Czynności Operatora Systemu polegające na tworzeniu kopii zapasowych nadzoruje bezpośrednio Inspektor Bezpieczeństwa.
§ 39. W celu rozpoznania ewentualnych nieuprawnionych działań Administrator Systemu i Inspektor do spraw Audytu analizują informacje, o których mowa w § 37 ust. 2 pkt 1, przynajmniej raz w każdym dniu roboczym.
§ 40. Kwalifikowany podmiot świadczący usługi certyfikacyjne, archiwizując informacje:
1) przechowuje przez co najmniej 20 lat:
a) wszystkie kwalifikowane certyfikaty i zaświadczenia certyfikacyjne, których był wydawcą,
b) wszystkie listy CRL i listy unieważnionych zaświadczeń certyfikacyjnych, których był wydawcą,
c) umowy o świadczenie usług certyfikacyjnych, o których mowa w art. 14 ustawy,
d) dokumenty, o których mowa w § 21 ust. 1 pkt 2 i 3;
2) przechowuje przez co najmniej 3 lata wszystkie stworzone przez siebie rejestry zdarzeń w sposób umożliwiający ich elektroniczne przeglądanie.
§ 41. Kwalifikowany podmiot świadczący usługi certyfikacyjne jest obowiązany zatrudniać pracowników posiadających wiedzę, kwalifikacje i doświadczenie odpowiednie do pełnienia funkcji związanych z usługami certyfikacyjnymi, w szczególności obejmujące dziedziny:
1) automatycznego przetwarzania danych w sieciach i systemach teleinformatycznych;
2) mechanizmów zabezpieczania sieci i systemów teleinformatycznych;
3) kryptografii, podpisów elektronicznych i infrastruktury klucza publicznego;
4) sprzętu i oprogramowania stosowanego do elektronicznego przetwarzania danych.
§ 42. 1. Kwalifikowany podmiot świadczący usługi certyfikacyjne w ramach polityk certyfikacji zapewnia stosowanie środków ochrony fizycznej pomieszczeń wszędzie tam, gdzie są tworzone i używane dane służące do składania bezpiecznego podpisu lub poświadczenia elektronicznego oraz są przechowywane informacje związane z niezaprzeczalnością bezpiecznego podpisu elektronicznego weryfikowanego na podstawie wydanych przez te podmioty kwalifikowanych certyfikatów, w szczególności umowy, o której mowa w art. 14 ustawy.
2. Środki ochrony fizycznej pomieszczeń, o których mowa w ust. 1, obejmują co najmniej instalacje systemów kontroli dostępu lub procedur kontroli wejścia, systemu ochrony przeciwpożarowej oraz systemu alarmowego włamania i napadu klasy SA3 lub wyższej, zgodnie z właściwą Polską Normą.
3. Kwalifikowany podmiot świadczący usługi certyfikacyjne wprowadza zabezpieczenia chroniące system teleinformatyczny przed zagrożeniami fizycznymi i środowiskowymi, polegające na:
1) fizycznej ochronie dostępu;
2) ochronie przed skutkami naturalnych katastrof;
3) ochronie przeciwpożarowej;
4) ochronie przed awarią infrastruktury;
5) ochronie przed zalaniem wodą, kradzieżą, włamaniem i napadem;
6) odtwarzaniu systemu po katastrofie.
§ 43. W zakresie świadczenia usługi znakowania czasem do kwalifikowanego podmiotu świadczącego usługi certyfikacyjne nie stosuje się wymagań określonych w rozporządzeniu dotyczących zgłoszeń certyfikacyjnych, punktów rejestracji i list CRL.
§ 44. W przypadku świadczenia usługi znakowania czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne, każdy znacznik czasu wystawiony przez taki podmiot powinien zawierać identyfikator polityki certyfikacji, zgodnie z którą został wydany.
§ 45. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na znakowaniu czasem może sprawdzać autentyczność zgłoszenia żądania usługi i nie realizować jej, gdy zgłoszenie nie odpowiada prawidłowemu formatowi lub pochodzi od osoby, która nie jest uprawniona do odbioru tej usługi lub której tożsamość nie może być potwierdzona.
§ 46. Kwalifikowany podmiot świadczący usługę znakowania czasem dołącza do każdej wysłanej w ramach tej usługi wiadomości elektronicznej niepowtarzalny numer seryjny.
§ 47. Kwalifikowany podmiot świadczący usługi certyfikacyjne polegające na znakowaniu czasem świadczy tę usługę wyłącznie za pomocą wytworzonych specjalnie dla tej usługi danych służących do składania poświadczenia elektronicznego.
§ 48. Kwalifikowany podmiot świadczący usługę znakowania czasem zapisuje w rejestrach zdarzeń, o których mowa w § 37, informacje o błędach w działaniu źródła czasu, o którym mowa w § 31.
§ 49. 1. W Polskim Komitecie Normalizacyjnym są udostępniane następujące normy międzynarodowe:
1) norma ISO/IEC 8824 - Information technology - Open Systems Interconnection -Specification of Abstract Syntax Notation One (ASN.l), wydana przez International Organization for Standardization;
2) norma ISO/IEC 15946-2 - Information technology - Security techniąues -Cryptographic techniąues based on elliptic curves - Part 2: Digital signatures, do wydania przez International Organization for Standardization;
3) norma ISO/IEC 9594-8 - Information technology - Open Systems Interconnection -The Directory: Authentication framework;
4) norma ISO/IEC 15408 - Information technology - Security techniąues - Evaluation criteria for IT security, wydana przez International Organization for Standardization;
5) norma PN-ISO/IEC 9834 - Technika informatyczna - Współdziałanie systemów otwartych - Procedury organów rejestracji OSI;
6) norma PN-EN 45014 - Ogólne kryteria deklaracji zgodności składanej przez dostawcę;
7) norma ISO 3166 - Codes for the representation of countries and their subdivisions;
8) norma ISO/IEC 4217 - Codes for representation of currencies and funds.
2. W siedzibie ministerstwa obsługującego ministra właściwego do spraw gospodarki są udostępniane następujące międzynarodowe normy, standardy, zalecenia, raporty i specyfikacje techniczne:
1) norma ANSI X9.17 - Financial Institution Key Management (Wholesale), wydana przez American National Standards Institute;
2) ITSEC v 1.2 wydany przez Komisję Europejską, Dyrektoriat XIII/F, w 1991 r.;
3) specyfikacja techniczna ETSI TS 101 733 - Electronic Signature Format, wydana przez European Telecommunications Standards Institute;
4) specyfikacja techniczna ETSI TS 101 903 - XML Advanced Electronic Signatures (XAdES), wydana przez European Telecommunications Standards Institute;
5) dokument PKCS#7 Cryptographic Message Syntax Standard, wydany przez RSA Security;
6) specyfikacja techniczna ETSI TS 101 861 - Time Stamping Profile, wydana przez European Telecommunications Standards Institute;
7) zalecenie ITU-T Recommendation X.5O9 - Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks, wydane również jako norma międzynarodowa ISO/IEC 9594-8 - Information technology - Open Systems Interconnection - The Directory: Authentication framework;
8) norma FIPS PUB 140 Security Reąuirements for Cryptographic Modules, wydana przez National Institute of Standards and Technology.