Приложение II. Требования к удостоверяющим центрам, выдающим квалифицированные сертификаты. Директива Европейского Парламента и Совета Европейского Союза 1999/93/ЕС от 13.12.1999 "О правовых основах регулирования электронных подписей в Сообществе" (отменена)

Приложение II

Требования
к удостоверяющим центрам, выдающим квалифицированные сертификаты

Удостоверяющие центры должны:

(a) демонстрировать надежность, необходимую для предоставления сертификационных услуг;

(b) обеспечивать работу быстрой и безопасной справочной системы, безопасной и постоянно действующей службы аннулирования;

(c) обеспечивать возможность точного определения даты и времени выдачи или аннулирования сертификата;

(d) проверять доступными средствами и в соответствии с национальным законодательством идентичность и, при необходимости, какие- либо дополнительные атрибуты лиц, которым выдан квалифицированный сертификат;

(e) нанимать персонал, обладающий экспертными знаниями, опытом и квалификациями, необходимыми для предоставления данных услуг, в частности, компетентностью на управленческом уровне, знаниями технологий электронной подписи, хорошими знаниями действующих процедур безопасности; они также должны применять административные и управленческие процедуры, которые адекватны и соответствуют признанным стандартам;

(f) использовать заслуживающие доверия системы и продукты, защищенные от изменений, и обеспечивающие техническую и криптографическую безопасность процессов, при которых они используются;

(g) принимать меры против подделки сертификатов, и, в случаях, когда удостоверяющие центры создают данные для создания подписей, гарантировать конфиденциальность процесса создания таких данных;

(h) иметь достаточные финансовые ресурсы для того, чтобы функционировать в соответствии с требованиями данной Директивы, в частности, чтобы нести риски ответственности за ущерб, например путем применения соответствующего страхования;

(i) записывать всю необходимую информацию, касающуюся квалифицированных сертификатов, за соответствующий период времени, в частности для целей обеспечения доказательств сертификации в правовых процедурах. Такие записи могут производиться электронным способом.

(j) не хранить или копировать данные для создания подписей лиц, которым удостоверяющий центр предоставляет услуги управления ключами;

(k) прежде чем вступать в договорные отношения с лицом, которому необходим сертификат для подтверждения его электронной подписи, информировать это лицо с помощью надежных средств коммуникации о точных сроках и условиях, относящихся к использованию сертификата, включая ограничения его использования, данные о прохождении добровольных процедур аккредитации и процедурах обжалования и урегулирования споров. Такая информация, которая может быть передана электронным способом, должна быть написана и возможна к прочтению на понятном языке. Соответствующие части такой информации также должны быть доступны по запросу третьих сторон, имеющих дело с данным сертификатом.

(l) использовать заслуживающие доверия системы хранения сертификатов в форме, позволяющей провести их проверку, так, чтобы:

- только авторизованные лица могли получать доступ и вносить изменения;

- информация могла быть проверена на аутентичность;

- сертификаты, свободно доступные для исправления только в тех случаях, когда владелец сертификата дал на это согласие, и

- любые технические изменения, угрожающие нарушением этих требований безопасности, были видны оператору.