Статья 24. Требования в отношении квалифицированных поставщиков удостоверительных сервисов. Регламент Европейского Парламента и Совета Европейского Союза 910/2014 от 23.07.2014 об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС

Статья 24
Требования в отношении квалифицированных поставщиков удостоверительных сервисов

1. При выдаче сертификата для квалифицированного удостоверительного сервиса квалифицированный поставщик удостоверительных сервисов проверяет, принимая соответствующие меры согласно национальному законодательству, личность и в соответствующих случаях конкретные характеристики физического или юридического лица, которому выдается квалифицированный сертификат.

Квалифицированный поставщик удостоверительных сервисов проверяет указанную в первом подпараграфе информацию либо непосредственно, либо с привлечением третьего лица в соответствии с национальным законодательством:

(а) при личном присутствии физического лица или уполномоченного представителя юридического лица;

(b) удаленно, используя средство электронной идентификации, которое подразумевало до выдачи квалифицированного сертификата необходимость личного присутствия физического лица или уполномоченного представителя юридического лица и которое соответствует требованиям уровня безопасности "существенный" или "высокий" согласно Статье 8; либо

(с) с помощью сертификата квалифицированной электронной подписи или печати, выданного в соответствии с требованиями пунктов (а) или (b);

(d) используя другие средства идентификации, признаваемые на национальном уровне и обеспечивающие эквивалентный уровень гарантии в отношении личного присутствия. Эквивалентный уровень должен подтверждаться органом, проводящим проверку соответствия.

2. Квалифицированный поставщик удостоверительных сервисов, предоставляющий квалифицированные удостоверительные сервисы, обязан:

(а) информировать надзорный орган о любых изменениях в предоставлении квалифицированных удостоверительных сервисов и намерении прекратить соответствующую деятельность;

(b) обеспечивать наличие у своих сотрудников, а в соответствующих случаях также поставщиков, необходимых знаний, надежности, опыта и квалификации и прохождения ими достаточной подготовки в области безопасности и правил защиты персональных данных, а также применять административные и управленческие процедуры, соответствующие европейским или международным стандартам;

(с) с учетом ответственности за причинение ущерба в соответствии со Статьей 13 обеспечивать наличие достаточных финансовых ресурсов или страхования ответственности согласно национальному законодательству;

(d) до вступления в договорные отношения в четкой и понятной форме подробно проинформировать любое лицо, намеревающееся использовать квалифицированный удостоверительный сервис, об условиях использования соответствующего сервиса, включая любые ограничения использования;

(е) использовать надежные системы и продукты, защищенные от изменений, и обеспечивать техническую безопасность и надежность поддерживающихся ими процессов;

(f) использовать надежные системы для хранения предоставленных данных в форме, которая бы обеспечивала возможность их проверки, с тем чтобы:

(i) данные были общедоступны только для получения и только при наличии согласия лица, к которому эти данные относятся;

(ii) только уполномоченные лица могли бы вносить изменения в хранимые данные;

(iii) данные могли быть проверены с точки зрения аутентичности;

(g) принимать необходимые меры для защиты от подделки и хищения данных;

(h) документировать и хранить в течение надлежащего периода времени, в том числе после прекращения деятельности в качестве квалифицированного поставщика удостоверительных сервисов, всю необходимую информацию относительно выдачи и получения данных квалифицированным поставщиком удостоверительных сервисов, в частности, для представления доказательств в ходе судебного разбирательства и для обеспечения непрерывности оказания услуги. Хранение может осуществляться в электронном виде;

(i) обеспечивать наличие обновляемого по мере необходимости плана прекращения деятельности для обеспечения непрерывности сервисов в соответствии с положениями, которые проверяет надзорный орган согласно пункту (i) Статьи 17(4);

(j) обеспечивать законную обработку персональных данных в соответствии с Директивой 95/46/ЕС;

(k) в отношении выдаваемых квалифицированным поставщиком удостоверительных сервисов квалифицированных сертификатов - создать и обновлять при необходимости базу данных сертификатов.

3. Если квалифицированный поставщик удостоверительных сервисов, осуществляющий выдачу квалицированных сертификатов, принимает решение отозвать сертификат, он должен занести соответствующую информацию в свою базу данных сертификатов и своевременно опубликовать данные об отзыве сертификата в любом случае не позднее 24 часов с момента получения соответствующего запроса. Отзыв становится действителен немедленно после опубликования.

4. В отношении параграфа 3 квалифицированные поставщики удостоверительных сервисов, осуществляющие выдачу квалифицированных сертификатов, должны предоставлять любой полагающейся стороне информацию о статусе (действителен или был отозван) всех выданных ими квалифицированных сертификатов. Такая информация должна быть доступна в отношении как минимум каждого отдельного сертификата в любое время, в том числе и после прекращения действия сертификата, автоматизированным способом, который должен быть надежным, бесплатным и эффективным.

ГАРАНТ:

Статья 24(5) применяется с 17 сентября 2014 г.

5. Европейская Комиссия может принимать имплементационные акты для установления регистрационных номеров стандартов в отношении надежных систем и продуктов, соответствующих требованиям пунктов (е) и (f) настоящей Статьи. Соблюдение указанных требований настоящей Статьи презюмируется, если системы и продукты соответствуют таким стандартам. Такие имплементационные акты принимаются в соответствии с процедурой проверки, установленной Статьей 48(2).