РЕГЛАМЕНТ РОБОТИ
КВАЛІФІКОВАНОГО НАДАВАЧА ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ «Дія»

ВСТУП

Перелік скорочень

ЄДР Єдиний державний реєстр юридичних осіб, фізичних осіб – підприємців та громадських формувань
ЄДДР Єдиний державний демографічний реєстр
ІТС Інформаційно-телекомунікаційна система
КЗІ Криптографічний захист інформації
ЗНОК Захищений носій особистих ключів
НКІ Носій ключової інформації
ОС Операційна система
ПЗ Програмне забезпечення
РНОКПП Реєстраційний номер облікової картки платника податків
УНЗР Унікальний номер запису в ЄДДР
ЦОД Центр обробки даних
CMP Certificate Management Protocol
OCSP Online Certificate Status Protocol
TSP Time Stamp Protocol

Терміни та визначення

В цьому регламенті терміни та визначення застосовуються у значеннях, наведених у Цивільному кодексі України, Законі України від 05 жовтня 2017 року № 2155-VIII "Про електронні довірчі послуги", постанові Кабінету міністрів України від 07 листопада 2018 року № 992 «Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг», постанові Кабінету міністрів України від 2 вересня 2020 р. № 785 «Про реалізацію експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія», інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.

Статус Регламенту

Цей регламент є документом кваліфікованого надавача електронних довірчих послуг «Дія» (далі – надавач), що визначає організаційно-методологічні, технічні та технологічні умови діяльності надавача під час надання кваліфікованих електронних довірчих послуг, включаючи політику сертифіката та положення сертифікаційних практик.

Регламент розроблений відповідно до:

  • Закону України від 05 жовтня 2017 року № 2155-VIII “Про електронні довірчі послуги”;
  • Закону України від 22 травня 2003 року № 851 - IV “Про електронні документи та електронний документообіг” (зі змінами);
  • Закону України від 15 травня 2003 року № 755 - IV “Про державну реєстрацію юридичних осіб, фізичних осіб - підприємців та громадських формувань”;
  • Вимоги у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992;
  • Порядку реалізації експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія, затвердженого постановою Кабінету міністрів України від 2 вересня 2020 р. № 785;
  • інших нормативно-правових актів сфери надання електронних довірчих послуг.

Норми цього регламенту поширюються на:

  • працівників головного офісу надавача
  • працівників відокремлених пунктів реєстрації надавача;
  • заявників;
  • підписувачів;
  • створювачів електронної печатки.

Вимоги регламенту є обов’язковими до виконання працівниками головного офісу та відокремлених пунктів реєстрації надавача.

Визнання вимог регламенту заявниками, підписувачами та створювачами електронних печаток обов’язковою умовою та підставою для укладання з ними договору про надання електронних довірчих послуг.

Вимоги регламенту засновані на принципах дотримання прав та виконання обов’язків суб’єктами надання та отримання кваліфікованих довірчих послуг, які наведено в Законі України «Про електронні довірчі послуги».

Будь-яка зацікавлена особа може ознайомитися з положеннями регламенту на офіційному сайті надавача.

Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені цим регламентом, застосовуються правила міжнародного договору.

Внесення змін та доповнень до Регламенту

Внесення змін та доповнень до цього Регламенту здійснюється надавачем відповідно до Вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992.

Про внесення змін та доповнень до цього регламенту, надавач повідомляє заявників, підписувачів, створювачів електронних печаток та інших зацікавлених осіб шляхом розміщення зазначених змін та доповнень на офіційному вебсайті надавача.

Всі зміни та доповнення, внесені надавачем до регламенту, що не пов'язані зі зміною законодавства, набувають чинності через 10 (десять) календарних днів з дня розміщення зазначених змін і доповнень на офіційному вебсайті надавача.

Всі зміни та доповнення, внесені надавачем до регламенту у зв'язку зі зміною законодавства, набувають чинності одночасно зі вступом в силу відповідних нормативно-правових актів, але не раніше моменту опублікування змін на офіційному вебсайті надавача.

1. ЗАГАЛЬНІ ВІДОМОСТІ ПРО НАДАВАЧА

Повні найменування юридичної особи надавача: державне підприємство «ДІЯ», State enterprise «DIIA».

Скорочені найменування юридичної особи: ДП «ДІЯ», SE «DIIA».

Повні найменування надавача: Кваліфікований надавач електронних довірчих послуг «Дія», Qualified Trust Services Provider «DIIA».

Скорочені найменування надавача: КНЕДП «ДІЯ», QTSP «DIIA».

Телефон: +38 067 107-20-41.

Код ЄДРПОУ: 43395033.

Електронна адреса вебсайту надавача: ca.diia.gov.ua, ca.informjust.ua.

Адреса електронної пошти головного офісу надавача: ca@diia.gov.ua, keys@diia.gov.ua, ca@informjust.ua.

Головний офіс надавача представлений окремим підрозділом або позаштатною структурою державного підприємства «ДІЯ» (далі – ДП «ДІЯ»), що здійснює організацію надання кваліфікованих електронних довірчих послуг представництвами надавача та забезпечує виконання вимог законодавства до надавачів.

Представництвами надавача є відокремлені пункти реєстрації, що представлені окремими підрозділами або позаштатними одиницями ДП «ДІЯ», або юридичні чи фізичні особи, які на підставі договору з ДП «ДІЯ», здійснюють реєстрацію підписувачів з дотриманням вимог законодавства у сфері електронних довірчих послуг та захисту інформації.

Договори про надання кваліфікованих електронних довірчих послуг укладаються від імені ДП «ДІЯ» або від імені представництва.

2. ПЕРЕЛІК КВАЛІФІКОВАНИХ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ

Надавач забезпечує надання таких кваліфікованих електронних довірчих послуг:

  • кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки;
  • кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;
  • кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованої електронної позначки часу.

3. ПЕРЕЛІК ПОСАД ТА ФУНКЦІЇ НАЙМАНИХ ПРАЦІВНИКІВ

Найманими працівниками надавача, посадові обов’язки яких безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг у головному офісі надавача, є працівники, на яких покладено функціональні обов’язки:

  • керівника профільного підрозділу надавача;
  • адміністратора реєстрації;
  • адміністратора сертифікації;
  • адміністратора безпеки та аудиту;
  • системного адміністратора.

Керівник профільного підрозділу надавача в межах виконання своїх обов'язків відповідає за організацію та контроль процесів, направлених на забезпечення функціонування, розвитку надавача та захист інформації в ІТС надавача, а саме:

  • контроль за виконанням регламентних процедур з експлуатації та технічного обслуговування ІТС надавача;
  • контроль за впровадженням та забезпеченням функціонування комплексної системи захисту інформації ІТС надавача;
  • контроль за забезпеченням працездатності загальносистемного та спеціального програмного ІТС надавача;
  • забезпечення актуалізації баз даних, створюваних та оброблюваних в ІТС надавача;
  • розгляд та оцінка технічних рішень щодо модернізації ІТС надавача;
  • розробка та узгодження технічних завдань, проектної та експлуатаційної документації ІТС надавача та комплексної системи захисту інформації ІТС надавача;
  • контроль за будівельно-монтажними та пусконалагоджувальними роботами;
  • проведення попередніх випробувань, дослідної експлуатації та введення ІТС надавача в експлуатацію;

Керівник профільного підрозділу надавача безпосередньо приймає участь та контролює процес генерації та резервного копіювання ключів надавача з правами та обов’язками адміністратора сертифікації.

Керівник профільного підрозділу надавача представляє надавача у випадках, передбачених Регламентом роботи центрального засвідчувального органу.

Адміністратор реєстрації відповідає за перевірку документів, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

Основними обов’язками адміністратора реєстрації є:

  • ідентифікація та автентифікація заявників;
  • перевірка заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;
  • встановлення належності відкритого ключа та відповідного йому особистого ключа заявнику;
  • ведення обліку користувачів.

Додатковими обов’язками адміністратора реєстрації є:

  • надання допомоги під час генерації пари ключів підписувача або створювача електронної печатки;
  • обробка запитів на формування та зміну статусу сертифікатів ключів підписувачів;
  • надання консультацій щодо умов та порядку отримання кваліфікованих електронних довірчих послуг;
  • ведення архіву надавача.

Адміністратор сертифікації відповідає за формування кваліфікованих сертифікатів відкритих ключів, ведення електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, збереження та використання особистих ключів надавача, а також створення їх резервних копій.

Основними обов’язками адміністратора сертифікації є:

  • участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;
  • зберігання особистих ключів надавача та їх резервних копій;
  • забезпечення використання особистих ключів надавача під час формування та обслуговування кваліфікованих сертифікатів відкритих ключів надавача та користувачів;
  • перевірка заяв про формування кваліфікованих сертифікатів відкритих ключів надавача на відповідність вимогам регламенту роботи надавача;
  • участь у знищенні особистих ключів надавача;
  • забезпечення ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів користувачів;
  • забезпечення публікації кваліфікованих сертифікатів відкритих ключів користувачів та списків відкликаних сертифікатів на офіційному вебсайті надавача;
  • створення резервних копій кваліфікованих сертифікатів відкритих ключів користувачів;
  • зберігання кваліфікованих сертифікатів відкритих ключів користувачів, їх резервних копій, списків відкликаних сертифікатів та інших важливих ресурсів інформаційно-телекомунікаційної системи надавача.

Додатковими обов’язками адміністратора сертифікації є ведення журналів обліку адміністратора сертифікації, передбачених документацією комплексної системи захисту інформації ІТС надавача.

Адміністратор безпеки та аудиту відповідає за належне функціонування комплексної системи захисту інформації.

Основними обов’язками адміністратора безпеки та аудиту є:

  • участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;
  • контроль за формуванням, обслуговуванням і створенням резервних копій кваліфікованих сертифікатів відкритих ключів надавача, користувачів та списків відкликаних сертифікатів;
  • контроль за зберіганням особистих ключів надавача та їх резервних копій, особистих ключів адміністраторів;
  • участь у знищенні особистих ключів надавача, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;
  • організація розмежування доступу до ресурсів інформаційно-телекомунікаційної системи надавача;
  • забезпечення спостереження за функціонуванням комплексної системи захисту інформації або системи управління інформаційною безпекою (реєстрація подій в інформаційно-телекомунікаційній системі надавача, моніторинг подій тощо);
  • забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою після збоїв, відмов, аварій інформаційно-телекомунікаційної системи надавача;
  • забезпечення режиму доступу до приміщень надавача, в яких розміщена інформаційно-телекомунікаційна система надавача;
  • ведення журналів обліку адміністратора безпеки та аудиту, визначених документацією щодо комплексної системи захисту інформації або звітності, що передбачена системою управління інформаційною безпекою;
  • проведення перевірок журналів аудиту подій, що реєструють технічні засоби інформаційно-телекомунікаційної системи надавача;
  • проведення перевірок відповідності положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;
  • контроль за дотриманням найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;
  • контроль за веденням баз даних надавача;
  • контроль за веденням архіву надавача.

Адміністратор безпеки та аудиту відповідає за проведення перевірок дотримання найманими працівниками надавача та представництв положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою.

Функціональні обов’язки адміністратора безпеки та аудиту надавача покладаються щонайменше на 2-х працівників надавача.

Забороняється суміщення посадових обов’язків адміністратора безпеки та аудиту з іншими посадовими обов’язками, безпосередньо пов’язаними з наданням кваліфікованих електронних довірчих послуг.

Системний адміністратор відповідає за функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) ІТС надавача.

Основними обов’язками системного адміністратора є:

  • організація експлуатації та технічного обслуговування ІТС надавача і адміністрування її технічних засобів;
  • забезпечення функціонування офіційного вебсайту надавача;
  • участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;
  • ведення журналів аудиту подій, що реєструють технічні засоби інформаційно-телекомунікаційної системи надавача;
  • встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення інформаційно-телекомунікаційної системи надавача;
  • встановлення та налагодження штатної підсистеми резервного копіювання бази даних інформаційно-телекомунікаційної системи надавача;
  • забезпечення актуалізації баз даних, створюваних та оброблюваних в інформаційно-телекомунікаційній системі надавача, у зв’язку із збоями.

До складу працівників відокремлених пунктів реєстрації надавача, входять працівники юридичних осіб та фізичні особи - підприємці, які на підставі договору з надавачем  здійснюють реєстрацію підписувачів з дотриманням вимог Закону України «Про електронні довірчі послуги» та законодавства у сфері захисту інформації.

На працівників відокремлених пунктів реєстрації надавача покладено функціональні обов’язки:

  • віддаленого адміністратора реєстрації та оператора реєстрації;
  • відповідального за захист інформації на відокремленому пункті реєстрації;
  • виїзний адміністратор реєстрації.

Віддалений адміністратор реєстрації та оператор реєстрації відповідають за виконання функцій та несуть обов’язки адміністратора реєстрації, визначені у цьому регламенті.

З числа віддалених адміністраторів реєстрації на відокремленому пункті реєстрації призначаються відповідальні за захист інформації.

В межах виконання своїх обов'язків відповідальний за захист інформації на відокремленому пункті реєстрації відповідає за належну експлуатацію комплексу засобів захисту відокремленого пункту реєстрації.

Основними обов'язками відповідального за захист інформації на відокремленому пункті реєстрації є:

  • організація експлуатації та технічного обслуговування апаратних та програмних засобів відокремленого пункту реєстрації;
  • участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації відокремленого пункту реєстрації;
  • контроль за роботою програмного комплексу відокремленого пункту реєстрації;
  • контроль за використанням особистих ключів персоналу відокремленого пункту реєстрації;
  • участь у створенні та введенні в експлуатацію комплексної системи захисту інформації на представництвах.

Допускається виконання функцій відповідального за захист інформації на відокремленому пункті реєстрації системним адміністратором та адміністратором безпеки та аудиту у частині, що не є в протиріч з їх аналогічними функціями по відношенню до інших складових ІТС надавача.

Виїзний адміністратор реєстрації відповідає за перевірку документів, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів та не приймає участі у формування кваліфікованих сертифікатів користувачів.

Основними обов’язками виїзного адміністратора реєстрації є:

  • ідентифікація та автентифікація заявників;
  • перевірка заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;
  • встановлення належності відкритого ключа та відповідного йому особистого ключа заявнику;

Додатковими обов’язками виїзного адміністратора реєстрації є:

  • надання допомоги під час генерації пари ключів підписувача або створювача електронної печатки;
  • надання консультацій щодо умов та порядку отримання кваліфікованих електронних довірчих послуг;
  • передача заяв про формування, блокування, поновлення, скасування кваліфікованих сертифікатів відкритих ключів та запитів на формування сертифікатів ключів підписувачів віддаленому адміністратору реєстратору або оператору реєстрації.

4. ПОЛІТИКА СЕРТИФІКАТА ТА ПОЛОЖЕННЯ СЕРТИФІКАЦІЙНИХ ПРАКТИК

  1. 4.1. Політика сертифіката

    1. 4.1.1. Перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем

      Кваліфіковані сертифікати відкритих ключів, сформованих надавачем дозволено використовувати для:

      •  автентифікації;
      •  перевірки кваліфікованого електронного підпису;
      •  перевірки кваліфікованої електронної печатки;
      •  узгодження ключів шифрування.

      Для ідентифікації сфери використання відкритих ключів, під час формування кваліфікованого сертифіката відкритого ключа надавач встановлює розширення сертифіката “Призначення відкритого ключа” (“keyUsage”), зазначені у Таблиці 1:

      Таблиця 1

      Сфера використання кваліфікованого сертифіката відкритого ключа

      “Призначення відкритого ключа” (“keyUsage”)

      Автентифікація

      digitalSignature + nonRepudiation

      або keyAgreement

      Перевірка кваліфікованого електронного підпису

      digitalSignature + nonRepudiation

      Перевірка кваліфікованої електронної печатки

      digitalSignature + nonRepudiation

      Узгодження ключів шифрування

      keyAgreement

      Надавач формує кваліфіковані сертифікати відкритого ключа з розширеннями сертифіката digitalSignature + nonRepudiation або keyAgreement за умов, що такі відкриті ключі належать до різних ключових пар.

      Для сфери перевірки кваліфікованої електронної печатки, під час формування кваліфікованого сертифіката відкритого ключа надавач встановлює додаткове розширення “Уточнене призначення відкритого ключа” “extendedKeyUsage” із об’єктним ідентифікатором 1.2.804.2.1.1.1.3.9.

      У випадках, передбачених вимогами до окремо визначених інформаційно-телекомунікаційних систем, окрім ознаки того, що генерація особистого ключа відбулася з використанням захищеного носія особистого ключа (id-etsi-qcs 4), для ідентифікації типу захищеного носія особистого ключа, під час формування кваліфікованого сертифіката відкритого ключа надавач встановлює додаткове розширення “Уточнене призначення відкритого ключа” “extendedKeyUsage” та умовне позначення типу такого носія із його унікальним заводським номером у додаткових даних підписувача.

    2. 4.1.2. Перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем

      Не допускається використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем для певної сфери із відповідним розширенням сертифіката, в інших сферах.

    3. 4.1.3. Перелік інформації, що розміщується надавачем на офіційному вебсайті

      До інформації, вільний доступ до якої забезпечує надавач через офіційний вебсайт належать:

      • відомості про надавача;
      • дані про внесення відомостей про надавача до Довірчого списку;
      • регламент роботи надавача;
      • кваліфіковані сертифікати відкритих ключів надавача;
      • перелік кваліфікованих електронних довірчих послуг, які надає надавач;
      • дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;
      • форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги
      • відомості про відокремлені пункти реєстрації та виїзних адміністраторів реєстрації;
      • реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
      • відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;
      • дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;
      • перелік актів законодавства у сфері електронних довірчих послуг.

      Надавач також забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг шляхом розміщення відповідної інформації на офіційному вебсайті надавача.

    4. 4.1.4. Час і порядок публікації кваліфікованих сертифікатів відкритих ключів та списків відкликаних сертифікатів

      Кваліфіковані сертифікати відкритих ключів надавача публікуються одразу після їх отримання від центрального засвідчувального органу.

      Кваліфіковані сертифікати відкритих ключів серверів надавача публікуються одразу після їх формування надавачем.

      Кваліфіковані сертифікати відкритих ключів підписувачів та створювачів електронної печатки, які надали згоду на їх публікацію, публікуються одразу після формування таких сертифікатів.

      Надавач формує списки відкликаних сертифікатів у вигляді повного та часткового списків, які відповідають таким вимогам:

      • у кожному списку відкликаних сертифікатів зазначається граничний строк його дії до видання нового списку;
      • новий список відкликаних сертифікатів може бути опубліковано до настання граничного строку його дії до видання наступного списку;
      • на список відкликаних сертифікатів повинен бути накладений кваліфікований електронний підпис чи печатка надавача.

      Публікація списків відкликаних сертифікатів відбувається в автоматичному режимі.

      Час зміни статусу кваліфікованих сертифікатів відкритих ключів синхронізований із Всесвітнім координованим часом (UTC) з точністю до однієї секунди.

      Посилання на списки відкликаних сертифікатів вносяться до кваліфікованих сертифікатів відкритих ключів підписувачів та створювачів електронної печатки.

      Повний список відкликаних сертифікатів формується та публікується 1 (один) раз на тиждень та містить інформацію про всі відкликані сертифікати ключів, які були сформовані надавачем.

      Частковий список відкликаних сертифікатів формується та публікується кожні 2 (дві) години та містить інформацію про всі відкликані кваліфіковані сертифікати, статус яких був змінений в інтервалі між часом випуску останнього повного списку відкликаних сертифікатів та часом формування поточного часткового списку відкликаних сертифікатів.

    5. 4.1.5. Механізм підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа

      Підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа, забезпечується:

      • візуальним та технічним контролем запису та передачі надавачеві запиту на формування кваліфікованого сертифіката відкритого ключа особисто заявником під час генерації пари ключів одразу після ідентифікації заявника, за умови його особистої присутності

      або

      • технічним контролем запису та передачі надавачеві запиту на формування кваліфікованого сертифіката відкритого ключа особисто заявником  під час генерації пари ключів одразу після ідентифікації заявника та отримання ідентифікаційних даних за допомогою – механізмів ідентифікації, зазначених  у пункті 4.1.6 цього Регламенту.

      У всіх випадках за допомогою засобів кваліфікованого електронного підпису надавача здійснюється перевірка удосконаленого електронного підпису, створеного за допомогою особистого ключа заявника на запиті на формування кваліфікованого сертифіката, за допомогою відкритого ключа, що міститься у цьому запиті.

      Підтвердження володіння заявником особистим ключем здійснюється без розкриття особистого ключа.

    6. 4.1.6. Умови встановлення заявника

      Відповідно до Статті 22 Закону України  «Про електронні довірчі послуги»  під час формування та видачі кваліфікованого сертифіката відкритого ключа надавач здійснює встановлення (ідентифікацію) особи.

      Формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються.

      Ідентифікація фізичної особи, яка вперше звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється за умови її особистої присутності за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про ЄДДР та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи.

      До внесення відповідних змін до Регламенту роботи, надавачем можуть використовуватись процедури ідентифікації, відмінні від визначених у цьому пункті, які оцінені та відповідно до вимог діючого законодавства забезпечують належну ідентифікацію, за попереднім описом таких процедур ідентифікації на офіційному вебсайті надавача.

      Верифікація даних ID-картки здійснюється одним із таких способів:

      • без залучення додаткових пристроїв шляхом візуального зіставлення однакової інформації (значення "УНЗР", "документ N ", "дата народження", "строк дії"), яка надрукована в зоні візуальної перевірки та машинозчитувальній зоні;
      • шляхом автоматизованого зчитування інформації з використанням апаратних та програмних засобів (зчитувачів), які мають інтерфейс, опублікований на офіційному вебсайті державного підприємства "Поліграфічний комбінат "Україна".

      Під час ідентифікації особи використовується сервіс «Перевірки за базою недійсних документів» Державної міграційної служби України.

      Допускається ідентифікація фізичної особи кваліфікованим надавачем електронних довірчих послуг за ідентифікаційними даними, що містяться у раніше сформованому ним кваліфікованому сертифікаті відкритого ключа, за умови чинності цього сертифіката.

      Ідентифікація іноземців здійснюється відповідно до законодавства.

      Ідентифікація іноземців та осіб без громадянства, які в установленому порядку подали заяву про надання статусу електронного резидента та звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія вперше, здійснюється відповідно до Порядку реалізації експериментального проекту із запровадження та реалізації в Україні електронного резидентства, затвердженого постановою Кабінету Міністрів України від 25 червня 2020 р. № 648 (Офіційний вісник України, 2020 р., № 62, ст. 2003), та регламенту роботи надавача за умови особистої присутності таких осіб у закордонних дипломатичних установах України без виконання процедур, визначених пунктом 4 «Порядку реалізації експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія», затвердженого постановою Кабінету міністрів України від 2 вересня 2020 р. № 785.

      У разі успішної ідентифікації іноземця або особи без громадянства, яка в установленому порядку подала заяву про надання статусу електронного резидента та звернулася за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія  вперше, закордонна дипломатична установа України забезпечує:

      1) передачу надавачу ідентифікаційних даних особи, які вносяться до кваліфікованого сертифіката електронного підпису Смарт-Дія:

      • прізвища, імені, по батькові (за наявності) особи мовою документа, що посвідчує особу;
      • реєстраційного номера облікової картки платника податків;

      2) створення відцифрованого образу обличчя особи, який повинен відповідати вимогам, установленим МВС, та передачу його надавачу для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія.

      Під час перевірки цивільної правоздатності та дієздатності юридичної особи кваліфікований надавач електронних довірчих послуг зобов’язаний ознайомитися з інформацією про юридичну особу, що міститься в ЄДР, а також пересвідчитися, що обсяг її цивільної правоздатності та дієздатності є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа.

      Кваліфікований надавач електронних довірчих послуг перед формуванням та видачею кваліфікованого сертифіката відкритого ключа здійснює ідентифікацію особи уповноваженого представника юридичної особи відповідно до вимог Закону України  «Про електронні довірчі послуги», а також перевіряє обсяг його повноважень за документом або за даними з ЄДР, що визначають повноваження представника.

      Якщо від імені юридичної особи діє колегіальний орган, кваліфікованому надавачу електронних довірчих послуг подається документ, у якому визначено повноваження відповідного органу та розподіл обов’язків між його членами.

      Надання кваліфікованих електронних довірчих послуг надавачем передбачає подання заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

      Для ідентифікації особи заявника, що звернувся до надавача для отримання кваліфікованих електронних довірчих послуг, надавач вимагає разом із заявою надати, а заявник надає ідентифікаційні дані, які вносяться до кваліфікованого сертифіката відкритого ключа.

      Перелік ідентифікаційних даних та механізми їх підтвердження для формування кваліфікованих сертифікатів відкритих ключів електронного підпису чи наведено у Таблицях 2 та 3.

      Ідентифікаційні дані та механізми їх підтвердження під час встановлення фізичних осіб, які вперше звернулися за отриманням послуги формування кваліфікованого сертифіката відкритого ключа

      Таблиця 2

      Ідентифікаційні дані

      Обов’язковість надання ідентифікаційних даних

      Механізми підтвердження ідентифікаційних даних

      Прізвище, ім’я, по батькові (за наявності)

      Обов’язково

      Документальне або електронне (паспорт, посвідка на постійне (тимчасове) місце проживання)

      РНОКПП

      За наявності

      Документальне або електронне (облікова картка платника податків, паспорт)

      Серія (за наявності), номер паспорта

      Обов’язково

      Документальне або електронне (паспорт)

      УНЗР

      За наявності

      Документальне або електронне (паспорт)

      Номер телефону

      Обов’язково

      Технічне (відтворення тексту SMS повідомлення, надісланого надавачем)

      Адреса електронної пошти

      Обов’язково

      Технічне (відповідь на електронний лист, надісланий надавачем)

      Повноваження або займана посада

      На вимогу заявника  про їх включення до сертифіката

      Документальне (документ, що засвідчує право на здійснення діяльності у визначеній сфері: посвідчення, сертифікат, наказ про призначення, свідоцтво тощо) або технічне (інформація з відповідних державних інформаційних систем (реєстрів, баз даних тощо))

      Ідентифікаційні дані та механізми їх підтвердження під час встановлення юридичних осіб, уповноважені працівники яких вперше звернулися за отриманням послуги формування кваліфікованого сертифіката відкритого ключа.

      Таблиця 3

      Ідентифікаційні дані

      Обов’язковість надання ідентифікаційних даних

      Механізми підтвердження ідентифікаційних даних

      Найменування юридичної особи

      Обов’язково

      Документальне або технічне (отримання інформації в електронному вигляді з ЄДР)

      Код ЄДРПОУ

      Обов’язково

      Документальне або технічне (отримання інформації в електронному вигляді з ЄДР)

      Місцезнаходження

      Обов’язково

      Документальне або технічне (отримання інформації в електронному вигляді з ЄДР)

      Переліки, форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги, та роз’яснення щодо їх оформлення публікуються на офіційному вебсайті надавача.

      Для укладання договорів про надання кваліфікованих електронних довірчих послуг надавач може отримувати від заявників інші документи, передбачені законодавством.

      Для підтвердження належного проведення процедури встановлення заявника, надавач забезпечує зберігання заяв на формування або зміну статусу кваліфікованих сертифікатів відкритих ключів та копій документів, які надавались заявниками під час ідентифікації. Копії таких документів  зберігаються в паперовому вигляді в архівних приміщенням надавача або відокремлених пунктів реєстрації надавача, а також  в електронному вигляді із забезпеченням автоматичного резервного копіювання засобами ІТС надавача та ручного архівного копіювання на окремі носії інформації.

      Заяви та копії документів, які використовувались в процедурі встановлення заявника, засвідчуються за правилами, наведеними у Таблиці 4

      Таблиця 4

      Форма документа

      Засвідчення з боку заявника

      Засвідчення з боку надавача (адміністратора реєстрації)

      Тип підпису

      Черга засвідчення

      Тип підпису

      Черга засвідчення

      Паперова

      Власноручний підпис

      Перша

      Штамп адміністратора реєстрації  на паперових документах

      Кваліфікований електронний підпис адміністратора реєстрації в підсистемі створення облікових записів користувачів

      Друга

      Електронна

      Кваліфікований електронний підпис або електронний підпис, отриманий за допомогою засобів відтворення власноручного підпису з використанням інтерактивних сенсорних дисплеїв

      Перша

      Кваліфікований електронний підпис адміністратора реєстрації або виїзного адміністратора реєстрації на електронному документі, Кваліфікований електронний підпис адміністратора реєстрації в підсистемі створення облікових записів користувачів

      Друга

       

       

      Засвідчення надавачем заяв та копій документів без завершення встановлення особи заявника та без належного засвідчення ним документів не допускається.

      Під час встановлення особи надавач може використовувати засоби фотофіксації факту пред’явлення заявником документів, що посвідчують особу. Збереження фотодокументів в ІТС надавача здійснюється після їх засвідчення шляхом створення кваліфікованого електронного підпису адміністратора реєстрації.

    7. 4.1.7. Механізм автентифікації користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем

      Автентифікація користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем, здійснюється у випадку подання в електронній формі заяв про формування, блокування та скасування кваліфікованих сертифікатів відкритих ключів, у разі незмінності ідентифікаційних даних внесених до попереднього кваліфікованого сертифіката відкритого ключа з моменту формування сертифіката до моменту створення кваліфікованого електронного підпису на заяві.

      Перевірка ідентифікаційних даних заявника, який звертається з заявою в електронній формі, а також законності такого звернення, здійснюється шляхом автентифікації підписувача та його повноважень за результатами перевірки кваліфікованого електронного підпису на заяві та встановленням чинності на момент подання заяви сертифіката ключа, що містить ідентифікаційні дані особи.

    8. 4.1.8. Механізми автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа

      Перелік та опис механізмів автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа наведено у Таблиці 5

      Таблиця 5

      Тип операції (причина подання заяв)

      Форма подання заяв

      Механізми підтвердження ідентифікаційних даних

      Блокування кваліфікованого сертифіката відкритого ключа

      Усна

      За ключовою фразою голосової автентифікації, первинний обмін якою між користувачем та надавачем здійснюється під час подання заяви про формування кваліфікованого сертифіката відкритого ключа

      Письмова паперова

      Аналогічні механізмам підтвердження ідентифікаційних даних фізичних осіб та юридичних осіб, які вперше звернулися за отриманням послуги формування кваліфікованого сертифіката відкритого ключа

      Письмова електронна

      Аналогічні механізмам підтвердження ідентифікаційних даних користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем

      Скасування кваліфікованого сертифіката відкритого ключа

      Письмова паперова

      Аналогічні механізмам підтвердження ідентифікаційних даних фізичних осіб та юридичних осіб, які вперше звернулися за отриманням послуги формування кваліфікованого сертифіката відкритого ключа

      Письмова електронна

      Аналогічні механізмам підтвердження ідентифікаційних даних користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем

      Поновлення кваліфікованого сертифіката відкритого ключа

      Письмова паперова

      методами підтвердження ідентифікаційних даних фізичних осіб та юридичних осіб, які вперше звернулися за отриманням послуги формування кваліфікованого сертифіката відкритого ключа

    9. 4.1.9. Опис фізичного середовища

      Цей розділ регламенту не входить до обсягу положень, визначених надавачем для ознайомлення користувачами.

    10. 4.1.10. Процедурний контроль

      Цей розділ регламенту не входить до обсягу положень, визначених надавачем для ознайомлення користувачами.

    11. 4.1.11. Порядок ведення журналів аудиту подій

      Цей розділ регламенту не входить до обсягу положень, визначених надавачем для ознайомлення користувачами.

    12. 4.1.12. Порядок ведення архівів надавача

      Цей розділ регламенту не входить до обсягу положень, визначених надавачем для ознайомлення користувачами.

    13. 4.1.13. Процес, порядок та умови генерації пар ключів надавача та користувачів

      Цей розділ регламенту не входить до обсягу положень, визначених надавачем для ознайомлення користувачами, окрім положень, що стосується опису процесу, порядку та умови генерації пар ключів користувачів.

    14. 4.1.13.1 Процедура ідентифікації користувачем відокремлених пунктів реєстрації та виїзних адміністраторів реєстрації надавача

      Ідентифікація користувачем відокремленого пункту реєстрації здійснюється шляхом перевірки на офіційному вебсайті надавача інформації про адресу розташування, графік роботи та контакти відокремленого пункту реєстрації.

      Ідентифікація користувачем виїзного адміністратора реєстрації надавача здійснюється шляхом порівняння відомостей кваліфікованого сертифіката особистого ключа виїзного адміністратора реєстрації з паспортом громадянина України, електронними документами із додатку «Дія» або за іншим документом, що унеможливлює виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний реєстр юридичних осіб, фізичних осіб – підприємців та громадських формувань.

    15. 4.1.13.2. Генерація ключів користувачів

      Під час надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток надавачем забезпечується:

      • використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;
      • захист обміну інформацією між підписувачем або створювачем електронної печатки та надавачем засобами телекомунікаційних мереж загального користування;
      • створення умов для генерації пари ключів підписувача або створювача електронної печатки;
      • допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;
      • унікальність пари ключів підписувача або створювача електронної печатки;
      • зберігання особистого ключа підписувача або створювача електронної печатки;
      • захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.

      Особистий ключ у складі пари ключів підписувача або створювача електронної печатки може бути згенерований:

      • на стаціонарному робочому місці підписувача (створювача електронної печатки) або на власному портативному обчислювальному пристрої;
      • на робочій станції генерації ключів в офісах надавача та його відокремлених пунктів реєстрації;
      • за допомогою мобільного додатка Порталу Дія.

      У разі коли пара ключів була згенерована заявником поза приміщенням надавача та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка достатності обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється надавачем після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа відповідно до пункту 4.1.5 цього регламенту.

      Генерацію та/або управління парою ключів від імені підписувача або створювача електронної печатки може здійснювати виключно надавач. Під час управління парою ключів підписувача або створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача або створювача електронної печатки з метою його зберігання за умови дотримання таких вимог:

      • рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;
      • кількість резервних копій не повинна перевищувати мінімального значення, необхідного для забезпечення безперервності послуги.

      Для генерації особистих ключів використовуються засоби кваліфікованого електронного підпису чи печатки у вигляді апаратно-програмних засобів (ЗНОК, токени, SIM-картки, мережні криптомодулі), які можуть функціонувати під управлінням або з використанням окремих програмних додатків або програмних модулів (криптобібліотек), що функціонують у складі інших програмних додатків та які перебувають у власності користувачів, або надаються надавачем.

      Надання надавачем засобів кваліфікованого електронного підпису чи печатки здійснюється у порядку, наведеному у розділі 5 цього регламенту. Згенерований особистий ключ підписувача чи створювача електронної печатки захищається за допомогою атрибутів захисту від доступу сторонніх осіб до параметрів особистого ключа (пароль, PIN-код, біометричні дані володільця особистого ключа).

    16. 4.1.14. Процедури отримання користувачем особистого ключа в результаті надання кваліфікованої електронної довірчої послуги її надавачем

      Отримання користувачем особистого ключа у володіння в результаті надання кваліфікованої електронної довірчої послуги її надавачем здійснюється за таких умов:

      • отримання та використання особистого ключа на правах повного володіння засобом кваліфікованого електронного підпису, у тому числі, носієм особистого ключа;
      • отримання та використання особистого ключа на правах повного володіння або доступу на договірних засадах до частини ресурсу засобу кваліфікованого електронного підпису, який реалізує зберігання множини особистих ключів кваліфікованого електронного підпису чи печатки (наприклад, мережний криптомодуль).

      Фактичне отримання користувачем особистого ключа відбувається у момент генерації особистого ключа особисто або у момент зміни атрибутів захисту від доступу сторонніх осіб до параметрів особистого ключа (пароль, PIN-код, біометричні дані володільця особистого ключа) у випадку, коли ключові пари були попередньо створено надавачем. Не допускається формування надавачем кваліфікованих сертифікатів відкритих ключів до моменту фактичного отримання особистого ключа користувачем.

    17. 4.1.15. Механізм надання відкритого ключа користувача надавачу для формування кваліфікованого сертифіката відкритого ключа

      Відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа у складі запиту на формування кваліфікованого сертифіката відкритого ключа, який  являє собою файл формату PKCS#10, що містить відкритий ключ заявника і додаткову інформацію для формування сертифіката.

      Запит формату PKCS#10 формується під час генерації особистого та відкритого ключів засобами кваліфікованого електронного підпису чи печатки. Формування запиту передбачає створення удосконаленого електронного підпису за допомогою особистого ключа з однієї пари з відкритим ключем.

      Процес подання запиту на формування кваліфікованого сертифіката відкритого ключа описаний у положеннях сертифікаційних практик цього регламенту.

  1. 4.2. Положення сертифікаційних практик

    1. 4.2.1. Процес подання запиту на формування кваліфікованого сертифіката відкритого ключа

      До переліку суб’єктів, уповноважених подавати запит на формування кваліфікованого сертифіката відкритого ключа належать заявники.

      Запит на формування кваліфікованого сертифіката відкритого ключа приймається в обробку після приймання та реєстрації заяви на формування кваліфікованого сертифіката, встановлення (ідентифікації) особи заявника та підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа відповідно до вимог цього регламенту.

      Обробка запиту на формування кваліфікованого сертифіката відкритого ключа здійснюється програмними засобами ІТС надавача за участю адміністратора реєстрації, працівника представництва надавача (відокремленого пункту реєстрації), на якого покладено обов’язки з реєстрації користувачів, та який виконує функції адміністратора реєстрації, або автоматично за умови забезпечення безперервності процесів генерації пар ключів, формування запитів, передачі їх на обробку захищеними каналами зв’язку, які забезпечують конфіденційність та цілісність даних.  Автоматична обробка запитів не виключає процесів встановлення (ідентифікації) особи заявника та підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа.

      Під час обробки запиту на формування кваліфікованого сертифіката відкритого ключа засобами ІТС надавача здійснюється перевірка унікальності відкритого ключа в реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів та забезпечується унікальність серійного номера кваліфікованого сертифіката електронного підпису чи печатки.

      Строк оброблення запиту на формування кваліфікованого сертифіката відкритого ключа, поданого разом із заявою на реєстрацію, становить не більше однієї години. 

    2. 4.2.2. Порядок надання сформованого кваліфікованого сертифіката відкритого ключа користувачу

      Надання сформованого кваліфікованого сертифіката відкритого ключа заявнику здійснюється в один із способів:

      • шляхом надсилання файлу із сформованим кваліфікованим сертифікатом відкритого ключа на адресу електронної пошти, вказану у заяві на формування кваліфікованого сертифіката відкритого ключа;
      • шляхом запису файлу із сформованим кваліфікованим сертифікатом відкритого ключа на носій інформації, наданий заявником;
      • шляхом публікації сформованого кваліфікованого сертифіката відкритого ключа на офіційному вебсайті надавача.

      Заявник повинен перевірити свої ідентифікаційні дані, внесені надавачем до кваліфікованого сертифіката відкритого ключа. Надавач повинен надавати відповідні консультації щодо проведення такої перевірки. Заявник  повинен використовувати особистий ключ для створення кваліфікованого електронного підпису тільки після проведення перевірки. Використання підписувачем особистого ключа є фактом визнання ним кваліфікованого сертифіката відповідного відкритого ключа.

      У разі виявлення заявником невідповідності ідентифікаційних даних, внесених надавачем до кваліфікованого сертифіката відкритого ключа, його власник звертається до надавача для скасування кваліфікованого сертифіката відкритого ключа та формування нового сертифіката у порядку, встановленому цим регламентом.

      У разі невідповідності ідентифікаційних даних, внесених надавачем до кваліфікованого сертифіката відкритого ключа та виявлених надавачем до моменту надання сформованого сертифіката заявнику, посадовою особою надавача здійснюється переформування сертифіката із використанням попередньо засвідченого відкритого ключа та з дотриманням вимог щодо недопущення перевищення часу чинності особистого ключа та відповідного йому відкритого ключа більше двох років. Посадова особа, що здійснила переформування сертифіката, складає акт, в якому зазначається дата та час скасування сертифіката, ідентифікаційні дані заявника, що містяться в сертифікаті та невідповідні ідентифікаційні дані заявника, що зазначені у заяві про формування кваліфікованого сертифіката відкритого ключа. Акт підписується посадовою особою надавача, що здійснила переформування сертифіката, та долучається до документів (посвідчених в установленому порядку копій документів), що використовувалися під час встановлення особи та реєстрації заявника.

    3. 4.2.3. Порядок публікації сформованого кваліфікованого сертифіката відкритого ключа користувача на офіційному вебсайті надавача

      Кваліфіковані сертифікати відкритих ключів підписувачів та створювачів електронних печаток, які надали згоду на їх публікацію, публікуються одразу після формування сертифікатів та виконання заявниками умов договору про надання кваліфікованих електронних довірчих послуг.

      Згода на публікацію кваліфікованих сертифікатів відкритих ключів надаються заявниками під час подання заяв на формування сертифікатів.

    4. 4.2.4. Умови використання кваліфікованого сертифіката відкритого ключа користувача та його особистого ключа

      Кваліфіковані сертифікати відкритого ключа підписувачів та створювачів електронної печатки використовуються у сферах та із обмеженнями, зазначеними у пунктах 4.1.1 та 4.1.2 цього регламенту.

      Користувачі електронних довірчих послуг зобов’язані дотримуватись умов використання особистих ключів та кваліфікованих сертифікатів відкритих ключів в межах зобов’язань, передбачених у Статті 12 Закону України «Про електронні довірчі послуги», а саме:

      • забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа;
      • невідкладно повідомляти надавача про підозру або факт компрометації особистого ключа;
      • надавати достовірну інформацію, необхідну для отримання електронних довірчих послуг;
      • своєчасно здійснювати оплату за електронні довірчі послуги, якщо така оплата передбачена договором між надавачем та користувачем електронних довірчих послуг;
      • своєчасно надавати надавачу інформацію про зміну ідентифікаційних даних, які містить кваліфікований сертифікат відкритого ключа;
      • не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування кваліфікованого сертифіката відкритого ключа.

      Наслідками неправильного використання кваліфікованого сертифіката відкритого ключа та особистого ключа можуть стати недостовірна автентифікація підписувача або створювача електронної печатки в інформаційних системах, заволодіння зловмисниками правами доступу користувача до інформації, підробка електронних документів, матеріальні та репутаційні втрати  користувача.

      Умови використання кваліфікованого сертифіката відкритого ключа користувача та його особистого ключа, а також відомості про наслідки їх неправильного використання зазначаються у договорі про надання кваліфікованої електронної довірчої послуги.

    5. 4.2.5. Процедура подачі запиту на формування кваліфікованого сертифіката відкритого ключа для користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем

      Запит на формування нового кваліфікованого сертифіката відкритого ключа для користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, попередньо сформований надавачем, подається разом із заявою про формування нового кваліфікованого сертифіката відкритого ключа.

      Програмні засоби ІТС надавача із інтегрованими засобами кваліфікованого електронного підпису чи печатки, розміщені на офіційному вебсайті надавача, забезпечують:

      • перевірку чинності попереднього кваліфікованого сертифіката відкритого ключа користувача;
      • автоматичне формування заяви про формування нового кваліфікованого сертифіката відкритого ключа із використанням ідентифікаційних даних, внесених до попереднього сертифіката;
      • створення кваліфікованого електронного підпису чи печатки до цієї заяви із використанням попереднього особистого ключа;
      • створення запиту на формування кваліфікованого сертифіката відкритого ключа у форматі PKCS#10 на згенеровану нову ключову пару;
      • передачу запиту на формування нового кваліфікованого сертифіката відкритого ключа разом із заявою про формування нового кваліфікованого сертифіката відкритого ключа на обробку до ІТС надавача.

      Створення заяви про формування нового кваліфікованого сертифіката відкритого ключа, запиту на формування нового кваліфікованого сертифіката відкритого ключа та їх передача  на обробку до ІТС надавача здійснюється із забезпеченням цілісності та конфіденційності інформації за допомогою засобів кваліфікованого електронного підпису чи печатки, та засобів криптографічного захисту, які мають позитивний експертний висновок за результатами їх державної експертизи у сфері КЗІ.   

    6. 4.2.6. Обставини скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа

      До переліку суб’єктів, уповноважених подавати запит на скасування (блокування та поновлення) кваліфікованого сертифіката відкритого ключа формування кваліфікованого сертифіката відкритого ключа належать фізичні та юридичні особи, які подають до надавача заяви або надають інформацію, що підтверджує підстави для зміни статусу сертифіката, передбачені статтею 25 Закону України “Про електронні довірчі послуги”.

      Перелік підстав для зміни статусу сертифіката із зазначенням суб’єктів подання запитів на зміну статусу та форм підтвердження підстав наведено у Таблиці 9.

      Таблиця 9

      Підстави для зміни статусу сертифіката

      Скасування

      Блокування

      Поновлення

      Підтвердження підстав

      подання користувачем електронних довірчих послуг заяви

      +

      +

      +

      Заява користувача

      смерть фізичної особи - підписувача

      +

       

       

      Документальне підтвердження

      припинення діяльності створювача електронної печатки

      +

       

       

      Документальне або технічне (отримання інформації в електронному вигляді з ЄДР) підтвердження

      зміни ідентифікаційних даних користувача електронних довірчих послуг

      +

       

       

      Документальне або технічне (отримання інформації в електронному вигляді з ЄДР) підтвердження

      надання користувачем електронних довірчих послуг недостовірних ідентифікаційних даних

      +

       

       

      Документальне підтвердження

      факт компрометації особистого ключа користувача електронних довірчих послуг, виявлений самостійно користувачем або контролюючим органом під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг

      +

       

       

      Документальне підтвердження

      повідомлення користувачем електронних довірчих послуг або контролюючим органом про підозру в компрометації особистого ключа користувача електронних довірчих послуг

       

      +

       

      Заява користувача або документальне підтвердження

      повідомлення про встановлення недостовірності інформації щодо факту компрометації особистого ключа користувачем електронних довірчих послуг або контролюючим органом, який раніше повідомив про цю підозру

       

       

      +

      Заява користувача або документальне підтвердження

      набрання законної сили рішенням суду

      +

      +

      +

      Документальне підтвердження

      порушення користувачем електронних довірчих послуг істотних умов договору про надання кваліфікованих електронних довірчих послуг

       

      +

       

      Документальне підтвердження

      встановлення факту припинення використання підписувачем мобільного додатка Порталу Дія

      +

       

       

      Технічне підтвердження

      Користувач має право за власним бажанням здійснити блокування кваліфікованого сертифіката. Під блокуванням кваліфікованого сертифіката розуміється тимчасове призупинення чинності кваліфікованого сертифіката строком до 30 календарних днів.

      Після блокування кваліфікованого сертифіката, користувач може протягом 30 календарних днів поновити чинність кваліфікованого сертифіката. Блокований кваліфікований сертифікат буде автоматично скасований надавачем, якщо протягом зазначеного строку користувач не поновить його чинність.

      Заява про скасування (блокування, поновлення) кваліфікованого сертифіката електронного підпису чи печатки подається надавачеві у спосіб, що забезпечує підтвердження особи-користувача.

      Перелік та опис механізмів автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа наведено у Таблиці 5 цього регламенту.

      Надавач здійснює цілодобовий прийом та перевірку заяв підписувачів та створювачів електронних печаток про скасування блокування та поновлення їхніх сертифікатів відкритих ключів в тому числі з використанням інформаційних каналів, відомості про які наведено на офіційному сайті надавача.

      Кваліфіковані сертифікати відкритих ключів скасовується, блокуються та поновлюються  надавачем не пізніше ніж протягом двох годин від моменту отримання підтвердження підстав для зміни статусу сертифіката та здійснення відповідної перевірки достовірності документальних повідомлень та автентифікації заявників.

      Надавач формує списки відкликаних сертифікатів у вигляді повного та часткового списків.

      Повний список відкликаних сертифікатів формується та публікується 1 (один) раз на тиждень та містить інформацію про всі відкликані сертифікати ключів, які були сформовані надавачем.

      Частковий список відкликаних сертифікатів формується та публікується кожні 2 (дві) години та містить інформацію про всі відкликані кваліфіковані сертифікати, статус яких був змінений в інтервалі між часом випуску останнього повного списку відкликаних сертифікатів та часом формування поточного часткового списку відкликаних сертифікатів.

      Розповсюдження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів здійснюється шляхом створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача в режимі реального часу через телекомунікаційні мережі загального користування із використанням протоколу OCSP.

      Посилання на сервіс перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача в режимі реального часу вносяться до кваліфікованих сертифікатів відкритих ключів підписувачів та створювачів електронної печатки.

    7. 4.2.7. Строк закінчення дії кваліфікованого сертифіката відкритого ключа користувача

      Строк дії кваліфікованих сертифікатів відкритих ключів користувачів становить не більше двох років.

      Дата та час початку та закінчення строку дії кваліфікованого сертифіката відкритого ключа користувача зазначається у сертифікаті із точністю до однієї секунди.

      Після перевершення дати та часу закінчення строку дії кваліфікованого сертифіката користувача, такий кваліфікований сертифікат відкритого ключа вважається нечинним.

    8. 4.2.8. Організаційні вимоги

      Надавачем відповідно до Вимог безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації, затверджених наказом Адміністрації Держспецзв’язку від 14 травня 2020 року «269, встановлюються вимоги до процедур з управління ризиками, персоналом, операційною безпекою, інцидентами, доказами та архівами, поводження з персональними даними користувачів, процедур встановлення заявника, ВПР та виїзних адміністраторів реєстрації, опису фізичного середовища.

      Зазначені вимоги визначаються цим Регламентом, а також іншими нормативними документами надавача.

5. ПРОЦЕДУРИ ТА ПРОЦЕСИ, ЯКІ ВИКОНУЮТЬСЯ ПІД ЧАС НАДАННЯ КВАЛІФІКОВАНИХ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ, ЩО НЕ ПЕРЕДБАЧАЮТЬ ФОРМУВАННЯ ТА ОБСЛУГОВУВАННЯ КВАЛІФІКОВАНИХ СЕРТИФІКАТІВ

  1. 5.1. Надання засобів кваліфікованого електронного підпису чи печатки

    Для надання кваліфікованих електронних довірчих послуг надавачем використовуються засоби кваліфікованого електронного підпису чи печатки, які мають позитивний експертний висновок за результатами їх державної експертизи у сфері КЗІ.

    Надання надавачем засобів кваліфікованого електронного підпису чи печатки у вигляді апаратно-програмних засобів та їх технічна підтримка і обслуговування здійснюється на договірних засадах.

    Надання надавачем засобів кваліфікованого електронного підпису чи печатки у вигляді окремих програмних додатків або програмних модулів (криптобібліотек), що функціонують у складі інших програмних додатків, може здійснюватись шляхом передачі цих засобів на носіях інформації безпосередньо підписувачу або створювачу  електронної печатки або шляхом надання доступу через офіційний вебсайт надавача.

    Засоби кваліфікованого електронного підпису чи печатки у вигляді SIM-карток надаються користувачам надавачем або оператором мобільного зв’язку, який обслуговує такі засоби, та який виконує функції представництва надавача (відокремленого пункту реєстрації).

    Генерація особистих ключів у складі пар ключів у засобах кваліфікованого електронного підпису у вигляді SIM-карток здійснюється вбудованими механізмами цих апаратно-програмних засобів. Допомога при генерації ключів у SIM-картці здійснюється адміністратором реєстрації або працівником представництва надавача (відокремленого пункту реєстрації), на якого покладено обов’язки з реєстрації користувачів, та який виконує функції адміністратора реєстрації.

  2. 5.2. Надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження кваліфікованої електронної позначки часу

    Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження кваліфікованої електронної позначки часу надається підписувачам та створювачам електронних печаток при створенні кваліфікованого електронного підпису чи печатки.

    Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу підписувачам включає:

    • формування кваліфікованої електронної позначки часу;
    • передачу кваліфікованої електронної позначки часу користувачеві електронної довірчої послуги.

    Кваліфікована електронна позначка часу має презумпцію точності дати та часу, на які вона вказує, та цілісності електронних даних, з якими ці дата та час пов’язані.