|
POSEBNA PONUDA ZA PODUZETNIKE
Želite poboljšati svoje poslovanje, povećati prodaju? Imate sve manje kupaca? Slaba je potražnja za vašim uslugama? Opada vam promet i dobit? Svakim danom imate sve manje posla? Provjerite ponudu naših marketing usluga. Izrada web stranica, cijena vrlo povoljna.
Link na pregled ponude - Poslovne usluge za poduzetnike
|
|
|
POSLOVNE INFORMACIJE, SAVJETI I ANALIZE
Potražite sve informacije o poslovanju u Hrvatskoj, pravne, porezne i druge savjete, informacije o internet oglašavanju i marketingu, rezultate istraživanja tržišta, poslovne analize, informacije o kreditima za poduzetnike, poticajima...
Kontaktirajte nas ukoliko su Vam potrebne poslovne informacije
|
|
|
PRIMJERI UGOVORA, POSLOVNIH PLANOVA, IMENICI
Korisni primjeri ugovora, obrasci, primjeri poslovnih planova, imenici za direktni marketing, usluga sastavljanja imenika i baza podataka po Vašim potrebama, pretraživanje baza podataka, trgovačko zastupanje i posredovanje...
Informirajte se o našim uslugama - Isplati se!
|
|
PRETRAŽIVANJE
svih objavljenih tekstova |
|
|
IZRADA WEB STRANICA
Naručite izradu modernih web stranica. U svega nekoliko minuta, kreirajte vrhunsku web stranicu uz pomoć naših CMS web stranica. Moderni dizajni za Vaše web stranice. Korištenje CMS web stranica slično je kao korištenje Facebooka, ne zahtjeva znanje kodiranja i programiranja. Započnite pisati, dodajte nekoliko fotografija i imate brzo svoju prvu web stranicu. Mijenjajte dizajn svoje stranice s lakoćom. Kreirajte web stranicu svoje tvrtke, web stranicu obrta, web stranicu udruge, započnite pisati blog...
Mobilna responzivnost web stranica je prilagođavanje web stranice svim preglednicima (mobitel, tablet, računalo) i mora se implementirati na sve web stranice. Besplatna optimizacija za tražilice; SEO optimizacija omogućava vašoj web stranici da se prikazuje u prvih deset rezultata na tražilicama za pojmove koje pretražuju vaši budući kupci.
Dizajn responzivnih web stranica, registracija domene, izrada CMS stranica, ugradnja web shopa, implementacija plaćanja karticama, ugradnja Google analyticsa, siguran hosting, prijava na tražilice, reklama na društvenim mrežama, ugradnja kontakt formulara za upite sa web stranica...
Iskoristite ponudu: izrada web stranica i hosting po najnižim cijenama. Besplatna prijava na tražilice, besplatni e-mail, besplatna .hr domena, besplatna podrška za internet marketing...
Kontakt:
Poslovni Forum d.o.o.
Napomena: Ne dajemo besplatne pravne savjete!
Ažurirano: 4. 5. 2024.
|
 |
Ministarstvo gospodarstva
Na temelju članka 7., stavka 2., članka 11., stavka 4., članka 32. stavka
2. Zakona o elektroničkom potpisu () ministar
gospodarstva, donosi
PRAVILNIK
O MJERAMA I POSTUPCIMA UPORABE I ZAŠTITE ELEKTRONIČKOG
POTPISA I NAPREDNOG ELEKTRONIČKOG POTPISA, SREDSTAVA ZA IZRADU ELEKTRONIČKOG
POTPISA, NAPREDNOG ELEKTRONIČKOG POTPISA I SUSTAVA CERTIFICIRANJA I OBVEZNOG
OSIGURANJA DAVATELJA USLUGA IZDAVANJA KVALIFICIRANIH CERTIFIKATA
(NN 54/02)
I. OPĆE ODREDBE
Članak 1.
Ovim Pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektroničkog
potpisa i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog
potpisa, zaštite sustava certificiranja i podataka o potpisnicima, postupci
provjere identiteta potpisnika prilikom davanja elektroničkih certifikata
kao i najniži iznos svote za koju se osigurava rizik od odgovornosti za
štete koji se kod davatelja usluga certificiranja koji izdaju kvalificirane
certifikate pojavljuje kao obvezno osiguranje.
II. ELEKTRONIČKI POTPIS
Članak 2.
Potpisnik izrađuje i koristi elektronički potpis i napredni elektronički
potpis u skladu s općim uvjetima sadržanim u članku 12. i članku 17. Zakona
o elektroničkom potpisu i ovom Pravilniku.
Potpisnik u slučajevima korištenja usluga certificiranja izrađuje i koristi
elektronički potpis i u skladu s uvjetima koje je prihvatio od davatelja
usluga certificiranja.
Članak 3.
Podaci za izradu elektroničkog potpisa čine sastavni dio elektroničkog
potpisa.
Potpisnik je dužan zaštiti podatke za izradu elektroničkog potpisa od
neovlaštenog pristupa, otuđivanja i nepravilne uporabe. Zaštita se mora
dodatno provoditi primjenom zaporke, biometričnim postupcima ili drugim
zaštitnim tehnikama.
Članak 4.
Podaci za izradu elektroničkog potpisa moraju se u potpunosti razlikovati od
podataka za ovjeru elektroničkog potpisa.
Postupak izrade elektroničkog potpisa ne smije izmijeniti podatke koji se
potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina
potpisivanja.
Potpisnik u elektronički potpis ugrađuje osnovne podatke o postupku,
algoritmu i sadržaju potpisa kako bi primatelj (korisnik elektroničkog
potpisa) mogao ovjeriti potpis temeljem iste ili sukladne tehnologije i
postupaka.
Napredni elektronički potpis mora se izrađivati primjenom standardiziranih
algoritama iz grupe RSA (rsagen1) odnosno DSA (dsagen1).
Kod izrade naprednog elektroničkog potpisa obvezno se ugrađuje i funkcija
kriptiranja sadržaja koji se potpisuje (hash funkcija). Algoritmi koji se
primjenjuju u provedbi hash funkcije moraju biti iz skupine SHA-1 (Secure
Hash Algorithm) odnosno RIPEMD 160.
Članak 5.
Korisnik elektroničkog potpisa provodi ovjeru elektroničkog potpisa u skladu
s uputama potpisnika.
Ako je uz potpis ugrađen i certifikat, ovjeru provodi u skladu s uputama
davatelja usluga certificiranja koji je izdao certifikat, odnosno drugog
davatelja usluga certificiranja koji punopravno odgovara i priznaje
certifikat.
Korisnik prilikom ovjere naprednog elektroničkog potpisa mora provjeriti uz
podatke o potpisniku i:
– podatke o davatelju usluga certificiranja koji izdaje kvalificirane
certifikate
– rok valjanosti kvalificiranog certifikata,
– valjanost upisa u registru izdatih kvalificiranih certifikata
– nepostojanje u registru opozvanih certifikata.
III. SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA
Članak 6.
Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od
neovlaštenog pristupa, krađe i oštećivanja.
U slučajevima kada sredstvo za izradu elektroničkog potpisa sadrži i
certifikat te elektronički potpis davatelja usluga certificiranja koji je
izdao certifikat, potrebno je sredstvo za izradu elektroničkog potpisa
uskladiti sa zahtjevima za zaštitu i sigurnost terminalne opreme za izradu
naprednog elektroničkog potpisa.
Usklađivanje iz stavka 2. ovog članka mora se provoditi primjenom
zajedničkih međunarodnih obrazaca zaštite sredstava za izradu naprednog
elektroničkog potpisa od kojih se primjenjuju sljedeći:
– ISO/IEC 15408-1:1999 – opći sustav mjera zaštite uređaja i opreme koje su
zajednički prihvatili međunarodno (ISO) i europsko (IEC) tijelo u području
standardizacije kojim je definiran skup uvjeta za funkcionalnost i sigurnost
sredstava za izradu elektroničkog potpisa u dokumentu - Common Criteria 2.1
(for Information Technology Security Evaluation) u dionici EAL 4+ (5) –
(Evaluation Assurance Level) kojom se posebice utvrđuju sigurnosni zahtjevi
na najvišoj razini kojima mora odgovarati djelovanje sredstava za izradu
naprednog elektroničkog potpisa (SOF-high),
– CEN/ISSS SSCD-PP (Secure Signature Creation Device-Protection Profile)
opći obrazac zaštite sredstava za izradu naprednog elektroničkog potpisa
koji je Europska unija prihvatila sukladno preporukama sadržanim u
Smjernicama o elektroničkom potpisu (Directive 1999/93) u dodatku II kojim
se pobliže opisuju zahtjevi koje mora ispunjavati sredstvo za izradu
naprednog elektroničkog potpisa kroz dokument CWA (CEN Workshop Agreement)
14169,
– opći obrazac za sigurnost kriptografskih modula FIPS 140-1, razina 1.,
poželjno 2. (američko tijelo za standardizaciju National Institute of
Standards and Technology – Federal Information Processing Standard).
Članak 7.
Kod izrade naprednog elektroničkog potpisa kada se primjenjuje sustav dva
(par) kriptografska ključa, dužina ključa za izradu naprednog elektroničkog
potpisa mora biti dužine najmanje 1024 bita, uz primjenu kriptografskih
algoritama iz klase RSA/DSA i usklađeno s međunarodnim standardom PKCS#1
(Verzija 2.1 na više).
Kriptografski moduli moraju se temeljiti na algoritmima i parametrima koji
tvore radno okruženje izrade naprednog elektroničkog potpisa sukladno
trenutno važećim obrascima ugrađenim u dokument Algorithms and Paramaters
for Secure Electronic Signatures (verzija 2.1, 2001-10) kojega za potrebe
Europske unije izrađuje EESSI/SG (European Electronic Signatures
Standardisation Inititiative/Steering Group).
Kod ugrađivanja kriptografskih algoritama u sredstvo za izradu naprednog
elektroničkog potpisa potrebno je osigurati modularnost kojom se omogućava
naknadna ugradnja novih algoritama.
Članak 8.
Programska oprema kojom se provodi ovjera elektroničkog potpisa mora u
potpunosti onemogućiti dobivanje podataka za izradu elektroničkog potpisa
pomoću podataka za ovjeru istog.
Programska oprema koja generira podatke za izradu elektroničkog potpisa mora
zaštititi te podatke od neželjenog ili neovlaštenog pristupa primjenom
postojeće tehnologije.
Članak 9.
Programska oprema za izradu naprednog elektroničkog potpisa mora imati
ugrađene osnovne oblike zaštite sukladno dokumentima o osnovnim pravilima
zaštite i sigurnosti sredstva za izradu naprednog elektroničkog potpisa –
SSCD/PP odnosno EAL4+ preporukama
Članak 10.
Potpisnik koji izgubi ili mu je otuđeno sredstvo za izradu elektroničkog
potpisa te u slučajevima kada mu je onemogućen pristup podacima za izradu
elektroničkog potpisa, dužan je o tome odmah obavijestiti davatelja usluga
certificiranja odnosno njegovu prijavnu službu.
Davatelj usluga certificiranja koji je zaprimio obavijest prema stavku 1.
ovog članka provodi uvid u postupak opoziva izdatog certifikata i dalje
postupa po utvrđenim pravilima opozivanja izdatih certifikata a u skladu s
internim Pravilnikom o postupcima certificiranja temeljem kojega pruža
uslugu certificiranja.
IV. SUSTAV CERTIFICIRANJA
OPĆI UVJETI
Poslovna politika, organizacija radnih procesa i pružanje usluga
certificiranja
Članak 11.
Davatelj usluga certificiranja mora prije početka obavljanja usluga utvrditi
opća pravila davanja usluga certificiranja koja korisnicima usluga pružaju
dovoljno informacija na temelju kojih mogu odlučiti o prihvaćanju usluga i u
kojem opsegu.
Opća pravila iz stavka 1. ovog članka davatelj usluga certificiranja
ugrađuje u dokument Opća pravila pružanja usluga certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
izraditi i posebna unutarnja pravila o postupcima izdavanja certifikata i
zaštite sustava certificiranja u kojem su sadržani i detaljno opisani
postupci i mjere koje primjenjuje prilikom izdavanja i rukovanja
certifikatima.
Članak 12
Opća pravila davanja usluga certificiranja kao i Pravilnik o postupcima
certificiranja trebaju biti strukturirani po RFC 2527, odnosno međunarodno
prihvaćenom obrascu ETSI TS 101 456 – Policy Requirements for Certification
Authorities Issuing Qualified Certificates.
Obvezni sadržaj dokumentacije koju davatelj usluga certificiranja mora
izraditi prije početka obavljanja usluga certificiranja obuhvaća:
Naziv dionice Sadržaj dionice
1. Uvodne oznake i
Opis
usluga
temeljni podaci Identifikacijski
podaci i OID oznaka
Korisnici i područje primjene
usluga
Adresni podaci
2. Opće
odredbe Obveze ovjerovitelja, potpisnika i
korisnika
Odgovornost
Financijska odgovornost
Usklađenost sa zakonom
Naknada za usluge
Objava i repozitorij certifikata
Provjera usklađenosti
Povjerljivost i tajnost
(poslovanja
podataka)
Zaštita intelektualnog vlasništva
(autorstvo)
3. Identifikacija
i Registracija
potpisnika
potvrđivanje
identiteta Plansko
obnavljanje cerfikata
potpisnika
Obnavljanje nakon opoziva
Zahtjevi za opoziv certifikata
4. Osnovni zahtjevi u radu
Zaprimanje zahtjeva za izdavanje
sa
certifikatima certifikata
Izdavanje certifikata
Dostava/prihvat certifikata
Opoziv certifikata
Postupci provjere sigurnosnih
mjera
Arhiviranje certifikata i podataka
Zamjena certifikata
Postupci otklanjanja posljedica
šteta,
nezgoda
Prestanak rada/davanja usluga
5. Kontrola sigurnosti
Kontrola prostora, opreme i
opreme, postupaka sredstava
i osoblja Kontrola
postupaka i provedbe
radnih zadaća
Kontrola osoblja – broj,
stručnost, ovlaštenja
6. Kontrola tehničke
Izrada
vlastitog certifikata
sigurnosti
rada sustava Zaštita
podataka za izradu vlastitog
certificiranja el.
potpisa
Upravljanje podacima za izradu
el. potpisa
Podaci za pristup potpisu
ovjerovitelja
Kontrola sigurnosti računalnog
sustava
Kontrola sigurnosti radnog vijeka
sustava
Kontrola sigurnosti mrežnog
sustava
Kontrola sigurnosti kriptografskih
modula
7. Sadržaj
certifikata i Sadržaj (obrazac) certifikata
lista opozvanih Sadržaj
liste opozvanih certifikata
certifikata
8. Postupci s
Postupci
kod promjene sadržaja
dokumentacijom dokumentacije
Objavljivanje dokumentacije
Postupci prihvaćanja/odobravanja
Članak 13.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
izraditi i dopunski sklop pravila (unutarnja pravila) kojima se osigurava
ispravno provođenje zaštitnih i sigurnosnih mjera u sustavu certificiranja.
Unutarnja pravila djelovanja sustava certificiranja uređuju dopunski:
– postupke pristupa i kretanja kroz poslovni prostor davatelja usluga
certificiranja
– postupke i tehnike dopunske zaštite informacijskog sustava, uporabe
telekomunikacijske opreme/sustava u radnjama s podacima u sustavu certificiranja
– postupci i radnje u izvanrednim situacijama posebice kod požara i drugih
nepogoda, nepredvidivih upada u fizički prostor davatelja usluga certificiranja
odnosno u informacijski sustav
– pravila vođenja evidencija o prisustvu zaposlenika u sustavu certificiranja,
pristupa sustavu certificiranja
Članak 14.
U slučajevima prigovora u svezi odstupanja sadržaja usluga u odnosu na utvrđena
pravila sadržana u dokumentaciji davatelja usluga certificiranja, odgovorna
osoba davatelja usluga dužna je otkloniti odstupanja.
Ako odgovorna osoba u roku od sedam radnih dana nije u mogućnosti otkloniti
odstupanja, postupak se može povjeriti trećoj osobi u svrhu arbitraže i koju
prihvaćaju strane u sporu.
Ako arbitraža nije moguća, strane poduzimaju radnje pred sudom.
Infrastruktura
Članak 15.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
primjenjivati smjernice Europske unije te Europske norme (EN) koje se odnose na
postupke osiguravanja i zaštite opreme i prostora.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
obavljanje usluga certificiranja prilagoditi novim normama, odlukama i
preporukama iz stavka 1. ovog članka, koje se donose nakon dobivene dozvole.
Ispunjenje određenog uvjeta iz stavka 1. ovog članka može uslijediti i poslije
dobivanja dozvole, a prije početka obavljanja djelatnosti, poglavito, ako se
radi o većim ulaganjima u specijalizirani prostor ili opremu ili se radi o
upošljavanju djelatnika određene specijalnosti. U tom slučaju potrebito je
priložiti uz zahtjev uvjerljiv dokaz iz kojeg je vidljivo da je moguće ostvariti
određeni uvjet u predloženom roku.
Članak 16.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora uslugu
certificiranja za koju je dobio dozvolu obavljati svojim sredstvima za rad i
stalno uposlenim djelatnicima.
Postupke u svezi s najsloženijom opremom (software, hardware) koji se mogu
provesti jedino od strane proizvođača te opreme, davatelj usluga certificiranja
koji izdaje kvalificirane certifikate može obaviti uz odgovarajuće sudjelovanje
djelatnika proizvođača te opreme i uz pomoć njihove opreme.
Članak 17.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za
obavljanje usluga certificiranja imati poslovni prostor u svom vlasništvu ili u
najmu na rok duži od pet godina od dana podnošenja zahtjeva. Poslovni prostor
mora biti veličine prikladne za smještaj opreme i rad osoblja koje obavlja
usluge certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
poslove generiranja kriptografskih ključeva i izrade certifikata provoditi u
specijaliziranom prostoru izdvojenom za tu namjenu.
Pristup prostoru u kojem se provode radnje iz stavka 2. ovog članka, mogu imati
samo ovlaštene osobe i o svakom pristupu prostoru mora se voditi evidencija.
Strojna i programska oprema
Članak 18.
Davatelj usluga certificiranja mora za strojnu i programsku opremu kojom obavlja
usluge certificiranja primjenjivati hrvatske norme, preuzete norme Europskog
instituta za telekomunikacijske norme (ETSI), te odluke i preporuke RFC skupine,
ISO protokole i norme.
Članak 19.
Davatelj usluga certificiranja mora osigurati fizičku zaštitu strojne opreme te
provoditi stalni nadzor pristupa računalnim resursima i fizičkom prostoru gdje
su smješteni resursi sustava certificiranja.
Pristup se može provoditi isključivo uz prisustvo najmanje dvije ovlaštene osobe
koje imaju pristup informacijskom sustavu davatelja usluga certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
osigurati da samo osobe koje rade u sustavu certificiranja imaju pristup
prostoru gdje se nalaze resursi sustava certificiranja.
Članak 20.
Informacijski sustav davatelja usluga certificiranja koji izdaje kvalificirane
certifikate mora biti izgrađen od računalne i programske osnovice namijenjene
isključivo za poslove certificiranja.
Članak 21.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora opremu
za ovjeru i djelovanje sustava certificiranja uskladiti s tehničkim standardom
FIPS 140-1 (gornje razine) odnosno s utvrđenim zajedničkim obrascem zaštite
programsko-tehničke i informatičke opreme i sustava »Common Criteria 2.1«
temeljenom na ISO 15408-1:1999 normi.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
postupke i oblike zaštite sustava za cijelo vrijeme pružanja usluga
certificiranja usklađivati s trenutno važećim preporukama i normama u području
zaštite i sigurnosti djelovanja informatičkih sredstava i sustava.
Osoblje
Članak 22.
Osoblje zaposleno u sustavu certificiranja provodi poslove i operativne zadaće u
sustavu certificiranja kroz odvojene organizacijske točke (službe, odjeli i
slično) za upravljanje informacijskim sustavom, sustavom upravljanja
certifikatima, poslovima zaštite i kontrole te poslovima pravne zaštite i
nadzora djelovanja sustava certificiranja.
Članak 23.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora imati
stalno zaposleno
– najmanje dva stručnjaka s visokom stručnom spremom tehničkog,
prirodoslovnomatematičkog, informatičkog ili tehničkog usmjerenja,
specijaliziranih za rad s kriptografskim tehnologijama
– najmanje tri visoko obrazovana stručnjaka tehničkog usmjerenja za zaštitu
računalnih sustava i informacijskih baza te s iskustvom u radu sa sustavima
izdavanja, opoziva i održavanja certifikata.
– najmanje jednog visokoobrazovanog pravnika s poznavanjem sustava zaštite
osobnih podataka, uporabe i pravne sukladnosti elektroničkog potpisa.
Članak 24.
Zaposleno osoblje davatelja usluga certificiranja mora imati stručna znanja u
radu s tehnologijom certificiranja, kao i za postupke zaštite računalne opreme i
programa u primijenjenom sustavu certificiranja te osigurano permanentno
usavršavanje znanja i vještina potrebnih za rad u sustavu certificiranja.
Članak 25.
Zaposleni kod jednog davatelja usluga certificiranja ne smiju biti u radnom
odnosno poslovnom odnosu s drugim davateljima usluga certificiranja.
Financijski resursi
Članak 26.
Davatelj usluga certificiranja mora raspolagati financijskim resursima koji
osiguravaju nesmetano pružanje usluga certificiranja neovisno o broju korisnika
usluga i za cijelo vrijeme obavljanja usluga certificiranja.
Davatelj usluga certificiranja mora imati vlastiti poslovni račun i garanciju
poslovne banke na tekuće poslovanje vidljivo kroz javno dostupno poslovno
godišnje izvješće.
Certifikati i podaci (izdavanje i opoziv certifikata, provjera identiteta
potpisnika)
Članak 27.
Davatelj usluga certificiranja mora osigurati jedinstvenost podataka za ovjeru
elektroničkog potpisa na način koji omogućuje nedvojbeno utvrđivanje
(identifikacija) potpisnika.
Članak 28.
Osoba koja traži uslugu certificiranja (potpisnik) osobno u prijavnoj službi
davatelja usluga certificiranja podnosi zahtjev za izdavanje certifikata.
Potpisnik mora osigurati točnost i ispravnost podataka u zahtjevu i za to
odgovara pravno i materijalno.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je u
cijelosti razmotriti podatke koje je potpisnik predao u zahtjevu za izdavanje
certifikata te provesti u prisustvu potpisnika fizičku identifikaciju potpisnika
temeljem osobne iskaznice i drugih relevantnih dokumenata s fotografijom
potpisnika (putovnica, europska identifikacijska kartica) kojima se potvrđuje
istinitost podataka sadržanih u zahtjevu za izdavanje certifikata.
Identifikacija se potvrđuje usklađivanjem priložene fotografije potpisnika i
dopunski se usklađuje s ispravnim i potpunim izgovaranjem i pisanjem imena i
prezimena potpisnika.
Članak 29.
Podaci ispravnih i odobrenih zahtjeva za izdavanje certifikata arhiviraju se u
informacijskom sustavu davatelja usluga certificiranja.
Sadržaj certifikata upisuje se u Registar izdatih certifikata.
Članak 30.
Potpisnik kojem je odobreno izdavanje certifikata mora osobno kod davatelja
usluga certificiranja ili na drugom za te poslove određenom mjestu preuzeti
izdati certifikat.
Izdavanje certifikata mora obavljati isključivo osoba koja je ovlaštena za te
poslove i stalno zaposlena kod davatelja usluga certificiranja koji izdaje
kvalificirane certifikate.
Članak 31.
Sadržaj kvalificiranog certifikata mora biti usklađen s tehničkom specifikacijom
ETSI 101 862 (v1.2.1 – 2001-06 ili novije) – Qualified Certificate Profile, i
koji se ujedno temelji na Qualified Certificate Profile obrascu RFC 3039.
Certifikat obvezno sadrži sljedeće elemente:
– serijski broj (jedinstven, neponovljiv broj)
– identifikaciju davatelja usluga certificiranja
– kriptografski algoritam primijenjen kod izrade elektroničkog potpisa
– elektronički potpis davatelja usluga certificiranja
– ime davatelja usluga certificiranja koji je izdao certifikat
– ime, adresa i ostali identifikacijski elementi potpisnika neophodni za
jednoznačnu identifikaciju
– podaci neophodni za postupak ovjere elektroničkog potpisa potpisnika na kojeg
se odnosi certifikat
– podaci za ovjeru elektroničkog potpisa
– datum izdavanja i rok valjanosti certifikata
– jednoznačni identifikacijski kod (Object Identifier prema ASN.1) Općih pravila
davatelja usluga certificiranja (ako je prethodno pridobio OID).
Članak 32.
Izdati certifikat se opoziva
– istekom roka na koji je izdat, odnosno na dan prestanka valjanosti
– na zahtjev potpisnika
– na službeni zahtjev od strane suda, odgovarajućeg tijela državne uprave
odnosno pravne osobe kod koje je potpisnik zaposlen u trenutku podnošenja
zahtjeva za opoziv certifikata
– na zahtjev davatelja usluga certificiranja u slučajevima neispunjavanja
tehničkih uvjeta odnosno ako se pri uporabi elektroničkog potpisa ne postupa
na propisan način.
Opozvani certifikati upisuju se u listu opozvanih certifikata koja mora biti
dostupna svim subjektima koji imaju pristup uslugama davatelja usluga
certificiranja.
Lista opozvanih certifikata mora se trenutno obnoviti kod svake nastale izmjene
odnosno ako nije bilo promjena, u roku ne dužem od trideset dana.
Članak 33.
Lista opozvanih certifikata mora sadržavati najmanje sljedeće elemente:
– redni broj radne verzije liste
– kriptografski algoritam korišten pri izradi elektroničkog potpisa davatelja
usluga certificiranja
– elektronički potpis davatelja usluga certificiranja
– ime davatelja usluga certificiranja
– datum izrade liste.
Svaki opozvani certifikat u Listi opozvanih certifikata sadrži:
– serijski broj dodijeljen certifikatu kod izdavanja
– datum opoziva (od kada certifikat više nije važeći).
Članak 34.
Davatelj usluga certificiranja utvrđuje vremensku valjanost izdatog
kvalificiranog certifikata odnosno rok do kada se priznaje važenje izdatog
certifikata.
Rok iz stavka 1. ovog članka za kvalificirane certifikate mora se utvrditi u
trajanju do pet godina.
Članak 35.
Podaci o potpisnicima, izdati certifikati, liste opozvanih certifikata kao i
tehnički podaci nastali bilježenjem rada sustava certificiranja moraju se
arhivirati na medije koji osiguravaju trajnost zapisa od najmanje 20 godina.
U svrhu čuvanja zapisa moraju se izraditi i sigurnosne kopije koje moraju biti
smještene na drugoj lokaciji, izdvojeno od sustava certificiranja u upotrebi.
Članak 36.
Arhivirani podaci moraju se čuvati i zaštititi od neovlaštenog pristupa i
mogućih gubitaka u zapisu.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora u
svrhu očuvanja čitkosti i ispravnosti zapisa na medijima, provoditi postupke
provjere i po potrebi, osvježivanje zapisa na medijima najmanje dva puta
godišnje.
Članak 37.
Potpisnik može zatražiti kod davatelja usluga certificiranja povremeno
provjeravanje podataka za izradu te podataka za ovjeru elektroničkog potpisa.
Potpisnik zahtjev za provjeru prema stavku 1. ovog članka podnosi osobno kod
davatelja usluga certificiranja, a može i u elektroničkom obliku ako je takav
zahtjev ispravno elektronički potpisan od strane podnositelja zahtjeva.
Članak 38.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
podatke za izradu svog elektroničkog potpisa odvojeno rasporediti na najmanje
dvije osobe koje zajedno izrađuju elektronički potpis.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
podatke za izradu svog elektroničkog potpisa fizički i elektronički zaštititi u
skladu s utvrđenim pravilima i standardima u svrhu sprječavanja fizičkog ili
elektroničkog pristupa od strane neovlaštenih osoba.
Zaštita osobnih podataka
Članak 39.
Davatelj usluga certificiranja mora podatke o potpisnicima prikupljati,
pohranjivati, koristiti i brisati u skladu s odgovarajućim propisima o zaštiti
osobnih podataka i poštivanja i zaštite privatnosti korisnika sustava
certificiranja.
Podaci o potpisniku mogu se pridobivati isključivo osobno od samog potpisnika i
u opsegu odnosno sadržaju potrebnom za postupak izdavanja certifikata.
Potpisnik ima pravo uvida u podatke koji se o njemu vode kod davatelja usluga
certificiranja u svrhu provjere ili potrebnih dopuna odnosno ispravaka.
Zahtjev za uvid u podatke može se dostaviti i u elektroničkom obliku i potpisan
s elektroničkim potpisom podnositelja zahtjeva.
Davatelj usluga certificiranja mora dostaviti tražene podatke najkasnije u roku
od pet radnih dana od zaprimanja zahtjeva.
Članak 40.
Davatelj usluga certificiranja ne smije pružati povjerljive podatke osim u
slučajevima kada to traži sud ili državno odvjetništvo.
Osoba koja kod davatelja usluga certificiranja provodi provjeru rada sustava
certificiranja ima pravo uvida u povjerljive podatke izuzev u kriptografske
podatke (podaci za izradu i ovjeru elektroničkog potpisa davatelja usluga
certificiranja) ali ih ne smije iznositi izvan sustava niti objavljivati u
izvješćima. Ugovorom se dodatno obvezuje na držanje u potpunoj tajnosti
povjerljivih podataka u koje je imao uvid za vrijeme postupaka provjere rada
sustava certificiranja.
V. OPĆI POSTUPCI ZAŠTITE SUSTAVA CERTIFICIRANJA
Članak 41.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je
izraditi jedinstveni sustav zaštite i sigurnosti obavljanja usluga.
U svrhu izvedbe i održavanja jedinstvenog sustava zaštite i sigurnosti
obavljanja usluga certificiranja izrađuje interni Pravilnik o provođenju zaštite
sustava certificiranja.
Članak 42.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora prije
početka obavljanja usluga, nakon značajnih promjena u sustavu za vrijeme
obavljanja usluga, te redovito svake godine provoditi na temelju izrađenog
Pravilnika o provođenju zaštite sustava certificiranja, provjeru svih dijelova
sustava u odnosu na sigurnost, pouzdanost i kvalitetu djelovanja.
Najveći vremenski razmak između dva postupka provjere ne može biti veći od jedne
godine.
Članak 43.
Davatelj usluga certificiranja može nastaviti pružati usluge certificiranja ako
se utvrdi da je sustav usklađen sa zahtjevima sadržanim u Pravilniku o
provođenju zaštite sustava certificiranja.
Članak 44.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora za
poslove zaštite sustava certificiranja zaposliti kvalificirano osoblje za
sljedeće poslove zaštite:
– kontrola fizičkog pristupa računalnoj opremi
– ugradnja i konfiguracija programskog sklopa zaštite kao i sustavno mijenjanje
kriptografskih ključeva
– analiza rada u svima fazama rada, bilježenje i arhiviranje tih podataka te
obavješćivanje
– upravljačke funkcije i operacije otklanjanja problema u funkcioniranju
propisanih mjera zaštite
– izvješćivanje o pokušajima narušavanja propisanih mjera zaštite te
identifikacija subjekata koji provode narušavanje.
Članak 45.
Provjera se mora provesti najmanje za ova područja:
– sustav certificiranja (informacijski sustav)
– tehnologija kriptozaštite
– radni prostor te računalna i mrežna oprema
– relevantni zakonski i drugi propisi u Republici Hrvatskoj i Europi.
Članak 46.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora sustav
certificiranja i informacijski sustav uskladiti sa zahtjevima sigurnosti
djelovanja informacijskih sustava sukladno obrascu ISO/IEC 17799:2000 (Code of
Practice for Information Security Management) te BS 7799-2:1999 (British
Standard for Information Security Management – Specification for Information
Security Mnagement System).
Sustav certificiranja mora sadržavati odvojene radne skupine pri čemu osoblje
koje radi na poslovima upravljanja računalnim sustavom ne može raditi poslove
izdavanja i opoziva certifikata.
Članak 47.
Svi podaci za izradu naprednog elektroničkog potpisa davatelja usluga
certificiranja moraju biti kriptografski zaštićeni uz primjenu:
– sredstava za izradu naprednog elektroničkog potpisa sukladno FIPS 140-1
(gornje razine) te kojima je moguća upotreba posebnih pristupnih tehnika za rad
s podacima za izradu elektroničkog potpisa
– podataka za izradu potpisa primjenom RSA ili DSA algoritma dužine najmanje
2048 bita odnosno odgovarajuće razine Elliptic Curve algoritma, te SHA-1 ili
RIPEMD – 160 algoritma za kriptiranje sadržaja
– kriptografskih algoritama (3DES algoritma – 128 bitni ili AES tehnika) u svrhu
zaštite pristupa podacima.
Članak 48
Davatelj usluga certificiranja mora podatke za izradu svog elektroničkog potpisa
čuvati u najmanje dva primjerka na odvojenim lokacijama u za to namjenski
uređenom prostoru zaštićenom od oštećivanja u slučaju požara, poplave i drugih
štetnih utjecaja, te osigurati razdvajanje osnovnog skupa podataka za izradu
elektroničkog potpisa u najmanje dva dijela.
Raspoloživost podataka za izradu naprednog elektroničkog potpisa davatelja
usluga certificiran ja koji izdaje kvalificirane certifikate mora biti
jednokratna i to za vrijeme izrade elektroničkog potpisa i mora prestati nakon
svake izrade elektroničkog potpisa.
Članak 49.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora rad s
računalnom i programskom opremom povjeriti samo osobama s visokom stručnom
spremom i specijalističkih znanja u rukovanju opremom ugrađenom u sustav
certificiranja.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate mora
fizički pristup računalnom sustavu kojim se provode usluge certificiranja
omogućiti samo operativnim djelatnicima koji izravno rade s računalnim sustavom.
Osoblje koje čisti prostor u kojem se nalazi računalni sustav može to raditi
isključivo u vrijeme prisustva operativnih djelatnika.
U slučaju neovlaštenog pristupa računalnoj i programskoj opremi odnosno
informacijskom sustavu, davatelj usluga certificiranja mora zaustaviti normalan
rad i provoditi mjere predviđene za rad u izvanrednim situacijama sve do
potpunog otkrivanja uzroka te otklanjanja mogućih šteta.
Središnji računalni sustav mora imati osigurano trajno napajanje energijom uz
potrebno radno okruženje kao što je stupanj vlažnosti i topline, dozvoljena
razina zračenja i ostale vrijednosti specifične za računalni sustav u upotrebi.
Računalni sustav mora biti smješten na mjestu koje je osigurano od poplave uz
adekvatnu protupožarnu zaštitu.
VI. POSEBNE ODREDBE
Članak 50.
Davatelj usluga certificiranja koji izdaje kvalificirane certifikate dužan je
osigurati rizik od odgovornosti za štete koje nastanu obavljanjem usluga
certificiranja.
Osiguranje sadržano u stavku 1. ovog članka predstavlja obvezno osiguranje.
Najniži iznos na koji davatelj usluga certificiranja koji izdaje kvalificirane
certifikate mora osigurati odgovornost za štete iznosi 2.000.000,00 kuna.
VII. ZAVRŠNE ODREDBE
Članak 51.
Ovaj Pravilnik stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa: 130-01/01-01/63
Urbroj: 526-01/02-14
Zagreb, 8. svibnja 2002.
Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe. Zakon o elektronskom potpisu Internet elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba kompjuterski Zakon o elektronskom potpisu računala elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba Hint: Zakon o elektronskom potpisu elektronski potpis elektronički potpis cyber elektronski potpis upotrebe upotrebe upotreba
|
