EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32013D0662

2013/662/EU: Komission täytäntöönpanopäätös, annettu 14 päivänä lokakuuta 2013 , päätöksen 2009/767/EY muuttamisesta jäsenvaltioiden valvomia/akkreditoimia varmennepalvelujen tarjoajia koskevien luotettavien luetteloiden laatimisen, ylläpitämisen ja julkaisun osalta (tiedoksiannettu numerolla C(2013) 6543) ETA:n kannalta merkityksellinen teksti

OJ L 306, 16.11.2013, p. 21–39 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2013/662/oj

16.11.2013   

FI

Euroopan unionin virallinen lehti

L 306/21


KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS,

annettu 14 päivänä lokakuuta 2013,

päätöksen 2009/767/EY muuttamisesta jäsenvaltioiden valvomia/akkreditoimia varmennepalvelujen tarjoajia koskevien luotettavien luetteloiden laatimisen, ylläpitämisen ja julkaisun osalta

(tiedoksiannettu numerolla C(2013) 6543)

(ETA:n kannalta merkityksellinen teksti)

(2013/662/EU)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon palveluista sisämarkkinoilla 12 päivänä joulukuuta 2006 annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY (1) ja erityisesti sen 8 artiklan 3 kohdan,

sekä katsoo seuraavaa:

(1)

Toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti 16 päivänä lokakuuta 2009 tehty komission päätös 2009/767/EY (2) velvoittaa jäsenvaltiot asettamaan saataville hyväksyttyyn varmenteeseen perustuvien edistyneiden sähköisten allekirjoitusten validoinnissa tarvittavat tiedot. Nämä tiedot on esitettävä yhdenmukaisesti niin kutsutuissa luotettavissa luetteloissa, jotka sisältävät tiedot varmennepalvelujen tarjoajista, jotka myöntävät hyväksyttyjä varmenteita yleisölle sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 joulukuuta 1999 annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY (3) mukaisesti ja joita jäsenvaltiot valvovat/akkreditoivat.

(2)

Jäsenvaltioiden käytännön kokemukset päätöksen 2009/767/EY soveltamisesta ovat osoittaneet, että on tarpeen tehdä joitakin parannuksia luotettavista luetteloista saatavan hyödyn maksimoimiseksi. Lisäksi eurooppalainen telealan standardisoimisjärjestö (ETSI) on julkaissut luotettavia luetteloita koskevia uusia teknisiä eritelmiä (TS 119 612), jotka perustuvat kyseisen päätöksen liitteessä tällä hetkellä oleviin eritelmiin mutta joilla tehdään samalla parannuksia voimassa oleviin eritelmiin.

(3)

Päätöstä 2009/767/EY olisi sen vuoksi muutettava sisällyttämällä siihen viittaus ETSIn teknisiin eritelmiin 119 612 ja tekemällä siihen muutokset, jotka katsotaan tarpeellisiksi luotettavien luetteloiden soveltamisen ja käytön parantamiseksi ja helpottamiseksi.

(4)

Jotta jäsenvaltiot voivat tehdä vaaditut tekniset muutokset nykyisiin luotettaviin luetteloihinsa, tätä päätöstä olisi sovellettava 1 päivästä helmikuuta 2014.

(5)

Tässä päätöksessä säädetyt toimenpiteet ovat palveludirektiivikomitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Päätöksen 2009/767/EY muuttaminen

Muutetaan päätös 2009/767/EY seuraavasti:

1)

Muutetaan 2 artikla seuraavasti:

a)

Korvataan 1, 2 ja 2 a kohta seuraavasti:

”1.   Jokaisen jäsenvaltion on laadittava ja julkaistava liitteessä määriteltyjen teknisten eritelmien mukaisesti luotettava luettelo ja ylläpidettävä sitä. Se sisältää ainakin tiedot varmennepalvelujen tarjoajista, jotka myöntävät hyväksyttyjä varmenteita yleisölle ja joita jäsenvaltiot valvovat tai jotka ne ovat akkreditoineet.

2.   Jäsenvaltioiden on laadittava ja julkaistava luotettava luettelo koneellisesti luettavissa olevassa muodossa liitteessä määriteltyjen eritelmien mukaisesti. Jos jäsenvaltio päättää julkaista luotettavan luettelon ihmisen luettavissa olevassa muodossa, sen pitää olla liitteessä määriteltyjen eritelmien mukainen.

2 a.   Jäsenvaltioiden on allekirjoitettava koneellisesti luettavissa olevassa muodossa oleva luotettava luettelonsa sähköisesti sen aitouden ja eheyden varmistamiseksi. Jos jäsenvaltio julkaisee luotettavan luettelon ihmisen luettavissa olevassa muodossa, sen on varmistettava, että kyseisessä muodossa oleva luettelo sisältää samat tiedot kuin koneellisesti luettavassa muodossa oleva luettelo, ja allekirjoitettava se sähköisesti samalla varmenteella kuin se, jota käytetään koneellisesti luettavissa olevassa muodossa olevan luettelon allekirjoittamisessa.”

b)

Lisätään 2 b kohta seuraavasti:

”2 b.   Jäsenvaltioiden on varmistettava, että koneellisesti luettavassa muodossa oleva luotettava luettelo on julkaisupaikassaan milloin tahansa saatavilla keskeytyksettä lukuun ottamatta ylläpitotarkoituksia.”

c)

Korvataan 3 kohta seuraavasti:

”3.   Jäsenvaltioiden on annettava komissiolle tiedoksi seuraavat:

a)

koneellisesti luettavassa muodossa olevan luotettavan luettelon laadinnasta, ylläpidosta ja julkaisusta vastaava laitos tai vastaavat laitokset;

b)

koneellisesti luettavassa muodossa olevan luotettavan luettelon julkaisupaikka;

c)

vähintään kaksi järjestelmäoperaattorin (scheme operator) julkisen avaimen varmennetta, joiden voimassaoloaika on vähintään kolme kuukautta ja jotka vastaavat yksityisiä avaimia, joita voidaan käyttää koneellisesti luettavassa muodossa olevan luotettavan luettelon allekirjoittamiseksi sähköisesti;

d)

edellä a, b ja c alakohdassa oleviin tietoihin mahdollisesti tehtävät muutokset.”

d)

Lisätään 3 a kohta seuraavasti:

”3 a.   Jos jäsenvaltio julkaisee luotettavan luettelon ihmisen luettavissa olevassa muodossa, 3 kohdassa tarkoitetut tiedot on annettava tiedoksi myös ihmisen luettavissa olevassa muodossa olevan luettelon osalta.”

2)

Korvataan liite tämän päätöksen liitteellä.

2 artikla

Soveltaminen

Tätä päätöstä sovelletaan 1 päivästä helmikuuta 2014.

3 artikla

Osoitus

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 14 päivänä lokakuuta 2013.

Komission puolesta

Michel BARNIER

Komission jäsen


(1)  EUVL L 376, 27.12.2006, s. 36.

(2)  EUVL L 274, 20.10.2009, s. 36.

(3)  EYVL L 13, 19.1.2000, s. 12.


LIITE

VALVOTTUJEN/AKKREDITOITUJEN VARMENNEPALVELUJEN TARJOAJIEN LUOTETTAVAN LUETTELON YHTEISTÄ MALLIA KOSKEVAT TEKNISET ERITELMÄT

YLEISET VAATIMUKSET

1.   Johdanto

Jäsenvaltioiden valvottujen/akkreditoitujen varmennepalvelujen tarjoajien luotettavan luettelon yhteisen mallin tarkoituksena on vahvistaa yhteinen tapa, jolla kukin jäsenvaltio toimittaa tietoja niiden varmennepalvelujen tarjoajien (1) (CSP) suorittamien varmennepalvelujen valvonta-/akkreditointistatuksesta, joita jäsenvaltiot valvovat direktiivin 1999/93/EY asiaa koskevien säännösten täyttämisen osalta. Tähän kuuluu myös valvottujen/akkreditoitujen varmennepalvelujen valvonta-/akkreditointistatusta koskevien historiatietojen toimittaminen.

Näiden tietojen päätarkoituksena on tukea hyväksyttyjen sähköisten allekirjoitusten (QES) ja hyväksyttyyn varmenteeseen (2) perustuvien kehittyneiden sähköisten allekirjoitusten (AdES) (3) validointia. (4)

Luotettavan luettelon pakollisiin tietoihin kuuluvat ainakin tiedot valvotuista/akkreditoiduista CSP-tarjoajista, jotka myöntävät hyväksyttyjä varmenteita (QC) (5) direktiivin 1999/93/EY säännösten (3 artiklan 2 ja 3 kohdan ja 7 artiklan 1 kohdan a alakohdan) mukaisesti, mukaan lukien tiedot sähköiseen allekirjoitukseen liittyvistä hyväksytyistä varmenteista silloin, kun nämä tiedot eivät ole osa hyväksyttyjä varmenteita, ja siitä, onko allekirjoitus luotu turvallisen allekirjoituksen luomismenetelmän (SSCD) (6) avulla vai ei.

Luotettavaan luetteloon voi sisältyä kansallisella tasolla vapaaehtoisuuteen perustuvia lisätietoja muista CSP-tarjoajista, jotka eivät myönnä QC-varmenteita vaan tarjoavat sähköisiin allekirjoituksiin liittyviä palveluja (esim. aikaleimauspalveluja tarjoavat ja aikaleimasanakkeita antavat CSP:t, muita kuin hyväksyttyjä varmenteita antavat CSP:t jne.), edellyttäen, että ne ovat joko QC-varmenteita myöntävien CSP-tarjoajien tavoin valvottuja/akkreditoituja CSP-tarjoajia tai että ne on hyväksytty muun kansallisen hyväksymisjärjestelmän mukaan. Joidenkin jäsenvaltioiden kansalliset hyväksymisjärjestelmät saattavat erota QC-varmenteita myöntäviin CSP-tarjoajiin sovellettavista valvontajärjestelmistä tai vapaaehtoisuuteen perustuvista akkreditointijärjestelmistä vaatimusten ja/tai vastuuorganisaation osalta. Näissä eritelmissä käytetyt käsitteet ”akkreditoitu” ja/tai ”valvottu” kattavat myös kansalliset hyväksymisjärjestelmät, mutta mahdollisia kansallisia järjestelmisä koskevat lisätiedot annetaan jäsenvaltioiden luotettavissa luetteloissa, mukaan lukien selvitys mahdollisista eroista QC-varmenteita myöntäviin CSP-tarjoajiin sovellettavien akkreditointi-/valvontajärjestelmien kanssa.

Yhteinen malli perustuu ETSIn tekniseen eritelmään 119 612 v1.1.1 (7), jäljempänä ’ETSI TS 119 612’, joka koskee tällaisten luetteloiden laadintaa, julkaisua, sijoittamista, käyttöä sekä aidoiksi ja eheiksi todentamista.

2.   Luotettavan luettelon yhteisen mallin rakenne

Ehdotettu jäsenvaltioiden luotettavan luettelon yhteinen malli rakentuu ETSI TS 119 612:n mukaan seuraavien tietokategorioiden varaan:

1.

luotettavan luettelon tunniste, joka helpottaa luotettavan luettelon tunnistamista sähköisissä hauissa;

2.

tiedot luotettavasta luettelosta ja sen julkaisujärjestelmästä;

3.

niiden kenttien jakso, jotka sisältävät yksiselitteistä tunnistetietoa jokaisesta järjestelmässä valvotusta/akkreditoidusta CSP:stä (tämä jakso on vapaaehtoinen, mikä tarkoittaa sitä, että kun sitä ei käytetä, luettelo katsotaan tyhjäksi, mikä on osoitus siitä, ettei kyseisessä jäsenvaltiossa ole valvottua tai akkreditoitua CSP:stä luotettavaa luetteloa varten);

4.

kunkin luetteloon sisältyvän CSP:n osalta yksityiskohtaiset tiedot kyseisen CSP:n luottamuspalveluista, joiden nykyinen status merkitään luotettavaan luetteloon, annetaan sellaisten kenttien jaksona, joissa yksilöidään yksiselitteisesti CSP:n tarjoamat valvotut/akkreditoidut varmennepalvelut ja niiden nykyinen status (tässä jaksossa on oltava vähintään yksi syöte);

5.

jokaisen luetteloon sisältyvän valvotun/akkreditoidun varmennepalvelun osalta tarvittaessa nykyisen statuksen historiatiedot;

6.

luotettavaan luetteloon sovellettava allekirjoitus.

QC-varmenteita myöntävän CSP:n yhteydessä luotettavan luettelon rakenne ja erityisesti palvelutieto-osio (ks. edellä oleva kohta 4) mahdollistavat täydentävien tietojen antamisen palvelutietoliitettä koskevassa kentässä sellaisten tilanteiden kompensoimiseksi, joissa ei ole saatavana tarpeeksi (koneellisesti luettavassa muodossa olevaa) tietoa hyväksytyn varmenteen hyväksytystä statuksesta eikä siitä, onko varmenteen tukena mahdollisesti SSCD, erityisesti sen seikan ottamiseksi huomioon, että useimmat (kaupalliset) CSP:t käyttävät yhtä ainoaa myöntävää varmentajaa (CA) monenlaisten – sekä hyväksyttyjen että muunlaisten – loppukäyttäjän varmenteiden myöntämiseen.

Varmennepalveluiden yhteydessä palvelusyötteiden määrää CSP:n luettelossa voidaan rajoittaa, jos CSP:n PKI-järjestelmässä on yksi tai useampi ylemmän tason CA-palvelu (esim. juuritason CA:sta varmenteita myöntäviin CA:hin ulottuvassa CA-hierarkiassa), luetteloimalla kyseiset ylemmän tason CA-palvelut loppukäyttäjän varmenteita myöntävien CA-palvelujen sijaan (esim. luetteloimalla vain CSP:n juuritason CA). Statustiedot koskevat tuolloin kuitenkin CA-palvelujen koko hierarkiaa luetteloon merkityn palvelun alapuolella, ja yksiselitteisen riippuvuuden periaate CSPQC-varmennepalvelun ja QC-varmenteiksi tunnistettaviksi tarkoitettujen varmennesarjojen välillä on säilytettävä ja varmistettava.

2.1   Kuvaus kuhunkin kategoriaan kuuluvista tiedoista

1.   Luotettavan luettelon tunniste

2.   Tiedot luotettavasta luettelosta ja sen julkaisujärjestelmästä

Tähän kategoriaan kuuluvat seuraavat tiedot:

luotettavan luettelon muotoversion tunniste;

luotettavan luettelon järjestysnumero (tai julkaisunumero);

luotettavan luettelon tyyppitieto (esim. sen tunnistamiseksi, että kyseisessä luotettavassa luettelossa annetaan tietoa ilmoitetun jäsenvaltion valvomien/akkreditoimien CSP-tarjoajien varmennepalvelujen valvonta-/akkreditointistatuksesta suhteessa siihen, että direktiivin 1999/93/EY säännökset täyttyvät);

luotettavan luettelon järjestelmäoperaattorin (scheme operator) tiedot (omistajatiedot) (esim. luotettavan luettelon laadinnasta, turvallisesta julkaisusta ja ylläpidosta vastuussa olevan jäsenvaltion elimen nimi, osoite, yhteystiedot jne.);

tiedot käytetystä valvonta-/akkreditointijärjestelmästä tai -järjestelmistä, joihin luotettava luettelo liittyy, mukaan lukien seuraavat seikat, niihin kuitenkaan rajoittumatta:

maa, jossa järjestelmää sovelletaan,

tiedot paikasta tai viittaus paikkaan, jossa järjestelmää/järjestelmiä koskevat tiedot sijaitsevat (järjestelmän malli, säännöt, kriteerit, sovellettava yhteisö, tyyppi jne.),

(historia)tietojen säilytysaika;

luotettavan luettelon politiikka ja/tai oikeudellinen huomautus, velvoitteet ja vastuukysymykset;

luotettavan luettelon julkaisupäivä ja -aika;

luotettavan luettelon seuraava suunniteltu päivitys.

3.   Yksiselitteiset tunnistustiedot jokaisesta järjestelmässä valvotusta/akkreditoidusta CSP:stä

Tähän tietosarjaan kuuluvat ainakin seuraavat tiedot:

CSP-organisaation nimi sellaisena, kuin se esiintyy virallisissa oikeudellisissa kirjauksissa (mukaan lukien CSP-orgnisaation UID jäsenvaltion käytänteiden mukaisesti);

CSP:n osoite- ja yhteystiedot;

lisätiedot CSP:stä joko suoraan sisällytettyinä tai viitteenä kohteeseen, josta lisätiedot voidaan ladata.

4.   Jokaisesta luettelossa mainitusta CSP:stä sellaisten kenttien jakso, joka sisältää CSP:n tarjoaman, direktiivin 1999/93/EY puitteissa valvotun/akkreditoidun varmennepalvelun yksiselitteiset tunnistetiedot

Tähän tietosarjaan sisältyvät ainakin seuraavat tiedot jokaisesta luettelossa mainitun CSP:n varmennepalvelusta:

palvelutyypin tunniste; varmennepalvelun tyypin tunniste (esim. tunniste, joka osoittaa, että CSP:n tarjoama valvottu/akkreditoitu varmennepalvelu on QC-varmenteita myöntävä varmentaja);

palvelunimi (kauppanimi): varmennepalvelun (kauppa)nimi;

palvelun digitaalinen tunniste: varmennepalvelun yksiselitteinen ainutkertainen tunniste;

palvelun nykyinen status: palvelun nykyisen statuksen tunniste,

nykyisen statuksen alkamispäivä ja -aika,

tarvittaessa palvelutietoliite: lisätiedot palvelusta (esim. joko suoraan sisällytettynä tai sisällytettynä viitteenä kohteeseen, josta nämä tiedot voidaan ladata): järjestelmäoperaattorin toimittamat palvelun määrittelytiedot, palvelun käyttötiedot, CSP:n toimittamat palvelun määrittelytiedot ja palvelutietoliitteet; esim. CA/QC-palvelujen osalta vapaaehtoinen tietomonikkojen jakso, jolloin kussakin monikossa ilmoitetaan

o kriteerit, joilla tunnistetaan tarkemmin (rajataan) yksilöity luottamuspalvelu, jossa tarkennetaan kapasiteetti (esim. (hyväksyttyjen) varmenteiden sarja), jonka statuksesta edellytetään/tarjotaan lisätietoja, SSCD-tukea koskeva ilmoitus ja/tai ilmoitus myöntämisestä oikeushenkilölle; sekä

o asiaan liittyvät määreet (qualifiers), joissa annetaan tietoa siitä, yksilöidäänkö tällä kapasiteetilla hyväksytyiksi katsottavia varmenteita, ja/tai siitä, onko tästä palvelusta yksilöidyt hyväksytyt varmenteet tuettu SSCD:llä vai ei, ja/tai siitä, myönnetäänkö nämä QC:t oikeushenkilölle (muussa tapauksessa ne katsotaan myönnetyiksi ainoastaan luonnollisille henkilöille).

5.   Kustakin luetteloon sisältyvästä varmennepalvelusta statusta koskevat historiatiedot.

6.   Allekirjoitus, joka on merkitty varmentamista varten luotettavan luettelon kaikkiin kenttiin, lukuun ottamatta varsinaista allekirjoituksen arvoa.

3.   Ohjeet luotettavan luettelon kohtien muokkausta varten

3.1   Valvottuja/akkreditoituja varmennepalveluja ja niiden tarjoajia koskevat statustiedot yhdessä luettelossa

Jäsenvaltion luotettavalla luettelolla tarkoitetaan ”luetteloa kyseisen jäsenvaltion sitä varten valvomien/akkreditoimien varmennepalvelujen tarjoajien tuottamien varmennepalvelujen valvonta-/akkreditointistatuksesta, jotta direktiivin 1999/93/EY niitä koskevat säännökset täytetään”.

Tällainen luotettava luettelo on väline, jota jäsenvaltioiden on tarkoitus käyttää tietojen antamiseen varmennepalvelujen ja niiden tarjoajien valvonta-/akkreditointistatuksesta seuraavasti:

kaikki direktiivin 1999/93/EY 2 artiklan 11 kohdan määritelmän mukaiset varmennepalvelujen tarjoajat, eli ”yhteisöt tai oikeushenkilöt tai luonnolliset henkilöt, jotka myöntävät varmenteita tai tarjoavat muita sähköisiin allekirjoituksiin liittyviä palveluja”;

joita valvotaan / jotka on akkreditoitu direktiivin 1999/93/EY asiaa koskevien säännösten noudattamiseksi.

Kun tarkastellaan direktiiviin 1999/93/EY sisältyviä määritelmiä ja säännöksiä, varsinkin niitä, jotka koskevat asiaankuuluvia CSP-tarjoajia ja näiden valvontaa / vapaaehtoisuuteen perustuvia akkreditointijärjestelmiä, voidaan erottaa kaksi CSP- ryhmää: QC-varmenteita yleisölle myöntävät varmennepalvelujen tarjoajat (CSPQC) ja palveluntarjoajat, jotka eivät myönnä QC-varmenteita vaan tarjoavat ”muita sähköisiin allekirjoituksiin liittyviä (lisä)palveluja”.

QC-varmenteita myöntävät CSP-tarjoajat:

Näiden CSP-tarjoajien sijoittautumisjäsenvaltion (jos tarjoajat ovat sijoittautuneet jäsenvaltioon) on valvottava tarjoajia, ja niille voidaan myöntää myös akkreditointi, joka koskee direktiivin 1999/93/EY säännösten noudattamista, mukaan lukien liitteen I (QC-varmenteita koskevat vaatimukset) ja liitteen II (QC-varmenteita myöntäviä CSP-tarjoajia koskevat vaatimukset) vaatimusten noudattaminen. Jossain jäsenvaltiossa akkreditoitujen QC-varmenteita myöntävien CSP-tarjoajien on edelleen kuuluttava kyseisen jäsenvaltion asianmukaiseen valvontajärjestelmään, jos ne ovat sijoittautuneet kyseiseen jäsenvaltioon.

Sovellettava valvontajärjestelmä on määritelty direktiivin 1999/93/EY asiaa koskevissa säännöksissä, joiden vaatimukset järjestelmän on myös täytettävä, erityisesti 3 artiklan 3 kohdan, 8 artiklan 1 kohdan, 11 artiklan ja johdanto-osan 13 kappaleen säännökset (vapaaehtoisuuteen perustuvan akkreditointijärjestelmän osalta 2 artiklan 13 kohdan, 3 artiklan 2 kohdan, 7 artiklan 1 kohdan a alakohdan, 8 artiklan 1 kohdan, 11 artiklan sekä johdanto-osan 4, 11, 12 ja 13 kappaleen säännökset).

CSP-tarjoajat, jotka eivät myönnä QC-varmenteita:

Nämä CSP:t voivat kuulua (direktiivin 1999/93/EY määritelmien ja vaatimusten mukaisen) vapaaehtoisuuteen perustuvan akkreditointijärjestelmän piiriin ja/tai kansallisella tasolla toteutetun ja määritellyn tunnustetun hyväksymisjärjestelmän piiriin direktiivin säännösten ja mahdollisesti varmennepalvelujen tarjontaa koskevien kansallisten säännösten noudattamisen valvonnan osalta (direktiivin 1999/93/EY 2 artiklan 11 kohdan määritelmän mukaan).

Joillekin varmennepalvelun tarjonnan tuloksena luoduille tai myönnetyille fyysisille tai binaarisille (loogisille) kohteille voidaan antaa oikeus erityiseen kelpuutukseen sillä perusteella, että ne täyttävät kansallisella tasolla annetut säännökset ja vaatimukset, mutta tällaisen kelpuutuksen merkitys jää todennäköisesti pelkästään kansalliseksi.

Kunkin jäsenvaltion on laadittava yksi ainoa luotettava luettelo ja ylläpidettävä sitä osoitukseksi kyseisen jäsenvaltion valvomien/akkreditoimien CSP-tarjoajien varmennepalvelujen valvonta- ja/tai akkreditointistatuksesta. Luotettavassa luettelossa on oltava ainakin QC-varmenteita myöntävät CSP:t. Luotettava luettelo voi myös osoittaa muiden kansallisesti määritellyn hyväksymisjärjestelmän mukaan valvottujen tai akkreditoitujen varmennepalveluiden statuksen.

3.2   Yhtenäiset valvonta-/akkreditointistatuksen arvot

Luotettavassa luettelossa se seikka, että palvelu on tällä hetkellä joko valvottu tai akkreditoitu, ilmoitetaan sen nykyisen statuksen arvona. Lisäksi valvonta- tai akkreditointistatus voi olla positiivinen (”valvonnassa”, ”akkreditoitu” tai ”valvonta päättymässä”), päättynyt (”valvonta päättynyt” tai ”akkreditointi päättynyt”) tai suljettu (”valvonta suljettu” tai ”akkreditointi suljettu”), ja se voidaan asettaa vastaavaan arvoon. Sama varmennepalvelu voi elinkaarensa aikana siirtyä valvontastatuksesta akkreditointistatukseen ja päinvastoin. (8)

Jäljempänä kaaviossa 1 kuvataan yksittäisen varmennepalvelun oletettu vuo mahdollisten valvonta-/akkreditointistatusten välillä:

Kaavio 1

CSP:n yhden palvelun valvonta-/akkreditointistatuksen oletettu vuokaavio

Image

QC-varmenteita myöntävää varmennepalvelua on valvottava, kun se on sijoittautunut johonkin jäsenvaltioon, ja se voidaan akkreditoida vapaaehtoisuuden pohjalta. Kun tällaisen palvelun statuksen arvo merkitään luotettavaan luetteloon, siinä on oltava yksi edellä mainituista statuksen arvoista nykyisen statuksen arvona sen mukaan, mikä on sen nykyinen status, ja statuksen arvoa on tarvittaessa muutettava edellä kuvatun statusvuon mukaisesti. CSPQC-tarjoajien statukset ”Akkreditointi päättynyt” ja ”Akkreditointi suljettu” saavat olla ainoastaan siirtymästatuksen arvoja, kun kyseisen CSPQC:n palvelu on merkitty sen jäsenvaltioon luotettavaan luetteloon, johon kyseinen tarjoaja on sijoittautunut, koska oletusarvoisesti tällaisia palveluja on valvottava (silloinkin, kun ne eivät ole enää akkreditoituja). Kun kyseinen palvelu on merkitty luetteloon (akkreditoitu) muussa jäsenvaltiossa kuin siinä, johon se on sijoittautunut, näiden arvojen on oltava lopullisia arvoja.

Jäsenvaltioiden, jotka laativat tai ovat laatineet kansallisesti määritellyn ja kansallisesti toteutetun tunnustetun hyväksymisjärjestelmän tai useita sellaisia sen valvomiseksi, että niiden CSP-tarjoajien, jotka eivät myönnä hyväksyttyjä varmenteita, tarjoamat palvelut ovat direktiivin 1999/93/EY säännösten ja (direktiivin 2 artiklan 11 kohdassa tarkoitettujen) varmennepalvelujen tarjontaa koskevien mahdollisten kansallisten säännösten mukaisia, on luokiteltava kyseiset hyväksymisjärjestelmät seuraaviin luokkiin:

direktiivissä 1999/93/EY (2 artiklan 13 kohta, 3 artiklan 2 kohta, 7 artiklan 1 kohdan a alakohta, 8 artiklan 1 kohta, 11 artikla, johdanto-osan 4, 11, 12 ja 13 kappale) määritelty ja säännelty vapaaehtoisuuteen perustuva akkreditointi;

direktiivissä 1999/93/EY säädetty valvonta, joka on pantu täytäntöön kansallisten lakien mukaisin kansallisin säännöksin ja vaatimuksin.

Tästä seuraa, että varmennepalvelu, jossa ei myönnetä QC-varmenteita, voi olla valvottu tai sillä voi olla vapaaehtoisuuteen perustuva akkreditointi. Kun tällaisen palvelun statuksen arvo merkitään luotettavaan luetteloon, siinä on oltava yksi edellä mainituista statuksen arvoista nykyisen statuksen arvona (ks. kuvio 1) sen mukaan, mikä on sen nykyinen status, ja statuksen arvoa on tarvittaessa muutettava edellä kuvatun statusvuon mukaisesti.

Luotettavassa luettelossa on oltava tiedot käytetystä (käytetyistä) valvonta-/akkreditointijärjestelmästä (-järjestelmistä), ja erityisesti

tiedot CSPQC-tarjoajiin sovellettavasta valvontajärjestelmästä;

tiedot CSPQC-tarjoajiin mahdollisesti sovellettavasta kansallisesta vapaaehtoisuuteen perustuvasta akkreditointijärjestelmästä;

tiedot sellaisiin CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, mahdollisesti sovellettavasta valvontajärjestelmästä;

tiedot niihin CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita mahdollisesti sovellettavasta kansallisesta vapaaehtoisuuteen perustuvasta akkreditointijärjestelmästä.

Viimeisissä kahdessa kohdassa mainitut tiedot ovat ratkaisevan tärkeitä, kun varmenteeseen luottavat osapuolet arvioivat CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, sovellettavien kansallisten valvonta-/akkreditointijärjestelmien laatua ja turvallisuutta. Kun luotettavassa luettelossa esitetään CSP-tarjoajista, jotka eivät myönnä QC-varmenteita, valvonta-/akkreditointistatusta koskevaa tietoa, edellä mainitut tiedot tarjotaan luettelokohtaisesti käyttämällä lausekkeita ”Scheme information URI” (lauseke 5.3.7 – jäsenvaltioiden toimittamat tiedot), ”Scheme type/community/rules” (lauseke 5.3.9 – käyttämällä kaikille jäsenvaltioille yhteistä tekstiä ja vapaaehtoisia jäsenvaltion tarjoamia erityistietoja) ja ”TSL policy/legal notice” (lauseke 5.3.11 – kaikille jäsenvaltioille yhteinen direktiiviin 1999/93/EY viittaava teksti ja kunkin jäsenvaltion mahdollisuus lisätä jäsenvaltiokohtaisia tekstejä/viitteitä).

CSP-tarjoajia, jotka eivät myönnä QC-varmenteita, koskevissa kansallisissa valvonta-/akkreditointijärjestelmissä määriteltyjä lisätietoja kelpuutuksesta voidaan tarjota palvelutasokohtaisesti tarvittaessa ja silloin kun se on pakollista (esim. eri laatu-/palvelutasojen erottamiseksi toisistaan) käyttämällä osana ”Service information extension” -liitteeseen (lauseke 5.5.9) kuuluvaa ”additionalServiceInformation Extension”-liitettä (lauseke 5.5.9.4). Muita tietoja vastaavista teknisistä eritelmistä on esitetty luvussa I olevissa yksityiskohtaisissa eritelmissä.

Vaikka jäsenvaltioon sijoittautuneiden varmennepalvelujen valvonnasta ja akkreditoinnista voivat vastata jäsenvaltion erilliset elimet, yhdessä varmennepalvelussa oletetaan käytettävän vain yhtä merkintää ja sen valvonta-/akkreditointistatusta oletetaan päivitettävän vastaavasti.

3.3   Luotettavat luettelot hyväksyttyjen sähköisten allekirjoitusten (QES) ja hyväksyttyyn varmenteeseen perustuvien kehittyneiden sähköisten allekirjoitusten (AdESQC) validoinnin edistämiseksi

Luotettavan luettelon laadinnan kriittisin vaihe on luotettavan luettelon pakollisen osan laadinta. Tällä tarkoitetaan kunkin QC-varmenteita myöntävän CSP:n palveluluetteloa, jonka on vastattava totuudenmukaisesti kunkin QC-varmenteita myöntävän varmennepalvelun tarkkaa myöntämisstatusta ja jolla on varmistettava, että kussakin syötteessä annetut tiedot riittävät QES-allekirjoitusten ja AdESQC-allekirjoitusten validoinnin edistämiseen (yhdistettynä kyseisessä kohdassa mainitun varmennepalvelun tarjoavan CSP:n myöntämän loppukäyttäjän QC:n sisältöön).

Vaadittuihin tietoihin voi sisältyä muita tietoja kuin yksittäisen (juuritason) varmentajan ”Service digital identity” -tieto, erityisesti myönnetyn varmenteen QC-statuksen tunnistamisen mahdollistavat tiedot ja se, onko tuetut allekirjoitukset luotu SSCD-menetelmän avulla Tämän vuoksi sen jäsenvaltion elimen, joka on nimetty luotettavan luettelon laatijaksi, muokkaajaksi ja ylläpitäjäksi, pitää ottaa huomioon kunkin QC:n nykyinen profiili ja varmenteen sisältö kunkin luotettavaan luetteloon sisältyvän QC- varmenteita myöntävän CSPQC-tarjoajan kohdalla.

Ihannetapauksessa jokaiseen myönnettyyn QC:hen pitäisi sisältyä ETSIn määrittelemä QcCompliance-kuvaus (9), kun varmenteen väitetään olevan QC, ja ETSIn teknisessä spesifikaatiossa määritelty QcSSCD-kuvaus, kun sen väitetään olevan SSCD-menetelmän tukema, ja/tai että myönnettyyn QC:hen sisältyy yksi ETSIn EN 319 411-2-standardissa (10) määritelty varmennepolitiikan kohdetunniste (OID) QCP/QCP+. Koska CSP:t myöntävät QC-varmenteita käyttäen eri viitestandardeja, koska standardeja tulkitaan hyvin väljästi ja eräiden normatiivisten teknisten eritelmien tai standardien olemassaolo ja ensisijaisuus ei ole yleisesti tiedossa, nykyisin myönnettävien QC-varmenteiden tosiasiallisessa sisällössä on eroja (esim. ETSIn määrittelemien QcStatements-lausumien käytön osalta). Tämän vuoksi vastaanottavat osapuolet eivät voi yksinkertaisesti luottaa allekirjoittajan varmenteeseen (ja siihen liittyvään ketjuun/polkuun) arvioidessaan ainakaan koneellisesti luettavassa muodossa sitä, väitetäänkö sähköistä allekirjoitusta tukevan varmenteen olevan hyväksytty varmenne vai ei, ja sitä, liittyykö siihen SSCD, jolla sähköinen allekirjoitus on luotu.

Kun kenttiä ”Service type identifier” (”Sti”), ”Service name” (”Sn”) ja ”Service digital identity” (”Sdi”) täydennetään kentässä ”Service information extensions” (”Sie”) annetuilla tiedoilla, ehdotetussa luettelossa mainitun, QC-varmenteita myöntävän CSP:n varmennepalvelun myöntämän QC:n erityistyyppi voidaan määritellä tarkasti ja antaa tietoa siitä, onko sen tukena SSCP vai ei (jos tämä tieto puuttuu myönnetystä QC:stä). Tähän tietoon liittyy erityinen ”Service current status” (”Scs”) -syöte. Tätä kuvataan jäljempänä kuvassa 2.

Jos luettelossa olevasta palvelusta ilmoitetaan ainoastaan (juuritason) CA:n ”Sdi”-tieto, tämä merkitsee, että QC-varmenteita myöntävä CSP sekä tämän tarjoajan valvonnasta/akkreditoinnista vastaava valvonta-/akkreditointilaitos takaavat, että tämän (juuritason) CA:n (hierarkian) puitteissa julkaistu loppukäyttäjän varmenne sisältää riittävästi ETSIn määrittelemää koneellisesti luettavaa tietoa sen arvioimiseksi, onko kyseessä QC ja onko se luotu SSCD:llä. Jollei esimerkiksi viimeinen väite pidä paikkaansa (eli QC:ssä ei ole ETSIn standardoimaa koneellisesti luettavaa tietoa siitä, onko varmenteen tukena käytetty SSCD:tä), mainitsemalla luettelossa ainoastaan kyseisen (juuritason) CA:n ”Sdi”-kenttä voidaan päätellä ainoastaan, ettei tämän (juuritason) CA:n hierarkian puitteissa myönnettyjen QC-varmenteiden tukena ole SSCD:tä. Jotta QC-varmenteiden voidaan katsoa olevan SSCD:n tukemia, asia on osoitettava ”Sie”-kentässä (samalla osoitetaan, että takaajana on QC-varmenteita myöntävä CSP ja valvojana/akkreditoijana valvonta- tai akkreditointilaitos).

Kaavio 2

Luotettavaan luetteloon sisältyvän QC-varmenteita myöntävän CSP:n palvelusyöte

Yleiset periaatteet – Muokkaussäännöt – CSPQC:n palvelusyöte

Image

Tässä luotettavan luettelon yhteisen mallin teknisissä eritelmissä voidaan käyttää viiden tietoalkion yhdistelmää kussakin palvelusyötteessä:

”Service type identifier” (”Sti”), jolla tunnistetaan esimerkiksi QC-varmenteita myöntävä CA (”CA/QC”);

”Service name” (”Sn”);

”Service digital identity” (”Sdi”) -tieto, jolla tunnistetaan lueteltu palvelu, esim. (ainakin) QC-varmenteita myöntävän CA:n julkinen avain;

CA/QC-palvelujen osalta vapaaehtoinen ”Service information extension” (”Sie”) -tieto, joka mahdollistaa palvelukohtaisten erityistietojen antamisen sellaisten varmenteiden sulkemisstatuksesta, joiden voimassaolo on päättynyt, QC-varmenteiden lisäominaisuuksista, CSP:n siirtymisestä toiselle CSP:lle ja muita lisäpalvelutietoja. Esimerkiksi QC-varmenteiden lisäominaisuudet esitetään yhden tai useamman monikon jaksona, ja jokaiseen monikkoon sisältyy

kriteerit, joilla tunnistetaan tarkemmin (rajataan) ”Sdi”-kohdassa yksilöity varmennepalvelu, jossa tarkennetaan palvelu (eli QC-varmenteiden sarja), jolle edellytetään/tarjotaan lisätietoja hyväksytyn statuksen ja SSCD-tukitietojen osoittamiseksi ja/tai oikeushenkilölle myöntämisestä; sekä

asiaan liittyvät tiedot (”määreet”) siitä, onko tämä QC-varmenteiden palvelusarja katsottava hyväksytyksi, onko se tuettu SSCD:llä vai ei, tai siitä, ovatko nämä asiaan liittyvät tiedot vakiomuotoisena koneellisesti luettavana osana hyväksyttyä varmennetta, ja/tai tiedot siitä, onko kyseiset hyväksytyt varmenteet myönnetty oikeushenkilöille (muussa tapauksessa ne katsotaan myönnetyksi ainoastaan luonnollisille henkilöille).

Tämän palvelusyötteen nykyisen statuksen tiedot

siitä, onko se valvottu tai akkreditoitu palvelu, ja

varsinaisesta valvonta-/akkreditointistatuksesta.

3.4   CSPCSPQC-tarjoajien palvelumerkintöjen muokkaus- ja käyttöohjeet

Yleiset muokkausohjeet ovat seuraavat:

1.

Jos taataan (valvontaelimen (SB) / akkreditointielimen (AB) valvoman/akkreditoiman CSPQC:n antama takuu), että ”Sdi”-tiedon perusteella yksilöidyn luettelossa mainitun palvelun kohdalla mikä tahansa SSCD:n tukema QC sisältää ETSIn määrittelemän QcCompliance-kuvauksen sekä QcSSCD-kuvauksen ja/tai QCP + OID:n, asianmukaisen ”Sdi”-tiedon käyttö riittää, minkä lisäksi ”Sie”-tietoa voidaan käyttää valinnaisena eikä sen tarvitse sisältää SSCD-tukitietoa.

2.

Jos taataan (SB:n/AB:n valvoman/akkreditoiman CSPQC:bantama takuu), että ”Sdi”-tiedon perusteella yksilöidyn luettelossa mainitun palvelun kohdalla mikä tahansa varmenne, jonka tukena ei ole SSCD:tä, sisältää QcCompliance-kuvauksen ja/tai QCP OID:n eikä sen tarkoituksena ole sisältää QcSSCD-kuvausta tai CP + OID:tä, asianmukaisen ”Sdi”-tiedon käyttö riittää, minkä lisäksi ”Sie”-tietoa voidaan käyttää valinnaisena eikä sen tarvitse sisältää SSCD-tukitietoa (mikä tarkoittaa, ettei sillä ole SSCD-tukea).

3.

Jos taataan (SB:n/AB:n valvoman/akkreditoiman CSPQC:n antama takuu), että ”Sdi”-tiedon perusteella yksilöidyn luettelossa mainitun palvelun kohdalla mikä tahansa QC sisältää QcCompliance-kuvauksen ja että osa QC-varmenteista on tarkoitettu SSCD:n tukemiksi ja osa ei (ero voidaan osoittaa esim. tarjoajakohtaisen varmennepolitiikan OID:n avulla tai QC:ssä olevan muun tarjoajakohtaisen tiedon avulla joko suoraan tai välillisesti, riippumatta siitä onko tieto koneellisesti luettavaa vai ei) mutta hyväksytty varmenne EI sisällä QcSSCD-kuvausta EIKÄ ETSI QCP(+) OID:tä, asianmukaisen ”Sdi”-tiedon käyttö ei välttämättä ole riittävä vaan ”Sie”-kenttää on käytettävä osoittamaan nimenomaista SSCD-tukitietoa yhdessä mahdollisen tietoliitteen avulla, jolla yksilöidään kulloinkin tarkoitetut varmennesarjat. Tämä vaatii todennäköisesti erilaiset ”SSCD-tukitietoarvot” samalla ”Sdi”:lle, kun käytetään ”Sie”-kenttää.

4.

Jos taataan (SB:n/AB:n valvoman/akkreditoiman CSPQC-tarjoajan antama takuu), että ”Sdi”-tiedon perusteella yksilöidyn luettelossa mainitun palvelun kohdalla mikään QC ei sisällä QcCompliance-kuvausta, QCP OID:tä, QcSSCD-kuvausta eikä QCP + OID:tä mutta taataan, että osan näistä kyseisen ”Sdi”-tiedon sisältävistä myönnetyistä loppukäyttäjän varmenteista on tarkoitus olla QC-varmenteita ja/tai SSCD:n tukemia varmenteita ja osan ei (ero voidaan osoittaa esim. tarjoajakohtaisen erityisen varmennepolitiikan OID:n avulla tai QC:ssä olevan muun tarjoajakohtaisen tiedon avulla joko suoraan tai välillisesti, riippumatta siitä onko tieto koneellisesti luettavaa vai ei), asianmukaisen ”Sdi”-tiedon käyttö ei riitä VAAN ”Sie”-kenttää on käytettävä nimenomaisen kelpuutustiedon sisällyttämiseen. Tämä vaatii todennäköisesti erilaiset ”SSCD-tukitietoarvot” samalla ”Sdi”:lle, kun käytetään ”Sie”-kenttää.

Yleisenä oletusperiaatteena on, että luotettavassa luettelossa listatulla CSP:llä on oltava yksi palvelusyöte yhtä julkista avainta kohden CA/QC-tyypin varmennepalvelulle eli palvelulle, jossa varmentaja myöntää QC-varmenteita (suoraan). Poikkeusolosuhteissa ja huolellisesti hallinnoiduin ehdoin jäsenvaltion valvonta-/akkreditointilaitos voi päättää, että se käyttää CSP:n PKI-järjestelmään (esim. juuritason CA:sta varmenteita myöntäviin CA-varmentajiin ulottuvassa CA-hierarkiassa) sisältyvän juuritason tai ylemmän tason CA:n julkista avainta (CA ei esim. suoraan myönnä loppukäyttäjän QC-varmenteita vaan varmentaa varmentajahierarkian alaspäin niihin varmentajiin saakka, jotka myöntävät QC-varmenteita loppukäyttäjille) luetteloon sisältyvän CSP:n palveluluettelon yksittäisen syötteen ”Sdi”-kentässä. Toteuttaessaan tätä jäsenvaltioiden on huolellisesti harkittava, mitä seurauksia (hyötyjä ja haittoja) tällaisen juuritason CA:n tai ylemmän tason CA:n julkisen avaimen käytöstä luotettavan luettelon palvelusyötteiden ”Sdi”-arvoina voi aiheutua. Käyttäessään tällaista sallittua poikkeusta oletusperiaatteeseen jäsenvaltion on lisäksi annettava tarvittava asiakirja-aineisto varmennepolun muodostamisen ja todentamisen helpottamiseksi. Jos esimerkiksi CSPQC-tarjoaja käyttää yhtä juuritason CA:ta, ja sen alaisuudessa useat CA:t myöntävät QC-varmenteita ja muita kuin QC-varmenteita, ja jos QC:t sisältävät ainoastaan QcCompliance-kuvauksen eivätkä tietoa siitä, onko tukena SSCD vai ei, juuritason CA:n ”Sdi”-tiedon luetteleminen tarkoittaisi ainoastaan sitä, että edellä kuvailtujen sääntöjen mukaisesti mikään tämän juuritason CA:n hierarkian nojalla myönnetty QC ei ole SSCD:n tukema. Jos näillä QC-varmenteilla tosiasiassa on SSCD-tuki muttei koneellisesti luettavassa muodossa olevaa tietoa siitä, onko tukena SSCD vai ei, olisi erittäin suositeltavaa käyttää QcSSCD-kuvausta vastaisuudessa myönnettävissä QC-varmenteissa. Sitä ennen (siihen saakka, kun viimeinen tätä tietoa sisältämätön QC on lakannut olemasta voimassa) luotettavassa luettelossa olisi käytettävä ”Sie”-kenttää ja siihen liittyvää ”Qualifications”-liitettä, esim. antamalla rajaamistietoja varmenteiden yksilöimiseksi sellaisten CSPQC-kohtaisesti määriteltyjen OID-arvojen avulla, joita CSPQC mahdollisesti käyttää erityyppisten (SSCD-tuettujen ja muiden) QC-varmenteiden erottamiseen, ja nimenomaisen SSCD-tukitiedon sisällyttämistä rajattuihin varmenteisiin käyttämällä ”Qualifiers”-kenttiä.

Näiden teknisten eritelmien mukaiseen luotettavaan luetteloon perustuvien sähköisten allekirjoitusten sovellusten, palvelujen tai tuotteiden yleiset käyttöohjeet ovat seuraavat:

”CA/QC””Sti” -syöte (tai CA/QC-syöte, joka on edelleen luokiteltu ”RootCA/QC”-syötteeksi käyttämällä ”Sie”-kentässä additionalServiceInformation-liitettä)

osoittaa, että alkaen ”Sdi”-yksilöidystä CA:sta (vastaavasti CA-hierarkiassa alkaen ”Sdi”-yksilöidystä juuritason CA:sta) kaikki myönnetyt loppukäyttäjän varmenteet ovat QC-varmenteita edellyttäen, että varmenteessa näin väitetään käyttäen asianmukaisia koneellisesti luettavassa muodossa olevia QcStatements-lausumia (esim. QcCompliance) ja/tai ETSIn määrittelemiä QCP(+) OID-tunnisteita (ja valvonta-/akkreditointilaitos takaa tämän, ks. edellä olevat yleiset muokkausohjeet);

Huom. jos mukana ei ole ”Sie””Qualification” -syötettä tai jos loppukäyttäjän varmennetta, jonka väitetään olevan QC, ei yksilöidä tarkemmin siihen liittyvällä ”Sie”-syötteellä, QC:ssä olevia koneellisesti luettavassa muodossa olevia tietoja valvotaan / ne akkreditoidaan niiden oikeellisuuden varmistamiseksi. Tämä tarkoittaa, että asianmukaisten QcStatements-lausumien (esim. QcCompliance, QcSSCD) ja/tai ETSIn määrittelemien QCP(+) OID-tunnisteiden käytön (tai käyttämättömyyden) taataan olevan CSPQC-tarjoajan väittämien mukaista.

ja JOS mukana on ”Sie””Qualifications Extension” -tieto, edellä olevan oletuskäytön tulkintasäännön lisäksi niitä varmenteita, jotka tunnistetaan käyttämällä tätä ”Sie””Qualifications Extension” -kohtaa perustuen peräkkäisten rajausten sarjaan, joilla tunnistetaan varmennesarja, on tarkasteltava sellaisten asianomaisten määreiden mukaan, joissa annetaan lisätietoa hyväksytystä statuksesta, ”SSCD support” ja/tai ”Legal person as subject” -tiedoista (eli varmenteet, joissa on erityinen OID varmennepolitiikkaa koskevassa liitteessä ja/tai joissa on erityinen avaimen käytön periaate ja/tai jotka on rajattu käyttämällä erityistä arvoa, joka näkyy yhdessä varmenteen kentässä tai liitteessä tms.). Kyseiset määreet ovat osa seuraavaa määresarjaa, jota käytetään korvaamaan vastaavan QC:n tiedon puutteen seuraavia tarkoituksia varten:

hyväksytyn statuksen osoituksena: QCStatement-lausuma, joka tarkoittaa, että tunnistettu varmenne on (tunnistetut varmenteet ovat) hyväksyttyjä;

JA/TAI

SSCD-tuen luonteen osoituksena

määreen arvo ”QCWithSSCD” tarkoittaa ”QC supported by an SSCD”, tai

määreen arvo ”QCNoSSCD” tarkoittaa ”QC not supported by an SSCD”, tai

määreen arvo ”QCSSCDStatusAsInCert” tarkoittaa sen varmistamista, että SSCD-tukitiedot sisältyvät ”Sdi”-”Sie”-tiedoissa olevaan QC-varmenteeseen tässä CA/QC-syötteessä;

JA/TAI

oikeushenkilölle myöntämisen osoituksena:

määreen arvo ”QCForLegalPerson” tarkoittaa ”Certificate issued to a Legal Person”.

3.5   Palvelut, jotka tukevat ”CA/QC”-palveluja mutta eivät ole osa ”CA/QC””Sdi”:tä

QC:hen liittyvät varmenteen voimassaolostatusta koskevat palvelut, joiden osalta varmenteen voimassaolostatusta koskevien tietojen allekirjoittaja on laitos, jonka yksityistä avainta ei ole varmennettu varmennepolussa, joka johtaa luetteloon merkittyyn CA:han, joka myöntää QC-varmenteita (”CA/QC”), on sisällytettävä luotettavaan luetteloon merkitsemällä kyseiset varmenteen voimassaolostatusta koskevat palvelut sellaisenaan kyseiseen luotettavaan luetteloon (ts. merkitsemällä palvelutyypiksi ”OCSP/QC” tai ”CRL/QC”), koska nämä palvelut voidaan katsoa osaksi valvottuja/akkreditoituja hyväksyttyjä palveluita, jotka liittyvät QC-varmennepalvelujen tarjontaan. OCSP-vastausten antajat tai CRL:n myöntäjät, joiden varmenteiden allekirjoittajina ovat luetellun CA/QC-palvelun hierarkiaan kuuluvat CA:t, on katsottava voimassa oleviksi luetteloon merkityn CA/QC-palvelun statusarvon mukaisesti.

Vastaavaa säännöstä voidaan soveltaa varmennepalveluihin, jotka myöntävät muita kuin QC-varmenteita (palvelutyyppi ”CA/PKC”).

Luotettavassa luettelossa on oltava varmenteiden voimassaolostatusta koskevia palveluita, kun loppukäyttäjän varmenteissa, joihin varmenteiden voimassaolostatusta koskevia palveluita sovelletaan, ei ole kyseisiin palveluihin liittyviä sijaintitietoja.

4.   Määritelmät ja lyhenteet

Tässä asiakirjassa tarkoitetaan alla mainituilla määritelmillä ja lyhenteillä seuraavaa:

Käsite

Lyhenne

Määritelmä

Varmennepalvelun tarjoaja

CSP

Määritelmä direktiivin 1999/93/EY 2 artiklan 11 kohdassa.

Varmentaja

CA

1)

CSP, joka luo ja nimeää julkisen avaimen varmenteita tai

2)

julkisen avaimen varmenteita luovan ja nimeämän CSP:n käyttämä teknisten varmenteiden tuotantopalvelu

Huom. Ks. EN 319 411–2 -standardin (11) lauseke 4, jossa on lisätietoja varmentajan käsitteestä.

Hyväksyttyjä varmenteita myöntävä varmentaja

CA/QC

Varmentaja, joka täyttää direktiivin 1999/93/EY liitteessä II säädetyt vaatimukset ja myöntää direktiivin 1999/93/EY liitteessä I säädetyt vaatimukset täyttäviä hyväksyttyjä varmenteita

Varmenne

Varmenne

Määritelmä direktiivin 1999/93/EY 2 artiklan 9 kohdassa

Hyväksytty varmenne

QC

Määritelmä direktiivin 1999/93/EY 2 artiklan 10 kohdassa

Allekirjoittaja

Allekirjoittaja

Määritelmä direktiivin 1999/93/EY 2 artiklan 3 kohdassa

Valvonta

Valvonta

Direktiivin 1999/93/EY 3 artiklan 3 kohdassa tarkoitettu valvonta Direktiivissä 1999/93/EY edellytetään, että jäsenvaltiot ottavat käyttöön asianmukaisen järjestelmän, jonka avulla voidaan valvoa sen alueelle asettautuneita, QC-varmenteita yleisölle myöntäviä CSP-tarjoajia ja varmistaa direktiivin säännösten noudattamisen valvonta.

Vapaaehtoisuuteen perustuva akkreditointi

Akkreditointi

Määritelmä direktiivin 1999/93/EY 2 artiklan 13 kohdassa

Luotettava luettelo

TL

Tarkoittaa luetteloa, jossa luetellaan niiden CSP-tarjoajien varmennepalvelujen valvonta-/akkreditointistatus, joita mainittu jäsenvaltio valvoo / akkreditoi, jotta direktiivin 1999/93/EY säännöksiä noudatetaan.

Luottamuspalvelujen statusluettelo

TSL

Eräänlainen allekirjoitettu luettelo, jota käytetään pohjana luottamuspalvelujen statustietojen esittämiseksi ETSIn teknisessä spesifikaatiossa 119 612 määriteltyjen eritelmien mukaisesti.

Luottamuspalvelu

 

Palvelu, jolla lisätään luottamusta sähköisiin toimiin (tyypillisesti muttei välttämättä salaustekniikoita käyttämällä tai luottamukselliseen aineistoon liittyvänä) (ETSIn tekninen spesifikaatio 119 612)

Huom. Tätä käsitettä käytetään laajemman soveltamisalan mukaan kuin varmennepalvelua, joka myöntää varmenteita tai tarjoaa muita sähköisiin allekirjoituksiin liittyviä palveluita.

Luottamuspalvelujen tarjoaja

TSP

Yhtä tai useampaa (sähköistä) luottamuspalvelua ylläpitävä laitos (käsitteen soveltamisala on laajempi kuin CSP:n)

Luottamuspalvelun sanake

TrST

Fyysinen tai binaarinen (looginen) kohde, joka on luotu tai myönnetty luottamuspalvelun käytön tuloksena Esimerkkejä binaarisista luottamuspalvelun sanakkeista ovat varmenteet, varmenteiden sulkulistat (CRL), aikaleimasanakkeet (TST) ja verkossa olevaan varmenteen statusprotokollaan (OCSP) perustuvat vastaukset.

Hyväksytty sähköinen allekirjoitus

QES

QC:n tukema kehittynyt sähköinen allekirjoitus (AdES), joka on luotu direktiivin 1999/93/EY 2 artiklassa määritellyllä turvallisella allekirjoituksen luomismenetelmällä.

Kehittynyt sähköinen allekirjoitus

AdES

Määritelmä direktiivin 1999/93/EY 2 artiklan 2 kohdassa

Hyväksytyn varmenteen tukema kehittynyt sähköinen allekirjoitus

AdESQC

Tarkoittaa AdeS-allekirjoitukselle asetettavat vaatimukset täyttävää sähköistä allekirjoitusta, jonka tukena on direktiivin 1999/93/EY 2 artiklassa määritelty QC.

Turvallinen allekirjoituksen luomismenetelmä

SSCD

Määritelmä direktiivin 1999/93/EY 2 artiklan 6 kohdassa

Seuraavissa luvuissa käytetään avainsanoja ”PITÄÄ” (”MUST”, ”SHALL”), ”EI SAA” (”MUST NOT”, ”SHALL NOT”) ja ”PAKOLLINEN” (”REQUIRED”), ”PITÄISI” (”SHOULD”), ”EI PITÄISI” (”SHOULD NOT”), ”SUOSITELTAVA” (”RECOMMENDED”), ”SAA” (”MAY”) ja ”VAPAAEHTOINEN” (”OPTIONAL”) IETF:n (Internet Engineering Task Force) määrittämissä merkityksissä (RFC 2119) (12).

I   LUKU

”VALVOTTUJEN/AKKREDITOITUJEN VARMENNEPALVELUJEN TARJOAJIEN LUOTETTAVAN LUETTELON” YHTEISEN MALLIN YKSITYISKOHTAISET ERITELMÄT

Nämä eritelmät perustuvat ETSIn teknisessä eritelmässä 119 612 v1.1.1, jäljempänä ’ETSI TS 119 612’, mainittuihin eritelmiin ja vaatimuksiin.

Jollei näissä eritelmissä ole mainittu erityistä vaatimusta, PITÄÄ soveltaa sellaisenaan ETSI TS 119 612:n lausekkeita 5 ja 6. Kun näissä teknisissä eritelmissä on mainittu erityisiä vaatimuksia, niitä PITÄÄ soveltaa ennen vastaavia ETSI TS 119 612:n vaatimuksia Mikäli näissä eritelmissä ja ETSI TS 119 612:sta peräisin olevissa eritelmissä on eroja, tämän asiakirjan eritelmät PITÄÄ katsoa normatiivisiksi.

Scheme operator name (lauseke 5.3.4)

Tätä kenttää PITÄÄ käyttää, ja sen PITÄÄ noudattaa ETSI TS 119 612:n lausekkeen 5.3.4 eritelmiä.

Yksittäisellä maalla SAA olla erilliset valvonta- ja akkreditointilaitokset ja kansalliset laitokset mitä tahansa toimintaan liittyviä toimintoja varten. Jokainen jäsenvaltio voi nimetä jäsenvaltion luotettavan luettelon järjestelmäoperaattorin (Scheme operator). Valvontaelimellä, akkreditointielimellä ja järjestelmäoperaattorilla (jotka toimivat erillisinä laitoksina) on jokaisella omat vastuut ja velvoitteet.

Tilanteen, jossa useampi laitos on vastuussa valvonnasta, akkreditoinnista tai toiminnallisista seikoista, PITÄÄ ilmetä johdonmukaisesti ja olla tunnistettavissa luotettavan luettelon osana olevista järjestelmätiedoista (Scheme information), mukaan lukien järjestelmäkohtaiset tiedot, jotka ilmoitetaan kentässä ”Scheme information URI” (lauseke 5.3.7).

Scheme name (lauseke 5.3.6)

Tätä kenttää PITÄÄ käyttää, ja sen PITÄÄ noudattaa ETSI TS 119 612:n lausekkeen 5.3.6 eritelmiä, jolloin järjestelmästä PITÄÄ käyttää seuraavaa nimeä:

”EN_name_value”= ”Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Scheme Operator Member State for compliance with the relevant provisions laid down in Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures”.

Scheme information URI (lauseke 5.3.7)

Tätä kenttää PITÄÄ käyttää, ja sen PITÄÄ noudattaa ETSI TS 119 612:n lausekkeen 5.3.7 eritelmiä, jolloin asianmukaisiin tietoihin järjestelmästä PITÄÄ sisällyttää ainakin seuraavat:

johdantotiedot, jotka ovat kaikille jäsenvaltioille yhteisiä ja koskevat luotettavan luettelon soveltamisalaa ja käyttöyhteyttä sekä sen laadintaan vaikuttaneita valvonta-/akkreditointijärjestelmiä; käytettävä yhteinen teksti, jossa kohta ”[name of the relevant Member State]” PITÄÄ korvata kyseisen jäsenvaltion nimellä, on seuraava:

”The present list is the ”Trusted List of supervised/accredited Certification Service Providers” providing information about the supervision/accreditation status of certification services from Certification Service Providers (CSPs) who are supervised/accredited by [name of the relevant Member State] for compliance with the relevant provisions of Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures.

The Trusted List aims at:

listing and providing reliable information on the supervision/accreditation status of certification services from Certification Service Providers, who are supervised/accredited by [name of the relevant Member State] for compliance with the relevant provisions laid down in Directive 1999/93/EC;

allowing for a trusted validation of electronic signatures supported by those listed supervised/accredited certification services from the listed CSPs.

The Trusted List of a Member State provides, as a minimum, information on supervised/accredited CSPs issuing Qualified Certificates in accordance with the provisions laid down in Directive 1999/93/EC (Article 3(2) and (3) and Article 7(1)(a)), including, when this is not part of the QCs, information on the QC supporting the electronic signature and whether the signature is or not created by a Secure Signature Creation Device.

The CSPs issuing Qualified Certificates (QCs) listed here are supervised by [name of the relevant Member State] and may also be accredited for compliance with the provisions laid down in Directive 1999/93/EC, including compliance with the requirements of Annex I (requirements for QCs), and those of Annex II (requirements for CSPs issuing QCs). The applicable ’supervision’ system (respectively ’voluntary accreditation’ system) is defined and must meet the relevant requirements of Directive 1999/93/EC, in particular those laid down in Article 3(3), Article 8.(1), Article 11 (respectively, Article 2(13), Article 3(2), Article 7(1)(a), Article 8(1), Article 11).

Additional information on other supervised/accredited CSPs not issuing QCs but providing services related to electronic signatures (e.g. CSP providing Time Stamping Services and issuing Time Stamp Tokens, CSP issuing non-Qualified certificates, etc.) are included in the Trusted List at a national level on a voluntary basis.”

Erityiset tiedot käytetyistä valvonta-/akkreditointijärjestelmistä, erityisesti seuraavat (13):

tiedot CSPQC-tarjoajiin sovellettavasta valvontajärjestelmästä;

tiedot mahdollisesta CSPQCCSPQC-tarjoajiin sovellettavasta kansallisesta vapaaehtoisuuteen perustuvasta akkreditointijärjestelmästä;

tiedot sellaisiin CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, mahdollisesti sovellettavasta valvontajärjestelmästä;

tiedot niihin CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, mahdollisesti sovellettavasta kansallisesta vapaaehtoisuuteen perustuvasta akkreditointijärjestelmästä.

Edellä mainittujen tietojen PITÄÄ sisältää jokaisesta edellä luetellusta järjestelmästä ainakin seuraavat tiedot:

yleiskuvaus;

tiedot prosessista, jota valvonta-/akkreditointilaitos noudattaa valvoessaan/akkreditoidessaan CSP-tarjoajia ja joita valvotut/akkreditoidut CSP-tarjoajat noudattavat,

tiedot kriteereistä, joiden perusteella CSP-tarjoajia valvotaan/akkreditoidaan.

Mahdolliset erityiset tiedot joillekin varmennepalvelun tarjonnan tuloksena luoduille tai myönnetyille fyysisille tai binaarisille (loogisille) kohteille annetuista erityisistä kelpuutuksista, jotka on myönnetty sillä perusteella, että tarjoajat täyttävät kansallisella tasolla annetut säännökset ja vaatimukset, samoin kuin tiedot tällaisen kelpuutuksen ja siihen liittyvien kansallisten säädösten ja vaatimusten merkityksestä.

Muita jäsenvaltiokohtaisia erityisiä tietoja järjestelmästä SAA tarjota vapaaehtoisuuden perusteella, kuten

tietoja kriteereistä ja säännöistä, joilla valvojat/auditoijat valikoidaan ja määritellään, millä tavoin valvojat/auditoijat valvovat (tarkastavat) / akkreditoivat (auditoivat) CSP-tarjoajia;

muita yhteys- ja yleistietoja järjestelmän toiminnasta.

Scheme type/community/rules (lauseke 5.3.9)

Tätä kenttää PITÄÄ käyttää, ja sen PITÄÄ noudattaa ETSI TS 119 612:n lausekkeen 5.3.9 eritelmiä, ja sen PITÄÄ sisältää ainakin kaksi URI-tunnistetta seuraavasti:

kaikkien jäsenvaltioiden luotettavien luetteloiden yhteinen URI viittaa kuvaustekstiin, jota PITÄÄ soveltaa kaikkiin luotettaviin luetteloihin seuraavasti:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Kuvaus:

Participation in a scheme

Each Member State must create a ”Trusted List of supervised/accredited Certification Service Providers” providing information about the supervision/accreditation status of certification services from Certification Service Providers (CSPs) who are supervised/accredited by the relevant Member State for compliance with the relevant provisions of Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures.

The present implementation of such Trusted Lists is also to be referred to in the list of links (pointers) towards each Member State’s Trusted List, compiled by the European Commission.

Policy/rules for the assessment of the listed services

The Trusted List of a Member State must provide, as a minimum, information on supervised/accredited CSPs issuing Qualified Certificates in accordance with the provisions laid down in Directive 1999/93/EC (Article 3(2) and (3) and Article 7(1)(a)), including information on the Qualified Certificate (QC) supporting the electronic signature and whether the signature is or not created by a Secure Signature Creation Device.

The CSPs issuing Qualified Certificates (QCs) must be supervised by the Member State in which they are established (if they are established in a Member State), and may also be accredited, for compliance with the provisions laid down in Directive 1999/93/EC, including compliance with the requirements of Annex I (requirements for QCs), and those of Annex II (requirements for CSPs issuing QCs). CSPs issuing QCs that are accredited in a Member State must still fall under the appropriate supervision system of that Member State unless they are not established in that Member State. The applicable ’supervision’ system (respectively ’voluntary accreditation’ system) is defined and must meet the relevant requirements of Directive 1999/93/EC, in particular those laid down in Article 3(3), Article 8)(1), Article 11 (respectively, Article2(13), Article 3(2), Article 7(1)(a), Article 8(1), Article 11).

Additional information on other supervised/accredited CSPs not issuing QCs but providing services related to electronic signatures (e.g. CSP providing Time Stamping Services and issuing Time Stamp Tokens, CSP issuing non-Qualified certificates, etc.) may be included in the Trusted List at a national level on a voluntary basis.

CSPs not issuing QCs but providing ancillary services, may fall under a ’voluntary accreditation’ system (as defined in and in compliance with Directive 1999/93/EC) and/or under a nationally defined ”recognised approval scheme” implemented on a national basis for the supervision of compliance with the provisions laid down in Directive 1999/93/EC and possibly with national provisions with regard to the provision of certification services (in the sense of Article 2(11) of Directive 1999/93/EC). Some of the physical or binary (logical) objects generated or issued as a result of the provision of a certification service may be entitled to receive a specific ”qualification” on the basis of their compliance with the provisions and requirements laid down at national level but the meaning of such a ”qualification” is likely to be limited solely to the national level.

Interpretation of the Trusted List

The general user guidelines for electronic signature applications, services or products relying on a Trusted List according to the Annex of Commission Decision [reference to the present Decision] are as follows:

A ”CA/QC””Service type identifier” (”Sti”) entry (similarly a CA/QC entry further qualified as being a ”RootCA/QC” through the use of ”Service information extension” (”Sie”) additionalServiceInformation Extension)

indicates that from the ”Service digital identifier” (”Sdi”) identified CA (similarly within the CA hierarchy starting from the ”Sdi” identified RootCA) from the corresponding CSP (see associated TSP information fields), all issued end-entity certificates are Qualified Certificates (QCs) provided that it is claimed as such in the certificate through the use of appropriate EN 319 412–5 defined QcStatements (i.e. QcCompliance, QcSSCD, etc.) and/or EN 319 411–2 defined QCP(+) OIDs (and this is guaranteed by the issuing CSP and ensured by the Member State Supervisory/Accreditation Body)

Note: if no ”Sie””Qualifications Extension” information is present or if an end-entity certificate that is claimed to be a QC is not further identified through a related ”Sie””Qualifications Extension” information, then the ”machine-processable” information to be found in the QC is supervised/accredited to be accurate. That means that the usage (or not) of the appropriate ETSI defined QcStatements (i.e. QcCompliance, QcSSCD, etc.) and/or ETSI defined QCP(+) OIDs is ensured to be in accordance with what it is claimed by the CSP issuing QCs.

and IF”Sie””Qualifications Extension” information is present, then in addition to the above default usage interpretation rule, those certificates that are identified through the use of this ”Sie””Qualifications Extension” information, which is constructed on the principle of a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing some additional information regarding the qualified status, the ”SSCD support” and/or ”Legal person as subject” (e.g. those certificates containing a specific OID in the Certificate Policy extension, and/or having a specific ”Key usage” pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension, etc.). Those qualifiers are part of the following set of ”Qualifiers” used to compensate for the lack of information in the corresponding QC content, and that are used respectively:

to indicate the qualified status: ”QCStatement” meaning the identified certificate(s) is(are) qualified;

AND/OR

to indicate the nature of the SSCD support:

”QCWithSSCD” qualifier value meaning ”QC supported by an SSCD”, or

”QCNoSSCD” qualifier value meaning ”QC not supported by an SSCD”, or

”QCSSCDStatusAsInCert” qualifier value meaning that the SSCD support information is ensured to be contained in any QC under the ”Sdi”-”Sie” provided information in this CA/QC entry;

AND/OR

to indicate issuance to Legal Person:

”QCForLegalPerson” qualifier value meaning ”Certificate issued to a Legal Person”.

The general interpretation rule for any other ”Sti” type entry is that the listed service named according to the ”Sn” field value and uniquely identified by the ”Sdi” field value has a current supervision/accreditation status according to the ”Scs” field value as from the date indicated in the ”Current status starting date and time”. Specific interpretation rules for any additional information with regard to a listed service (e.g. ”Service information extensions” field) may be found, when applicable, in the Member State specific URI as part of the present ”Scheme type/community/rules” field.

Please refer to the Technical specifications for a Common Template for the ”Trusted List of supervised/accredited Certification Service Providers” in the Annex of Commission Decision 2009/767/EC for further details on the fields, description and meaning for the Member States’ Trusted Lists.”

Kunkin jäsenvaltion luotettavan luettelon erityinen URI viittaa kuvaustekstiin, jota PITÄÄ soveltaa kyseisen jäsenvaltion luotettavaan luetteloon:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, jossa CC = ”Scheme territory” -kentässä käytetty standardin ISO 3166–1 (14) kaksimerkkinen maakoodi (lauseke 5.3.10)

Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityisen politiikan/säännöt, jonka/joiden suhteen luetteloon sisällytettyjä palveluja PITÄÄ arvioida jäsenvaltion asianmukaisen valvontajärjestelmän ja vapaaehtoisuuteen perustuvien akkreditointijärjestelmien mukaisesti.

Tästä URI:stä käyttäjät voivat saada selville kyseisen jäsenvaltion erityisen kuvauksen siitä, miten luotettavan luettelon sisältöä käytetään ja tulkitaan suhteessa varmennepalveluihin, jotka eivät liity QC-varmenteiden myöntämiseen. Sitä voidaan käyttää osoittamaan CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, liittyvissä kansallisissa valvonta-/akkreditointijärjestelmissä mahdollisesti esiintyvää tarkkuusastetta ja sitä, miten kenttiä ”Scheme service definition URI” (lauseke 5.5.6) ja ”Service information extension” (lauseke 5.5.9) käytetään tähän tarkoitukseen.

Jäsenvaltiot SAAVAT määritellä ja käyttää muita URI-tunnisteita yllä mainitusta jäsenvaltiokohtaisesta URI:stä alkaen (eli hierarkiakohtaisesta URI:stä lähtien määriteltyjä URI-tunnisteita).

TSL policy/legal notice (lauseke 5.3.11)

Tätä kenttää PITÄÄ käyttää, ja sen PITÄÄ noudattaa ETSI TS 119 612:n lauseketta 5.3.11, jolloin järjestelmän oikeudellista asemaa koskeva politiikka/ilmoitus tai järjestelmän täyttämät lakisääteiset vaatimukset sillä oikeudenkäyttöalueella, jossa järjestelmä sijaitsee, ja/tai mahdolliset rajoitukset ja ehdot, joiden vallitessa luotettavaa luetteloa ylläpidetään ja julkaistaan, PITÄÄ ilmoittaa monikielisenä merkkijonona (selväkielisenä tekstinä), joka koostuu seuraavista kahdesta osasta:

1.

Ensimmäisessä pakollisessa ja kaikkien jäsenvaltioiden luotettaville luetteloille yhteisessä osassa (jonka pakollinen kieli on brittienglanti, mahdollisesti yksi tai useampi kansallinen kieli) osoitetaan, että sovellettava oikeusperusta on direktiivi 1999/93/EY ja sitä vastaavat ”Scheme Territory” -kentässä mainitun jäsenvaltion täytäntöönpanolait.

Yhteisen tekstin englanninkielinen toisinto:

The applicable legal framework for the present TSL implementation of the Trusted List of supervised/accredited Certification Service Providers for [name of the relevant Member State] is Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures and its implementation in [name of the relevant Member State] laws.

Teksti jäsenvaltion kansallisella kielellä/kielillä: [yllä olevan englanninkielisen tekstin virallinen käännös/käännökset].

2.

Toinen vapaaehtoinen osa, joka on luettelokohtainen (pakollisena kielenä brittienglanti, mahdollisesti yksi tai useampi muu kansallinen kieli) ja jossa ilmoitetaan viitteet erityisesti sovellettaviin kansallisiin oikeusperustoihin (erityisesti muun muassa varmennepalvelujen tarjoajille, jotka eivät myönnä QC-varmenteita, tarkoitettujen kansallisten valvonta-/akkreditointijärjestelmien yhteydessä).

II   LUKU

LUOTETTAVIEN LUETTELOIDEN JATKUVUUS

Tämän päätöksen 3 artiklan c alakohdan nojalla komissiolle tiedoksi annettavat varmenteet PITÄÄ julkaista siten, että

niiden voimassaoloajan alkamis- ja päättymisajan välinen aika on vähintään kolme kuukautta,

luodaan uusia avainpareja, koska aiemmin käytettyjä avainpareja ei ole tarpeen varmentaa uudelleen.

Jos YKSI julkista avainta vastaavista yksityisistä avaimista, jota voitaisiin käyttää luotettavan luettelon allekirjoituksen validointiin ja joka on annettu tiedoksi komissiolle ja julkaistu komission keskusosoitinluetteloissa, vaarantuu tai poistetaan käytöstä jäsenvaltioiden PITÄÄ

julkaista viipymättä uusi luotettava luettelo, joka on allekirjoitettu vaarantumattomalla yksityisellä avaimella, jos julkaistu luotettava luettelo oli allekirjoitettu vaarantuneella tai käytöstä poistetulla yksityisellä avaimella;

antaa pikaisesti tiedoksi komissiolle uusi julkisen avaimen varmenteiden luettelo, joka vastaa yksityisiä avaimia, joita voitaisiin käyttää luotettavan luettelon allekirjoittamiseen,

Jos KAIKKI julkista avainta vastaavat yksityiset avaimet, joita voitaisiin käyttää luotettavan luettelon allekirjoituksen validointiin ja jotka on annettu tiedoksi komissiolle ja julkaistu komission keskusosoitinluetteloissa, jäsenvaltioiden PITÄÄ

luoda uusia avainpareja, joita voitaisiin käyttää luotettavan luettelon allekirjoittamiseen, ja niitä vastaavat julkisen avaimen varmenteet;

julkaista viipymättä uusi luotettava luettelo, joka on allekirjoitettu yhdellä uusista yksityisistä avaimista ja jonka julkisen avaimen varmenne on annettava tiedoksi komissiolle;

antaa pikaisesti tiedoksi komissiolle uusi julkisten avainten varmenteiden luettelo, joka vastaa yksityisiä avaimia, joita voitaisiin käyttää luotettavan luettelon allekirjoittamiseen,

III   LUKU

IHMISEN LUETTAVISSA OLEVASSA MUODOSSA OLEVAA LUOTETTAVAA LUETTELOA KOSKEVAT ERITELMÄT

Jos luotettava luettelo laaditaan ja julkaistaan ihmisen luettavissa olevassa muodossa (HR), se PITÄISI toimittaa Portable Document Format (PDF) asiakirjana standardin ISO 32000 (15) mukaisesti, ja sen formatoinnin PITÄÄ olla profiilin PDF/A (ISO 19005 (16)) mukainen.

Luotettavan luettelon PDF/A perustuvan HR-muodon PITÄISI täyttää seuraavat vaatimukset:

HR-muodon PITÄISI vastata ETSI TS 119 612:n kohdassa kuvattua loogista mallia.

Jokaisessa mukana olevassa kentässä PITÄISI näyttää ja ilmoittaa seuraavat tiedot:

kentän otsikko (esim. ”Palvelutyypin tunniste”);

kentän arvo (esim. ”CA/QC”);

tarvittaessa kentän arvon merkitys (kuvaus) (esim. ”Julkisen avaimen varmenteita myöntävä varmentaja”);

tarvittaessa useita luonnollisten kielten kielimuunnoksia, jotka mainitaan luotettavassa luettelossa.

Ainakin seuraavat kentät ja digitaalisten varmenteiden vastaavat arvot, jotka sijaitsevat kentässä ”Service digital identity”, PITÄISI näyttää HR-muodossa:

versio (Version)

sarjanumero (Serial number)

allekirjoituksen algoritmi (Signature algorithm)

myöntäjä (Issuer)

voimassaolon alkamispäivä (Valid from)

voimassaolon päättymispäivä (Valid to)

asia (Subject)

julkinen avain (Public key)

varmennepolitiikat (Certificate Policies)

aiheen varmentajatunniste (Subject Key Identifier)

CRL:n jakelupisteet (CRL Distribution Points)

varmentaja-avaimen tunniste (Authority Key Identifier)

avaimen käyttö (Key Usage)

perusrajoitteet (Basic constraints)

algoritmin tunniste (Thumbprint algorithm)

tunniste (Thumbprint).

HR-muodon PITÄISI olla helposti tulostettavissa.

Scheme Operatorin PITÄÄ allekirjoittaa HR-muoto PAdES Signatures baseline profilen perusteella. (17)


(1)  Määritelmä direktiivin 1999/93/EY 2 artiklan 11 kohdassa.

(2)  Tässä asiakirjassa käytetään hyväksyttyyn varmenteeseen (QC) perustuvasta kehittyneestä sähköisestä allekirjoituksesta (AdES) lyhennettä ”AdESQC”.

(3)  Määritelmä direktiivin 1999/93/EY 2 artiklan 2 kohdassa.

(4)  On huomattava, että myös monien tavalliseen kehittyneeseen sähköiseen allekirjoitukseen (AdES) perustuvien sähköisten palvelujen rajat ylittävä käyttö helpottuu, edellyttäen että tukevat varmennepalvelut (esim. muiden kuin QC-varmenteiden myöntäminen) ovat osa jäsenvaltion luotettavien luetteloiden vapaaehtoisissa tiedoissa mainittuja valvottuja/akkreditoituja palveluja.

(5)  Määritelmä direktiivin 1999/93/EY 2 artiklan 10 kohdassa.

(6)  Määritelmä direktiivin 1999/93/EY 2 artiklan 6 kohdassa.

(7)  ETSI TS 119 612 v1.1.1 (2013-06) – Electronic Signatures and Infrastructures (ESI); Trusted Lists.

(8)  Esim. jäsenvaltioon sijoittautunut CSP, joka tarjoaa varmennepalvelua ja jota jäsenvaltio (valvontaelin) on valvonut alun perin, voi jonkin ajan kuluttua päättää, että se hankkii vapaaehtoisuuteen perustuvan akkreditoinnin parhaillaan valvotulle varmennepalvelulle. Kääntäen johonkin toiseen jäsenvaltioon sijoittautunut CSP voi päättää, ettei se keskeytä akkreditoitua varmennepalveluaan vaan muuttaa sen akkreditointistatuksen valvontastatukseksi esimerkiksi liiketoiminnallisista ja/tai taloudellisista syistä.

(9)  Vrt. ETSI EN 319 412-5 (Electronic Signatures and Infrastructures (ESI); Profiles for Trust Service Providers issuing certificates; Part 5: Extension for Qualified Certificate profile) for the definition of such a statement.

(10)  Vrt. ETSI EN 319 411-2 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates.

(11)  EN 319 411–2: Vrt. Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates.

(12)  IETF RFC 2119: Key words for use in RFCs to indicate Requirements Levels.

(13)  Kahdessa viimeisessä kohdassa mainitut tiedot ovat ratkaisevan tärkeitä, kun varmenteeseen luottavat osapuolet arvioivat CSP-tarjoajiin, jotka eivät myönnä QC-varmenteita, sovellettavien valvonta-/akkreditointijärjestelmien laatua ja turvallisuutta. Nämä tietosarjat tarjotaan luettelokohtaisesti käyttämällä tämän asiakirjan kenttiä ”Scheme information URI” (lause 5.3.7 – jäsenvaltioiden tarjoamat tiedot), ”Scheme type/community/rules” (lause 5.3.9 – käyttämällä kaikille jäsenvaltioille yhteistä tekstiä) ja ”TSL policy/legal notice” (lause 5.3.11 – kaikille jäsenvaltioille yhteinen direktiivin 1999/93/EY viittaava teksti ja kunkin jäsenvaltion mahdollisuus lisätä jäsenvaltiokohtaisia tekstejä/viitteitä). CSP-tarjoajia, jotka eivät myönnä QC-varmenteita, koskevista kansallisista valvonta-/akkreditointijärjestelmistä voidaan antaa palvelutasokohtaista tietoa tarvittaessa ja silloin, kun se on pakollista (esim. eri laatu-/palvelutasojen erottamiseksi toisistaan).

(14)  ISO 3166-1:2006 ”Codes for the representation of names of countries and their subdivisions; Part 1: Country codes”.

(15)  ISO 32000-1:2008 Document management – Portable document format – Part 1: PDF 1.7.

(16)  ISO 19005-2:2011 Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2).

(17)  ETSI TS 103 172 (March 2012) – Electronic Signatures and Infrastructures (ESI); PAdES Baseline Profile.


Top