ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ
Βρυξέλλες, 30.6.2020
COM(2020) 271 final
ΠΑΡΑΡΤΗΜΑ
της
πρότασης απόφασης του Συμβουλίου
σχετικά με τη θέση που πρέπει να ληφθεί εξ ονόματος της Ευρωπαϊκής Ένωσης στο πλαίσιο της μεικτής επιτροπής που συστάθηκε από τη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Ελβετικής Συνομοσπονδίας για τη σύνδεση των συστημάτων τους εμπορίας εκπομπών αερίων θερμοκηπίου, όσον αφορά την τροποποίηση των παραρτημάτων Ι και ΙΙ της συμφωνίας σύνδεσης και την έγκριση τεχνικών προτύπων σύνδεσης
ΑΠΟΦΑΣΗ ΑΡΙΘ. 2/2020 ΤΗΣ ΜΕΙΚΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΟΥ ΣΥΓΚΡΟΤΗΘΗΚΕ ΜΕ ΤΗ ΣΥΜΦΩΝΙΑ ΜΕΤΑΞΥ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ ΚΑΙ ΤΗΣ ΕΛΒΕΤΙΚΗΣ ΣΥΝΟΜΟΣΠΟΝΔΙΑΣ ΓΙΑ ΤΗ ΣΥΝΔΕΣΗ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΤΟΥΣ ΕΜΠΟΡΙΑΣ ΕΚΠΟΜΠΩΝ ΑΕΡΙΩΝ ΘΕΡΜΟΚΗΠΙΟΥ
της …
για την τροποποίηση των παραρτημάτων I και II της συμφωνίας και για τα τεχνικά πρότυπα σύνδεσης (ΤΠΣ)
Η ΜΕΙΚΤΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση των συστημάτων τους εμπορίας εκπομπών αερίων θερμοκηπίου (στο εξής: συμφωνία), και ιδίως το άρθρο 3 παράγραφος 7 και το άρθρο 13 παράγραφος 2,
Εκτιμώντας τα ακόλουθα:
(1)Η απόφαση αριθ. 2/2019 της μεικτής επιτροπής, της 5ης Δεκεμβρίου 2019, τροποποίησε τα παραρτήματα Ι και ΙΙ της συμφωνίας, εκπληρώνοντας έτσι τις προϋποθέσεις για τη σύνδεση που προβλέπει η συμφωνία.
(2)Μετά την έκδοση της απόφασης αριθ. 2/2019 της μεικτής επιτροπής και σύμφωνα με το άρθρο 21 παράγραφος 3 της συμφωνίας, τα συμβαλλόμενα μέρη αντάλλαξαν τις οικείες πράξεις κύρωσης, δεδομένου ότι έκριναν ότι πληρούνται όλες οι προϋποθέσεις σύνδεσης όπως ορίζονται στη συμφωνία.
(3)Σύμφωνα με το άρθρο 21 παράγραφος 4 της συμφωνίας, η συμφωνία άρχισε να ισχύει την 1η Ιανουαρίου 2020.
(4)Το παράρτημα I της συμφωνίας θα πρέπει να τροποποιηθεί σύμφωνα με το άρθρο 13 παράγραφος 2 της συμφωνίας, ώστε να εξασφαλιστεί η ομαλή μετάβαση στη διαχείριση των φορέων εκμετάλλευσης αεροσκαφών που αποδίδεται στην Ελβετία για πρώτη φορά, λαμβανομένης υπόψη της προόδου που έχει σημειωθεί όσον αφορά τη σύνδεση των μητρώων.
(5)Προκειμένου να ληφθούν υπόψη οι πρόσφατες εξελίξεις και να εξασφαλιστεί αυξημένο επίπεδο ευελιξίας για τη δημιουργία της σύνδεσης μεταξύ των μητρώων που απαιτείται από τη συμφωνία, το παράρτημα II της συμφωνίας θα πρέπει να τροποποιηθεί σύμφωνα με το άρθρο 13 παράγραφος 2 της συμφωνίας, ώστε να προβλέπει μια μεγαλύτερη αλλά ισοδύναμη δέσμη τεχνολογιών για τη δημιουργία της σύνδεσης των μητρώων.
(6)Δυνάμει του άρθρου 3 παράγραφος 7 της συμφωνίας, ο διαχειριστής του ελβετικού μητρώου και ο κεντρικός διαχειριστής της Ένωσης θα πρέπει να αναπτύξουν τεχνικά πρότυπα σύνδεσης (ΤΠΣ) με βάση τις αρχές που ορίζονται στο παράρτημα II της συμφωνίας. Τα ΤΠΣ θα πρέπει να περιγράφουν τις λεπτομερείς απαιτήσεις για τη δημιουργία αξιόπιστης και ασφαλούς σύνδεσης μεταξύ του ελβετικού συμπληρωματικού ημερολογίου συναλλαγών (Swiss Supplementary Transaction Log - SSTL) και του ημερολογίου συναλλαγών της Ευρωπαϊκής Ένωσης (European Union Transaction Log - EUTL). Τα ΤΠΣ θα πρέπει να παράγουν αποτελέσματα αφού εγκριθούν με απόφαση της μεικτής επιτροπής.
(7)Σύμφωνα με το άρθρο 13 παράγραφος 1 της συμφωνίας, η μεικτή επιτροπή θα πρέπει να εγκρίνει τεχνικές κατευθυντήριες γραμμές για να διασφαλίσει την πρέπουσα εφαρμογή της συμφωνίας, συμπεριλαμβανομένης της δημιουργίας αξιόπιστης και ασφαλούς σύνδεσης ανάμεσα στο SSTL και στο EUTL. Tεχνικές κατευθυντήριες γραμμές μπορούν να καταρτιστούν από ομάδα εργασίας που θα συσταθεί σύμφωνα με το άρθρο 12 παράγραφος 5 της συμφωνίας. Η ομάδα εργασίας θα πρέπει να περιλαμβάνει τουλάχιστον τον διαχειριστή του ελβετικού μητρώου και τον κεντρικό διαχειριστή του μητρώου της Ένωσης, ενώ θα πρέπει να επικουρεί τη μεικτή επιτροπή στα καθήκοντά της σύμφωνα με το άρθρο 13 της συμφωνίας,
(8)Δεδομένου του τεχνικού χαρακτήρα των κατευθυντήριων γραμμών και της ανάγκης προσαρμογής τους στις τρέχουσες εξελίξεις, οι τεχνικές κατευθυντήριες γραμμές που αναπτύσσονται από τον διαχειριστή του ελβετικού μητρώου και τον κεντρικό διαχειριστή της Ένωσης θα πρέπει να υποβάλλονται στη μεικτή επιτροπή για ενημέρωση ή, κατά περίπτωση, έγκριση,
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Το δεύτερο εδάφιο του σημείου 17 του μέρους Β του παραρτήματος Ι της συμφωνίας αντικαθίσταται από το ακόλουθο κείμενο:
«Οι φορείς εκμετάλλευσης αεροσκαφών που αποδίδονται στην Ελβετία για πρώτη φορά μετά την έναρξη ισχύος της παρούσας συμφωνίας υπάγονται στη διαχείριση της Ελβετίας μετά την 30ή Απριλίου του έτους απόδοσης και αφού καταστεί λειτουργική η προσωρινή σύνδεση των μητρώων.»
Άρθρο 2
Το τέταρτο εδάφιο του παραρτήματος II της συμφωνίας αντικαθίσταται από το ακόλουθο κείμενο:
«Τα ΤΠΣ ορίζουν συγκεκριμένα ότι οι επικοινωνίες ανάμεσα στο SSTL και το EUTL συνίστανται σε ασφαλείς ανταλλαγές μηνυμάτων με τη χρήση των ακόλουθων τεχνολογιών, ή ισοδύναμων τεχνολογιών:
·διαδικτυακές υπηρεσίες με τη χρήση του πρωτοκόλλου SOAP (Simple Object Access Protocol - απλό πρωτόκολλο πρόσβασης αντικειμένου),
·ιδεατό ιδιωτικό δίκτυο (Virtual Private Network - VPN) υποστηριζόμενο από υλικό,
·XML (Extensible Markup Language - επεκτάσιμη γλώσσα σήμανσης),
·ψηφιακή υπογραφή, και
·πρωτόκολλα δικτυακού χρόνου (Network Time Protocols).
Άρθρο 3
Εγκρίνονται τα τεχνικά πρότυπα σύνδεσης (ΤΠΣ) που επισυνάπτονται στην παρούσα απόφαση.
Άρθρο 4
Συγκροτείται ομάδα εργασίας δυνάμει του άρθρου 12 παράγραφος 5 της συμφωνίας. Η ομάδα εργασίας επικουρεί τη μεικτή επιτροπή στην εξασφάλιση της ορθής εφαρμογής της συμφωνίας, συμπεριλαμβανομένης της ανάπτυξης τεχνικών κατευθυντήριων γραμμών για την εφαρμογή των ΤΠΣ.
Η ομάδα εργασίας περιλαμβάνει τουλάχιστον τον διαχειριστή του ελβετικού μητρώου και τον κεντρικό διαχειριστή του μητρώου της Ένωσης.
Άρθρο 5
Η παρούσα απόφαση αρχίζει να ισχύει από την ημέρα της έκδοσής της.
Συντάχθηκε στην αγγλική γλώσσα στις Βρυξέλλες, στις/την XX 2020.
Για τη μεικτή επιτροπή
|
|
|
Ο/Η γραμματέας για την Ευρωπαϊκή Ένωση
|
Ο/Η πρόεδρος
|
Ο/Η γραμματέας για την Ελβετία
|
|
|
|
|
|
|
|
|
|
ΠΑΡΑΡΤΗΜΑ
ΤΕΧΝΙΚΑ ΠΡΟΤΥΠΑ ΣΥΝΔΕΣΗΣ (ΤΠΣ)
δυνάμει του άρθρου 3 παράγραφος 7 της συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και της Ελβετικής Συνομοσπονδίας για τη σύνδεση των συστημάτων τους εμπορίας εκπομπών αερίων θερμοκηπίου
Πρότυπο προσωρινής λύσης
1.Γλωσσάριο
Πίνακας 1-1 Ακρωνύμια επιχειρησιακών δραστηριοτήτων και ορισμοί
Ακρωνύμιο/Όρος
|
Ορισμός
|
Δικαίωμα
|
Δικαίωμα εκπομπών ενός τόνου ισοδύναμου διοξειδίου του άνθρακα κατά τη διάρκεια καθορισμένης περιόδου, το οποίο ισχύει μόνον για τους σκοπούς της τήρησης των απαιτήσεων του ΣΕΔΕ της ΕΕ ή του ΣΕΔΕ της Ελβετίας.
|
CH
|
Ελβετική Συνομοσπονδία
|
CHU
|
Γενικά δικαιώματα Ελβετίας (ο όρος «CHU2» χρησιμοποιείται ως συντομογραφία για τα δικαιώματα της δεύτερης περιόδου δέσμευσης της Ελβετικής Συνομοσπονδίας)
|
CHUA
|
Δικαιώματα του κλάδου αερομεταφορών της Ελβετίας
|
ΚΕΔ
|
Κοινές επιχειρησιακές διαδικασίες που έχουν αναπτυχθεί από κοινού από τα συμβαλλόμενα μέρη της συμφωνίας για να καταστεί λειτουργική η σύνδεση μεταξύ του ΣΕΔΕ της ΕΕ και του ΣΕΔΕ της Ελβετίας.
|
ΜΕΕ
|
Μητρώο Εμπορίας Εκπομπών
|
ΣΕΔΕ
|
Σύστημα Εμπορίας Δικαιωμάτων Εκπομπών
|
ΕΕ
|
Ευρωπαϊκή Ένωση
|
ΓΔΕΕ
|
Γενικά δικαιώματα ΕΕ
|
ΔΑΕΕ
|
Δικαιώματα του κλάδου αερομεταφορών της ΕΕ
|
EΜΕΕ
|
Ενοποιημένο μητρώο της Ευρωπαϊκής Ένωσης
|
ΗΣΕΕ
|
Ημερολόγιο συναλλαγών της Ευρωπαϊκής Ένωσης
|
Μητρώο
|
Λογιστικό σύστημα για τα δικαιώματα εκπομπών που έχουν εκχωρηθεί στο πλαίσιο του ΣΕΔΕ, το οποίο καταγράφει τις μεταβολές στην κυριότητα των δικαιωμάτων εκπομπών που τηρούνται σε ηλεκτρονικούς λογαριασμούς.
|
ΣΗΣΕ
|
Συμπληρωματικό ημερολόγιο συναλλαγών της Ελβετίας
|
Συναλλαγή
|
Διαδικασία σε μητρώο που περιλαμβάνει τη μεταφορά δικαιώματος από έναν λογαριασμό σε άλλον.
|
Σύστημα ημερολογίου συναλλαγών
|
Το ημερολόγιο συναλλαγών καταγράφει κάθε προτεινόμενη συναλλαγή που αποστέλλεται από το ένα μητρώο στο άλλο.
|
Πίνακας 1-2 Τεχνικά ακρωνύμια και ορισμοί
Ακρωνύμιο
|
Ορισμός
|
Ασύμμετρη κρυπτογράφηση
|
Χρησιμοποιεί δημόσια και ιδιωτικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων.
|
Αρχή πιστοποίησης (ΑΠ)
|
Οντότητα που εκδίδει ψηφιακά πιστοποιητικά.
|
Κρυπτογραφικό κλειδί
|
Πληροφορία που καθορίζει τη λειτουργική παραγωγή ενός κρυπτογραφικού αλγορίθμου.
|
Αποκρυπτογράφηση
|
Αντίστροφη διαδικασία κρυπτογράφησης.
|
Ψηφιακή υπογραφή
|
Μαθηματική τεχνική που χρησιμοποιείται για τον έλεγχο της γνησιότητας και της ακεραιότητας μηνύματος, λογισμικού ή ψηφιακού εγγράφου.
|
Κρυπτογράφηση
|
Διαδικασία μετατροπής πληροφοριών ή δεδομένων σε κώδικα, ιδίως για την πρόληψη της άνευ αδείας πρόσβασης.
|
Πρόσληψη αρχείων (file ingestion)
|
Η διαδικασία ανάγνωσης ενός αρχείου.
|
Τείχος προστασίας (Firewall)
|
Συσκευή ή λογισμικό ασφάλειας δικτύου το οποίο παρακολουθεί και ελέγχει την εισερχόμενη και εξερχόμενη κίνηση δικτύων βάσει προκαθορισμένων κανόνων.
|
Παρακολούθηση «χτύπων καρδιάς» (heartbeat)
|
Περιοδικό σήμα που δημιουργείται και παρακολουθείται από το υλισμικό ή το λογισμικό για την ένδειξη της κανονικής λειτουργίας ή για τον συγχρονισμό άλλων μερών του συστήματος ηλεκτρονικού υπολογιστή.
|
IPsec
|
Ασφάλεια ΙΡ. Ακολουθία πρωτοκόλλου δικτύου, η οποία ελέγχει τη γνησιότητα και κρυπτογραφεί πακέτα δεδομένων με σκοπό την ασφαλή κρυπτοθετημένη επικοινωνία μεταξύ δύο υπολογιστών μέσω δικτύου πρωτοκόλλου διαδικτύου.
|
Δοκιμή διείσδυσης
|
Πρακτική της διεξαγωγής δοκιμών σε σύστημα ηλεκτρονικού υπολογιστή, δίκτυο ή διαδικτυακή εφαρμογή για να βρεθούν τα τρωτά σημεία στον τομέα της ασφάλειας που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.
|
Διαδικασία αντιπαραβολής
|
Διαδικασία με την οποία εξασφαλίζεται ότι δύο σειρές εγγραφών συμφωνούν μεταξύ τους.
|
VPN
|
Εικονικό ιδιωτικό δίκτυο (Virtual Private Network).
|
XML
|
Επεκτάσιμη γλώσσα σήμανσης (Extensible Mark-up Language). Επιτρέπει στους σχεδιαστές να δημιουργούν τις δικές τους εξατομικευμένες ετικέτες, ώστε να γίνεται δυνατός ο ορισμός, η διαβίβαση, η επικύρωση και η ερμηνεία των δεδομένων μεταξύ των εφαρμογών και μεταξύ των οργανισμών.
|
2.Εισαγωγή
Η συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Ελβετικής Συνομοσπονδίας για τη σύνδεση των συστημάτων τους εμπορίας εκπομπών αερίων θερμοκηπίου, της 23ης Νοεμβρίου 2017 (στο εξής: συμφωνία), προβλέπει την αμοιβαία αναγνώριση δικαιωμάτων εκπομπών που μπορούν να χρησιμοποιηθούν για τη συμμόρφωση στο πλαίσιο του συστήματος εμπορίας δικαιωμάτων εκπομπών της Ευρωπαϊκής Ένωσης (στο εξής: ΣΕΔΕ της ΕΕ) ή του συστήματος εμπορίας δικαιωμάτων εκπομπών της Ελβετίας (στο εξής: ΣΕΔΕ της Ελβετίας). Για να καταστεί λειτουργική η σύνδεση ανάμεσα στο ΣΕΔΕ της ΕΕ και το ΣΕΔΕ της Ελβετίας, εγκαθιδρύεται άμεση σύνδεση ανάμεσα στο ημερολόγιο συναλλαγών της ΕΕ (European Union Transaction Log - EUTL) του μητρώου της Ένωσης και το ελβετικό συμπληρωματικό ημερολόγιο συναλλαγών (Swiss Supplementary Transaction Log - SSTL) του ελβετικού μητρώου, η οποία θα επιτρέψει τη μεταξύ των μητρώων μεταφορά εκπομπών που εκχωρούνται από οποιοδήποτε εκ των δύο ΣΕΔΕ (άρθρο 3 παράγραφος 2 της συμφωνίας). Για να καταστεί λειτουργική η σύνδεση μεταξύ του ΣΕΔΕ της ΕΕ και του ΣΕΔΕ της Ελβετίας, θα εφαρμοστεί προσωρινή λύση μέχρι τον Μάιο του 2020 ή το συντομότερο δυνατόν μετά την ημερομηνία αυτή. Τα συμβαλλόμενα μέρη συνεργάζονται για να αντικαταστήσουν την προσωρινή λύση με μόνιμη σύνδεση των μητρώων το συντομότερο δυνατό (παράρτημα ΙΙ της συμφωνίας).
Σύμφωνα με το άρθρο 3 παράγραφος 7 της συμφωνίας, ο διαχειριστής του ελβετικού μητρώου και ο κεντρικός διαχειριστής του μητρώου της Ένωσης αναπτύσσουν τεχνικά πρότυπα σύνδεσης (στο εξής: ΤΠΣ) με βάση τις αρχές που ορίζονται στο παράρτημα II της συμφωνίας, στα οποία περιγράφονται λεπτομερώς οι απαιτήσεις για τη θέσπιση αξιόπιστης και ασφαλούς σύνδεσης ανάμεσα στο SSTL και το EUTL. Τα ΤΠΣ που αναπτύσσουν οι διαχειριστές παράγουν αποτελέσματα αφού εγκριθούν με απόφαση της μεικτής επιτροπής.
Τα ΤΠΣ, όπως καταγράφονται στο παρόν έγγραφο, αναμένεται να εγκριθούν από τη μεικτή επιτροπή με την απόφασή της αριθ. 2/2020. Σύμφωνα με την παρούσα απόφαση, η μεικτή επιτροπή ζητεί από τον διαχειριστή του ελβετικού μητρώου και τον κεντρικό διαχειριστή της Ένωσης να αναπτύξουν περαιτέρω τεχνικές κατευθυντήριες γραμμές για να καταστεί λειτουργική η σύνδεση και να διασφαλίσουν ότι οι κατευθυντήριες γραμμές προσαρμόζονται συνεχώς στην τεχνική πρόοδο και στις νέες απαιτήσεις που αφορούν την ασφάλεια και την προστασία της σύνδεσης, καθώς και την αποτελεσματική και αποδοτική λειτουργία της.
2.1.Πεδίο εφαρμογής
Το παρόν έγγραφο αντιπροσωπεύει την κοινή αντίληψη μεταξύ των συμβαλλόμενων μερών της συμφωνίας όσον αφορά τη δημιουργία των τεχνικών θεμελίων της σύνδεσης μεταξύ των μητρώων του ΣΕΔΕ της ΕΕ και του ΣΕΔΕ της Ελβετίας. Περιγράφει τη γραμμή βάσης για τις τεχνικές προδιαγραφές όσον αφορά τις απαιτήσεις αρχιτεκτονικής, παροχής υπηρεσιών και ασφάλειας· ωστόσο, για την επιχειρησιακή λειτουργία της σύνδεσης θα χρειαστούν κάποιες περαιτέρω λεπτομερείς οδηγίες.
Για την εύρυθμη λειτουργία της σύνδεσης θα χρειαστούν διεργασίες και διαδικασίες ώστε να αυξηθεί περαιτέρω η επιχειρησιακή λειτουργία της σύνδεσης. Σύμφωνα με το άρθρο 3 παράγραφος 6 της συμφωνίας, τα ζητήματα αυτά περιγράφονται λεπτομερώς σε χωριστό έγγραφο κοινών επιχειρησιακών διαδικασιών (στο εξής: KΕΔ), το οποίο θα εγκριθεί χωριστά με απόφαση της μεικτής επιτροπής.
2.2.Αποδέκτες
Το παρόν έγγραφο απευθύνεται στον διαχειριστή του ελβετικού μητρώου και στον κεντρικό διαχειριστή του μητρώου της Ένωσης.
3.Γενικές διατάξεις
3.1.Αρχιτεκτονική της σύνδεσης επικοινωνίας
Σκοπός του παρόντος τμήματος είναι να περιγράψει τη γενική αρχιτεκτονική της επιχειρησιακής λειτουργίας της σύνδεσης μεταξύ του ΣΕΔΕ της ΕΕ και του ΣΕΔΕ της Ελβετίας, καθώς και τα διάφορα στοιχεία που εμπλέκονται σε αυτήν.
Δεδομένου ότι η ασφάλεια αποτελεί βασικό στοιχείο για τον καθορισμό της αρχιτεκτονικής, έχουν ληφθεί όλα τα μέτρα για μια αξιόπιστη αρχιτεκτονική. Παρόλο που η προβλεπόμενη μόνιμη σύνδεση των μητρώων θα βασίζεται σε διαδικτυακές υπηρεσίες, η προσωρινή λύση θα χρησιμοποιεί αντ’ αυτού έναν μηχανισμό ανταλλαγής αρχείων.
Η τεχνική λύση χρησιμοποιεί:
·Πρωτόκολλο ασφαλούς ανταλλαγής για τη διαβίβαση μηνυμάτων.
·Μηνύματα XML.
·Ψηφιακή υπογραφή και κρυπτογράφηση με βάση την XML.
·Συσκευή VPN ή ισοδύναμο δίκτυο ασφαλούς μεταφοράς δεδομένων.
3.1.1.Ανταλλαγή μηνυμάτων
Η επικοινωνία μεταξύ του ενωσιακού μητρώου και του μητρώου της Ελβετίας θα βασίζεται σε μηχανισμό ανταλλαγής μηνυμάτων μέσω ασφαλών διαύλων. Κάθε άκρο θα βασίζεται στο δικό του αποθετήριο λαμβανόμενων μηνυμάτων.
Αμφότερα τα συμβαλλόμενα μέρη θα τηρούν ημερολόγιο των λαμβανόμενων μηνυμάτων, μαζί με τα λεπτομερή στοιχεία της επεξεργασίας.
Σφάλματα ή απροσδόκητες καταστάσεις πρέπει να αναφέρονται ως προειδοποιήσεις, ενώ πρέπει να πραγματοποιούνται επαφές μεταξύ των ατόμων που εργάζονται στις ομάδες υποστήριξης.
Τα σφάλματα και τα απρόβλεπτα γεγονότα θα αντιμετωπίζονται με τήρηση των επιχειρησιακών διαδικασιών που προβλέπονται στη διαδικασία διαχείρισης περιστατικών των ΚΕΔ.
3.1.2.Μήνυμα XML — Περιγραφή υψηλού επιπέδου
Ένα μήνυμα XML περιέχει ένα από τα ακόλουθα:
·Ένα ή περισσότερα αιτήματα συναλλαγής και/ή μία ή περισσότερες αποκρίσεις σε συναλλαγή·
·Μία πράξη / απόκριση που σχετίζεται με την αντιπαραβολή·
·Ένα δοκιμαστικό μήνυμα.
Κάθε μήνυμα περιλαμβάνει κεφαλίδα με:
·Το ΣΕΔΕ προέλευσης·
·Αύξοντα αριθμό.
3.1.3.Παράθυρα πρόσληψης (ingestion)
Η προσωρινή λύση βασίζεται σε προκαθορισμένα παράθυρα πρόσληψης που ακολουθούνται από ένα σύνολο συγκεκριμένων συμβάντων. Τα αιτήματα συναλλαγής που λαμβάνονται μέσω της σύνδεσης θα προσλαμβάνονται μόνο σε προκαθορισμένα χρονικά διαστήματα και περιλαμβάνουν τεχνική επικύρωση για εξερχόμενες και εισερχόμενες συναλλαγές. Επιπλέον, οι αντιπαραβολές μπορούν να διεξάγονται σε καθημερινή βάση και μπορούν να ενεργοποιούνται χειρωνακτικά.
Οι αλλαγές στη συχνότητα και/ή στον χρόνο οποιουδήποτε από αυτά τα συμβάντα θα αντιμετωπίζονται με τήρηση των επιχειρησιακών διαδικασιών που προβλέπονται στη διαδικασία ικανοποίησης αιτημάτων των ΚΕΔ.
3.1.4.Ροές μηνυμάτων συναλλαγής
Εξερχόμενες συναλλαγές
Αντικατοπτρίζουν την άποψη του ΣΕΔΕ διαβίβασης. Το ανωτέρω διάγραμμα ακολουθίας απεικονίζει όλες τις συγκεκριμένες εξερχόμενες ροές συναλλαγών.
Κύρια ροή «Κανονική συναλλαγή» (με τα βήματα που αναφέρονται στη γραφική απεικόνιση ανωτέρω):
α)Στο ΣΕΔΕ διαβίβασης, το αίτημα συναλλαγής αποστέλλεται από το μητρώο στο ημερολόγιο συναλλαγών, μόλις ολοκληρωθούν όλες οι επιχειρησιακές καθυστερήσεις (24ωρη καθυστέρηση, κατά περίπτωση).
β)Το ημερολόγιο συναλλαγών επικυρώνει το αίτημα συναλλαγής.
γ)Το αίτημα συναλλαγής αποστέλλεται στο ΣΕΔΕ προορισμού.
δ)Η απόκριση αποδοχής αποστέλλεται στο μητρώο του ΣΕΔΕ προέλευσης.
ε)Το ΣΕΔΕ προορισμού επικυρώνει το αίτημα συναλλαγής.
στ)Το ΣΕΔΕ προορισμού αποστέλλει την απόκριση αποδοχής στο ημερολόγιο συναλλαγών του ΣΕΔΕ προέλευσης.
ζ)Το ημερολόγιο συναλλαγών αποστέλλει την απόκριση αποδοχής στο μητρώο.
Εναλλακτική ροή «Απόρριψη από το ημερολόγιο συναλλαγών» [με τα βήματα που αναφέρονται στη γραφική απεικόνιση ανωτέρω, ξεκινώντας ομοίως από το α)]:
α)Στο σύστημα προέλευσης, το αίτημα συναλλαγής αποστέλλεται από το μητρώο στο ημερολόγιο συναλλαγών, μόλις ολοκληρωθούν όλες οι επιχειρησιακές καθυστερήσεις (24ωρη καθυστέρηση, κατά περίπτωση).
β)Στη συνέχεια:
γ)Το ημερολόγιο συναλλαγών δεν επικυρώνει το αίτημα
δ)Το μήνυμα απόρριψης αποστέλλεται στο μητρώο προέλευσης.
Εναλλακτική ροή «Απόρριψη του ΣΕΔΕ» [με τα βήματα που αναφέρονται στο σχέδιο ανωτέρω, ξεκινώντας από το α)]:
α)Στο ΣΕΔΕ προέλευσης, το αίτημα συναλλαγής αποστέλλεται από το μητρώο στο ημερολόγιο συναλλαγών, μόλις ολοκληρωθούν όλες οι επιχειρησιακές καθυστερήσεις (24ωρη καθυστέρηση, κατά περίπτωση).
β)Το ημερολόγιο συναλλαγών επικυρώνει τη συναλλαγή.
γ)Το αίτημα συναλλαγής αποστέλλεται στο ΣΕΔΕ προορισμού.
δ)Το μήνυμα αποδοχής αποστέλλεται στο μητρώο του ΣΕΔΕ προέλευσης.
ε)Στη συνέχεια:
στ)Το ημερολόγιο συναλλαγών του ΣΕΔΕ απόκτησης δεν επικυρώνει τη συναλλαγή.
ζ)Το ΣΕΔΕ απόκτησης στέλνει την απάντηση απόρριψης στο ημερολόγιο συναλλαγών του ΣΕΔΕ διαβίβασης.
η)Το ημερολόγιο συναλλαγών στέλνει την απόρριψη στο μητρώο.
Εισερχόμενες συναλλαγές
Εδώ αντικατοπτρίζεται η οπτική του ΣΕΔΕ απόκτησης. Η συγκεκριμένη ροή απεικονίζεται στο ακόλουθο διάγραμμα ακολουθίας:
Το διάγραμμα δείχνει:
1.Όταν το ημερολόγιο συναλλαγών του ΣΕΔΕ απόκτησης επικυρώσει το αίτημα, αποστέλλει το μήνυμα αποδοχής στο ΣΕΔΕ διαβίβασης και μήνυμα «ολοκλήρωση συναλλαγής» στο μητρώο του ΣΕΔΕ απόκτησης.
2.Όταν ένα εισερχόμενο αίτημα απορρίπτεται στο ημερολόγιο συναλλαγών απόκτησης και απορρίπτεται, το αίτημα συναλλαγής δεν αποστέλλεται στο μητρώο του ΣΕΔΕ απόκτησης.
Πρωτόκολλο
Ο κύκλος των μηνυμάτων συναλλαγής περιλαμβάνει μόνο δύο μηνύματα:
·Την πρόταση συναλλαγής από το ΣΕΔΕ διαβίβασης → στο ΣΕΔΕ απόκτησης.
·Την απάντηση για τη συναλλαγή από το ΣΕΔΕ απόκτησης → στο ΣΕΔΕ διαβίβασης: Είτε αποδοχή είτε απόρριψη (συμπεριλαμβανομένου του λόγου της απόρριψης).
–Αποδοχή: Η συναλλαγή ολοκληρώνεται.
–Απόρριψη: Η συναλλαγή περατώνεται.
Καθεστώς συναλλαγής
·Όταν αποσταλεί το αίτημα, το καθεστώς συναλλαγής στο ΣΕΔΕ διαβίβασης θα ορίζεται ως «προτεινόμενη».
·Όταν ληφθεί το αίτημα και κατά τη διάρκεια της διεκπεραίωσής του, το καθεστώς συναλλαγής στο ΣΕΔΕ απόκτησης θα ορίζεται ως «προτεινόμενη».
·Μόλις ολοκληρωθεί η επεξεργασία του αιτήματος, το καθεστώς συναλλαγής στο ΣΕΔΕ απόκτησης θα ορίζεται ως «ολοκληρωμένη» / «περατωθείσα». Στη συνέχεια, το ΣΕΔΕ απόκτησης θα αποστείλει το αντίστοιχο μήνυμα αποδοχής / απόρριψης.
·Όταν η αποδοχή / η απόρριψη ληφθεί και υποστεί επεξεργασία, το καθεστώς συναλλαγής στο ΣΕΔΕ διαβίβασης θα ορίζεται ως «ολοκληρωμένη» / «περατωθείσα».
·Στο ΣΕΔΕ διαβίβασης, το καθεστώς συναλλαγής θα παραμείνει «προτεινόμενη» εάν δεν ληφθεί απάντηση.
·Το ΣΕΔΕ απόκτησης θα ορίσει ως «περατωθείσα» κάθε συναλλαγή που παραμένει «προτεινόμενη» για περισσότερα από 30 λεπτά.
Τα περιστατικά που σχετίζονται με συναλλαγές θα αντιμετωπίζονται με τήρηση των επιχειρησιακών διαδικασιών που προβλέπονται στη διαδικασία διαχείρισης περιστατικών των ΚΕΔ.
|
3.2.Ασφάλεια της μεταφοράς δεδομένων
Τα υπό διαμετακόμιση δεδομένα θα υπόκεινται σε τέσσερα επίπεδα ασφαλείας:
(1)Έλεγχος πρόσβασης στο δίκτυο: Τείχος προστασίας και στρώμα διασύνδεσης δικτύων.
(2)Κρυπτογράφηση στο επίπεδο της μεταφοράς: VPN ή ισοδύναμο ασφαλές δίκτυο μεταφοράς δεδομένων.
(3)Κρυπτογράφηση στο επίπεδο της συνεδρίας επικοινωνίας: Πρωτόκολλο ασφαλούς ανταλλαγής για τη διαβίβαση μηνυμάτων.
(4)Κρυπτογράφηση στο επίπεδο της εφαρμογής: Κρυπτογράφηση περιεχομένου και υπογραφή XML.
3.2.1.Τείχος προστασίας και διασύνδεση δικτύων
Η σύνδεση πραγματοποιείται μέσω δικτύου που προστατεύεται από τείχος προστασίας υποστηριζόμενο από υλικό. Το τείχος προστασίας ρυθμίζεται με κανόνες, έτσι ώστε μόνον οι «καταχωρισμένοι» πελάτες να μπορούν να κάνουν συνδέσεις με τον εξυπηρετητή VPN.
3.2.2.Εικονικό ιδιωτικό δίκτυο (VΡΝ)
Όλες οι επικοινωνίες μεταξύ των συμβαλλόμενων μερών προστατεύονται με τη χρήση τεχνολογίας ασφαλούς μεταφοράς δεδομένων. Στην περίπτωση ιδεατού ιδιωτικού δικτύου (VPN), η υποδομή θα πρέπει να βασίζεται σε υλισμικό ή εικονικές συσκευές. Οι τεχνολογίες VPN παρέχουν την ικανότητα «διοχέτευσης» μέσω δικτύου, όπως το διαδίκτυο, από ένα σημείο σε άλλο, προστατεύοντας όλες τις επικοινωνίες. Πριν από τη δημιουργία της διοχέτευσης VPN εκδίδεται ψηφιακό πιστοποιητικό στο άκρο του μελλοντικού πελάτη, που του επιτρέπει να παρέχει αποδεικτικό ταυτότητας κατά τη διάρκεια της διαπραγμάτευσης της σύνδεσης. Κάθε συμβαλλόμενο μέρος είναι υπεύθυνο για την εγκατάσταση του πιστοποιητικού στο δικό του άκρο VPN. Με τη χρήση ψηφιακών πιστοποιητικών, ο εξυπηρετητής VPN κάθε άκρου θα αποκτά πρόσβαση σε μια κεντρική αρχή για να διαπραγματευτεί διαπιστευτήρια για τον έλεγχο ταυτότητας. Κατά τη διαδικασία δημιουργίας της διοχέτευσης γίνεται διαπραγμάτευση κρυπτογράφησης, ώστε να εξασφαλίζεται η προστασία όλων των επικοινωνιών κατά τη διοχέτευση.
Τα άκρα VPN του πελάτη είναι κατάλληλα διαμορφωμένα για τη διατήρηση της σήραγγας VPN σε μόνιμη βάση, ώστε να είναι δυνατή ανά πάσα στιγμή η αξιόπιστη, αμφίδρομη και σε πραγματικό χρόνο επικοινωνία μεταξύ των συμβαλλόμενων μερών.
Κάθε άλλη ισοδύναμη λύση συμμορφώνεται με τις προαναφερόμενες αρχές.
3.2.3.Εφαρμογή της IPsec
Σε περίπτωση που χρησιμοποιείται λύση VPN, η χρήση του πρωτοκόλλου IPSec για να σχηματιστεί η υποδομή VPN από ιστότοπο σε ιστότοπο θα προβλέπει τον έλεγχο ταυτότητας από ιστότοπο σε ιστότοπο, την ακεραιότητα των δεδομένων και την κρυπτογράφηση των δεδομένων. Οι διατάξεις IPSec στο πλαίσιο VPN διασφαλίζουν τον ορθό έλεγχο ταυτότητας μεταξύ δύο άκρων σε σύνδεση VPN. Τα συμβαλλόμενα μέρη θα εντοπίζουν και θα ελέγχουν την ταυτότητα του εξ αποστάσεως πελάτη μέσω της σύνδεσης IPSec με χρήση ψηφιακών πιστοποιητικών που παρέχονται από αρχή πιστοποίησης η οποία έχει αναγνωριστεί από το άλλο άκρο.
Το IPsec διασφαλίζει επίσης την ακεραιότητα των δεδομένων όλων των επικοινωνιών που διέρχονται μέσω της διοχέτευσης VPN. Τα πακέτα δεδομένων κατακερματίζονται και υπογράφονται με τη χρήση των πληροφοριών ελέγχου ταυτότητας που παρέχονται από το VPN. Η εμπιστευτικότητα των δεδομένων εξασφαλίζεται με τον ίδιο τρόπο, με την παροχή δυνατότητας κρυπτογράφησης IPSec.
3.2.4.Πρωτόκολλο ασφαλούς ανταλλαγής για τη διαβίβαση μηνυμάτων
Η προσωρινή λύση βασίζεται σε πολλά στρώματα κρυπτογράφησης για την ασφαλή ανταλλαγή δεδομένων μεταξύ των συμβαλλόμενων μερών. Και τα δύο συστήματα και τα διαφορετικά περιβάλλοντά τους είναι διασυνδεδεμένα σε επίπεδο δικτύου μέσω διοχετεύσεων VPN ή ισοδύναμων δικτύων ασφαλούς μεταφοράς δεδομένων. Στο επίπεδο της εφαρμογής, τα αρχεία διαβιβάζονται με τη χρήση πρωτοκόλλου ασφαλούς ανταλλαγής για τη διαβίβαση μηνυμάτων σε επίπεδο συνεδρίας.
3.2.5.Κρυπτογράφηση και υπογραφή XML
Στα αρχεία XML η υπογραφή και η κρυπτογράφηση εμφανίζονται σε δύο επίπεδα. Κάθε αίτημα συναλλαγής, απόκριση συναλλαγής και μήνυμα αντιπαραβολής υπογράφονται ψηφιακά και ξεχωριστά.
Σε δεύτερο στάδιο, κάθε επιμέρους στοιχείο του στοιχείου «μήνυμα» είναι κρυπτογραφημένο χωριστά.
Επιπλέον, ως τρίτο στάδιο και για να διασφαλιστεί η ακεραιότητα και η μη άρνηση αναγνώρισης ολόκληρου του μηνύματος, το βασικό μήνυμα που περιέχει όλα τα υπόλοιπα στοιχεία του αρχείου (root element) είναι ψηφιακά υπογεγραμμένο. Αυτό έχει ως αποτέλεσμα υψηλό επίπεδο προστασίας για τα ενσωματωμένα δεδομένα XML. Η τεχνική εφαρμογή τηρεί τα πρότυπα της Κοινοπραξίας του Παγκόσμιου Ιστού.
Για να αποκρυπτογραφηθεί και να επαληθευτεί το μήνυμα, ακολουθείται η διαδικασία με αντίστροφη σειρά.
3.2.6.Κρυπτογραφικά κλειδιά
Για την κρυπτογράφηση και την υπογραφή θα χρησιμοποιούνται συστήματα κρυπτογράφησης με δημόσιο κλειδί.
Στην ειδική περίπτωση της IPSec, χρησιμοποιείται ψηφιακό πιστοποιητικό που εκδίδεται από αρχή πιστοποίησης (στο εξής: ΑΠ) την οποία εμπιστεύονται και τα δύο συμβαλλόμενα μέρη. Η εν λόγω ΑΠ επαληθεύει την ταυτότητα και εκδίδει πιστοποιητικά τα οποία χρησιμοποιούνται για τη θετική ταυτοποίηση μιας οργάνωσης και τη δημιουργία ασφαλών διαύλων επικοινωνίας δεδομένων μεταξύ των συμβαλλόμενων μερών.
Τα κρυπτογραφικά κλειδιά χρησιμοποιούνται για την υπογραφή και την κρυπτογράφηση των διαύλων επικοινωνίας και των αρχείων δεδομένων. Τα δημόσια πιστοποιητικά ανταλλάσσονται ψηφιακά από τα συμβαλλόμενα μέρη με τη χρήση ασφαλών διαύλων και επαληθεύονται εκτός ζώνης. Η διαδικασία αυτή αποτελεί αναπόσπαστο μέρος της διαδικασίας διαχείρισης της ασφάλειας των πληροφοριών στις ΚΕΔ.
|
3.3.Κατάλογος λειτουργιών στο πλαίσιο της σύνδεσης
Η σύνδεση προσδιορίζει το σύστημα μεταφοράς για μια σειρά λειτουργιών που υλοποιούν τις διαδικασίες εμπορίας δικαιωμάτων εκπομπών οι οποίες απορρέουν από τη συμφωνία. Η σύνδεση περιλαμβάνει επίσης τις προδιαγραφές για τη διαδικασία αντιπαραβολής και για τα μηνύματα δοκιμής που θα καταστήσουν δυνατή την εφαρμογή παρακολούθησης «χτύπων καρδιάς».
3.3.1.Συναλλαγές σχετικές με δραστηριότητες εμπορίας δικαιωμάτων εκπομπών
Από την πλευρά των δραστηριοτήτων, η σύνδεση εξετάζει τέσσερα (4) είδη αιτημάτων συναλλαγής:
·Εξωτερική μεταφορά:
·Μετά την έναρξη ισχύος της σύνδεσης των ΣΕΔΕ, τα δικαιώματα της ΕΕ και της Ελβετίας είναι εναλλάξιμα και, επομένως, πλήρως μεταβιβάσιμα, μεταξύ των συμβαλλόμενων μερών.
·Στη μεταφορά που αποστέλλεται μέσω της σύνδεσης εμπλέκονται ένας λογαριασμός μεταφοράς του ενός ΣΕΔΕ και ένας λογαριασμός απόκτησης του άλλου ΣΕΔΕ.
·Η μεταφορά μπορεί να περιλαμβάνει οποιοδήποτε ποσό από τα τέσσερα (4) είδη δικαιωμάτων:
·Γενικά δικαιώματα της Ελβετίας (CHU)
·Δικαιώματα του κλάδου αερομεταφορών της Ελβετίας (CHUA)
·Γενικά δικαιώματα της ΕΕ (EUA)
·Δικαιώματα του κλάδου αερομεταφορών της ΕΕ (EUAA)
·Διεθνής κατανομή:
Οι φορείς εκμετάλλευσης αεροσκαφών τους οποίους διαχειρίζεται το ένα ΣΕΔΕ και οι οποίοι έχουν υποχρεώσεις στο άλλο ΣΕΔΕ και έχουν δικαίωμα να λαμβάνουν δωρεάν δικαιώματα από το δεύτερο αυτό ΣΕΔΕ, θα λαμβάνουν δωρεάν δικαιώματα του κλάδου των αερομεταφορών από το δεύτερο ΣΕΔΕ, μέσω της συναλλαγής διεθνούς κατανομής.
·Αντιστροφή διεθνούς κατανομής:
Η συναλλαγή αυτή θα πραγματοποιηθεί στην περίπτωση που πρέπει να αντιστραφεί το σύνολο των δωρεάν δικαιωμάτων τα οποία έχουν κατανεμηθεί σε φορέα εκμετάλλευσης αεροσκαφών από το άλλο ΣΕΔΕ.
·Επιστροφή πλεοναζόντων δικαιωμάτων:
Παρόμοια με την αντιστροφή, με τη διαφορά ότι η κατανομή δεν χρειάζεται να αντιστραφεί πλήρως, και μόνο τα πλεονάζοντα κατανεμηθέντα δικαιώματα πρέπει να επιστραφούν στο ΣΕΔΕ που τα κατένειμε.
3.3.2.Πρωτόκολλο αντιπαραβολής
Οι αντιπαραβολές θα πραγματοποιούνται μόνο αφού έχουν κλείσει τα παράθυρα για την πρόσληψη, την επικύρωση και την επεξεργασία των μηνυμάτων.
Οι αντιπαραβολές αποτελούν αναπόσπαστο μέρος των μέτρων ασφάλειας και συνέπειας της σύνδεσης. Τα δύο μέρη θα συμφωνήσουν για τον ακριβή χρόνο της αντιπαραβολής πριν από την κατάρτιση οποιουδήποτε χρονοδιαγράμματος. Μπορεί να πραγματοποιείται ημερήσια τακτική αντιπαραβολή εφόσον συμφωνηθεί από τα δύο συμβαλλόμενα μέρη. Ωστόσο, τουλάχιστον μια προγραμματισμένη αντιπαραβολή θα πραγματοποιείται μετά την πρόσληψη.
Παρά ταύτα, κάθε συμβαλλόμενο μέρος μπορεί να προβαίνει σε χειρωνακτικές αντιπαραβολές ανά πάσα στιγμή.
Ο χειρισμός των αλλαγών στο χρονοδιάγραμμα και στη συχνότητα της προγραμματισμένης αντιπαραβολής θα διεξάγεται με τήρηση των επιχειρησιακών διαδικασιών που ορίζονται στη διαδικασία ικανοποίησης αιτημάτων των ΚΕΔ.
|
3.3.3.Δοκιμαστικό μήνυμα
Προβλέπεται η αποστολή δοκιμαστικού μηνύματος για τη δοκιμή της διατερματικής επικοινωνίας. Το μήνυμα θα περιέχει δεδομένα που θα το χαρακτηρίζουν ως δοκιμαστικό και θα απαντηθεί μόλις ληφθεί από το άλλο άκρο.
3.4.Πρότυπα για τις διαδικτυακές υπηρεσίες
Οι διαδικτυακές υπηρεσίες δεν θα χρησιμοποιηθούν στην προσωρινή λύση. Αξίζει ωστόσο να σημειωθεί ότι το σχήμα και ο μορφότυπος των μηνυμάτων XML θα παραμείνουν αμετάβλητα σε μεγάλο βαθμό. Με την εισαγωγή του μόνιμου συνδέσμου προς το μητρώο στο μέλλον, οι διαδικτυακές υπηρεσίες θα πρέπει να επιτρέπουν την ανταλλαγή μηνυμάτων XML σε πραγματικό χρόνο.
3.5.Ειδικός ορισμός των διαδικτυακών υπηρεσιών
Το παρόν τμήμα δεν ισχύει για την προσωρινή λύση. Όπως αναφέρθηκε στην προηγούμενη ενότητα, οι διαδικτυακές υπηρεσίες θα χρησιμοποιηθούν μόνο στον μελλοντικό σύνδεσμο προς το μόνιμο μητρώο.
3.6.Απαιτήσεις καταγραφής δεδομένων
Για να υποστηριχθεί η ανάγκη των δύο συμβαλλόμενων μερών να διατηρούν ακριβείς και συνεπείς πληροφορίες, και για να παρέχονται εργαλεία προς χρήση στη διαδικασία αντιπαραβολής για την επίλυση των ανακολουθιών, τα δύο συμβαλλόμενα μέρη τηρούν τέσσερις (4) τύπους συστημάτων καταγραφής δεδομένων:
·Ημερολόγια συναλλαγών·
·Ημερολόγια αντιπαραβολής·
·Αρχείο μηνυμάτων·
·Ημερολόγια εσωτερικού ελέγχου.
Όλα τα δεδομένα των εν λόγω αρχείων τηρούνται τουλάχιστον κατά τη διάρκεια τριών (3) μηνών για την ανίχνευση λαθών και η περαιτέρω διατήρησή τους θα εξαρτηθεί από το εφαρμοστέο δίκαιο σε κάθε άκρο για τον σκοπό του εσωτερικού ελέγχου. Αρχεία διάρκειας άνω των τριών (3) μηνών μπορούν να αρχειοθετούνται σε ασφαλή τοποθεσία σε ανεξάρτητο σύστημα ΤΠ, εφόσον είναι δυνατή η ανάκτηση ή η πρόσβαση σε αυτό εντός εύλογου χρονικού διαστήματος.
Ημερολόγια συναλλαγών
Τα υποσυστήματα «EUTL» και «SSTL» περιλαμβάνουν εφαρμογές ημερολογίων συναλλαγών.
Ειδικότερα, τα ημερολόγια συναλλαγών θα τηρούν αρχείο για κάθε προτεινόμενη συναλλαγή που αποστέλλεται στο άλλο ΣΕΔΕ. Κάθε εγγραφή περιλαμβάνει όλα τα πεδία του περιεχομένου της συναλλαγής και το επακόλουθο αποτέλεσμα της συναλλαγής (την απάντηση του ΣΕΔΕ αποδέκτη). Τα ημερολόγια συναλλαγών θα τηρούν επίσης αρχείο για τις εισερχόμενες συναλλαγές, καθώς και την απάντηση που στάλθηκε στο ΣΕΔΕ προέλευσης.
Ημερολόγια αντιπαραβολής
Το ημερολόγιο αντιπαραβολής περιλαμβάνει αρχείο για κάθε μήνυμα αντιπαραβολής που ανταλλάσσεται μεταξύ των δύο συμβαλλόμενων μερών, συμπεριλαμβανομένων της ταυτότητας της αντιπαραβολής, της χρονοσφραγίδας και του αποτελέσματος της αντιπαραβολής: Κατάσταση αντιπαραβολής «Επιτυχία» ή «Ασυμφωνίες». Στην προσωρινή λύση, τα μηνύματα αντιπαραβολής αποτελούν αναπόσπαστο μέρος των ανταλλασσόμενων μηνυμάτων.
Τα δύο συμβαλλόμενα μέρη καταγράφουν κάθε αίτημα και τη σχετική απόκριση στο ημερολόγιο αντιπαραβολής. Παρά το γεγονός ότι οι πληροφορίες του ημερολογίου αντιπαραβολής δεν κοινοποιούνται άμεσα στο πλαίσιο της εκάστοτε αντιπαραβολής, η πρόσβαση σε αυτές τις πληροφορίες μπορεί να είναι αναγκαία για την επίλυση των ανακολουθιών.
Αρχείο μηνυμάτων
Αμφότερα τα συμβαλλόμενα μέρη οφείλουν να αρχειοθετούν αντίγραφο των ανταλλασσόμενων δεδομένων (αρχεία XML), τα οποία έστειλαν και έλαβαν, και να σημειώνουν κατά πόσον αυτά τα μηνύματα ή μηνύματα XML είχαν τον σωστό μορφότυπο.
Κύριος σκοπός του αρχείου είναι ο έλεγχος, η απόδειξη της αποστολής και παραλαβής του προς και από το άλλο συμβαλλόμενο μέρος. Υπό την έννοια αυτή, μαζί με τα αρχεία, πρέπει να αρχειοθετούνται και τα σχετικά πιστοποιητικά.
Τα αρχεία αυτοί θα παρέχουν επίσης πρόσθετες πληροφορίες για την αποκατάσταση λαθών.
Ημερολόγιο εσωτερικού ελέγχου
Τα ημερολόγια αυτά καθορίζονται και χρησιμοποιούνται από κάθε συμβαλλόμενο μέρος από την πλευρά του.
3.7.Επιχειρησιακές απαιτήσεις
Η ανταλλαγή δεδομένων μεταξύ των δύο συστημάτων δεν είναι πλήρως αυτόνομη στην προσωρινή λύση και αυτό σημαίνει ότι απαιτείται από τους φορείς εκμετάλλευσης και τις διαδικασίες να θέσουν σε λειτουργία τη σύνδεση.
4.Διατάξεις περί διαθεσιμότητας
4.1.Σχεδιασμός της επικοινωνιακής διαθεσιμότητας
Η αρχιτεκτονική για την προσωρινή λύση είναι ουσιαστικά μια υποδομή ΤΠΕ και ένα λογισμικό που καθιστά δυνατή την επικοινωνία μεταξύ του ΣΕΔΕ της Ελβετίας και του ΣΕΔΕ της ΕΕ. Η διασφάλιση υψηλών επιπέδων διαθεσιμότητας, ακεραιότητας και εμπιστευτικότητας της εν λόγω ροής δεδομένων γίνεται, στη συνέχεια, μια ουσιαστική πτυχή που πρέπει να εξεταστεί κατά τον σχεδιασμό της προσωρινής λύσης και της μόνιμης σύνδεσης των μητρώων. Δεδομένου ότι πρόκειται για έργο στον οποίο οι υποδομές ΤΠΕ, το εξατομικευμένο λογισμικό και οι διαδικασίες διαδραματίζουν ουσιαστικό ρόλο, πρέπει να ληφθούν υπόψη και τα τρία στοιχεία προκειμένου να σχεδιαστεί ένα ανθεκτικό σύστημα.
Ανθεκτικότητα των υποδομών ΤΠΕ
Στο κεφάλαιο περί γενικών διατάξεων του παρόντος εγγράφου περιγράφονται λεπτομερώς τα δομοστοιχεία της αρχιτεκτονικής. Όσον αφορά τις υποδομές ΤΠΕ, η προσωρινή σύνδεση διαμορφώνει ένα ανθεκτικό δίκτυο VPN (ή ισοδύναμο) που δημιουργεί ασφαλείς διαύλους επικοινωνίας μέσω των οποίων μπορούν να πραγματοποιούνται ασφαλείς ανταλλαγές μηνυμάτων. Άλλα στοιχεία της υποδομής ρυθμίζονται σε υψηλή διαθεσιμότητα και/ή βασίζονται σε εφεδρικούς μηχανισμούς.
Ανθεκτικότητα του εξατομικευμένου λογισμικού
Οι εξατομικευμένες ενότητες λογισμικού που έχουν αναπτυχθεί ενισχύουν την ανθεκτικότητα μέσω της επανάληψης της επικοινωνίας για δεδομένη χρονική περίοδο με το άλλο άκρο, εάν αυτό, για οποιονδήποτε λόγο, δεν είναι διαθέσιμο.
Ανθεκτικότητα των υπηρεσιών
Στην προσωρινή λύση, οι ανταλλαγές δεδομένων μεταξύ των συμβαλλόμενων μερών πραγματοποιούνται σε προκαθορισμένες χρονοθυρίδες καθ’ όλη τη διάρκεια του έτους. Ορισμένα από τα βήματα που ακολουθούνται για τις προκαθορισμένες ανταλλαγές δεδομένων απαιτούν χειροκίνητη παρέμβαση των διαχειριστών συστημάτων και/ή των διαχειριστών μητρώου. Λαμβανομένης υπόψη της πτυχής αυτής και προκειμένου να αυξηθεί η διαθεσιμότητα και η επιτυχία των ανταλλαγών:
·Οι επιχειρησιακές διαδικασίες προβλέπουν σημαντικά χρονικά διαστήματα για την εκτέλεση κάθε βήματος.
·Οι ενότητες λογισμικού για την προσωρινή λύση εφαρμόζουν ασύγχρονη επικοινωνία.
·Η διαδικασία αυτόματης αντιπαραβολής θα εντοπίζει αν υπήρχαν ζητήματα σχετικά με την πρόσληψη αρχείων δεδομένων σε οποιοδήποτε άκρο.
·Οι διαδικασίες παρακολούθησης (υποδομή ΤΠΕ και εξατομικευμένες ενότητες λογισμικού) εξετάζονται και ενεργοποιούν διαδικασίες διαχείρισης περιστατικών (όπως ορίζονται στο έγγραφο των κοινών επιχειρησιακών διαδικασιών). Οι εν λόγω διαδικασίες που αποσκοπούν στη μείωση του χρόνου αποκατάστασης της κανονικής λειτουργίας έπειτα από περιστατικά είναι ουσιαστικής σημασίας για τη διασφάλιση υψηλών δεικτών διαθεσιμότητας.
4.2.Αρχικοποίηση, επικοινωνία, επανενεργοποίηση και σχέδιο δοκιμών
Όλα τα διαφορετικά στοιχεία που περιλαμβάνονται στην αρχιτεκτονική της προσωρινής λύσης υποβάλλονται σε σειρά επιμέρους και συλλογικών δοκιμών προκειμένου να επιβεβαιωθεί η ετοιμότητα της πλατφόρμας σε επίπεδο υποδομής ΤΠΕ και συστήματος πληροφοριών. Οι εν λόγω επιχειρησιακές δοκιμές αποτελούν υποχρεωτική προϋπόθεση κάθε φορά που η πλατφόρμα αλλάζει την κατάσταση της προσωρινής λύσης από «αναστολή» σε «λειτουργία».
Η ενεργοποίηση του καθεστώτος λειτουργίας της σύνδεσης απαιτεί στη συνέχεια την επιτυχή εκτέλεση προκαθορισμένου σχεδίου δοκιμών. Αυτό επιβεβαιώνει ότι κάθε μητρώο έχει πρώτα πραγματοποιήσει σειρά εσωτερικών δοκιμών, και στη συνέχεια, έχει επικυρώσει τη διατερματική συνδετικότητα πριν από την έναρξη υποβολής των συναλλαγών παραγωγής μεταξύ των δύο συμβαλλόμενων μερών.
Στο σχέδιο δοκιμών θα πρέπει να αναφέρεται η συνολική στρατηγική δοκιμών και λεπτομέρειες σχετικά με την υποδομή δοκιμών. Συγκεκριμένα, για κάθε στοιχείο κάθε ενότητας δοκιμών, θα πρέπει να περιλαμβάνονται:
·Τα κριτήρια και τα εργαλεία της δοκιμής·
·Οι ρόλοι που έχουν ανατεθεί σχετικά με την εκτέλεση της δοκιμής·
·Τα αναμενόμενα αποτελέσματα (θετικά και αρνητικά)·
·Το χρονοδιάγραμμα της δοκιμής·
·Η καταγραφή των απαιτήσεων σχετικά με τα αποτελέσματα των δοκιμών·
·Έγγραφα τεκμηρίωσης για την αποκατάσταση λαθών·
·Διατάξεις κλιμάκωσης.
Ως διαδικασία, οι δοκιμές ενεργοποίησης της κατάστασης λειτουργίας θα μπορούσαν να χωριστούν σε τέσσερα (4) εννοιολογικά τμήματα ή στάδια:
4.2.1.Εσωτερικές δοκιμές υποδομής ΤΠΕ
Οι δοκιμές αυτές πρέπει να διεξάγονται και/ή να ελέγχονται μεμονωμένα από αμφότερα τα συμβαλλόμενα μέρη σε κάθε άκρο.
Κάθε στοιχείο της υποδομής ΤΠΕ σε κάθε άκρο υποβάλλεται σε δοκιμή μεμονωμένα. Αυτό περιλαμβάνει κάθε επιμέρους στοιχείο της υποδομής. Οι δοκιμές αυτές μπορούν να εκτελούνται αυτόματα ή χειρωνακτικά, αλλά επαληθεύουν ότι κάθε στοιχείο της υποδομής είναι λειτουργικό.
4.2.2.Δοκιμές επικοινωνίας
Οι δοκιμές αυτές ξεκινούν μεμονωμένα σε κάθε συμβαλλόμενο μέρος και ολοκληρώνονται σε συνεργασία με το άλλο άκρο.
Μόλις τεθούν σε λειτουργία τα επιμέρους στοιχεία, πρέπει να ελέγχονται οι δίαυλοι επικοινωνίας μεταξύ των δύο μητρώων. Για τον σκοπό αυτό, κάθε συμβαλλόμενο μέρος επαληθεύει ότι η πρόσβαση στο διαδίκτυο λειτουργεί, ότι έχουν δημιουργηθεί οι σήραγγες VPN (ή ισοδύναμο δίκτυο ασφαλούς μεταφοράς) και ότι υπάρχει συνδεσιμότητα ΙΡ μεταξύ εγκαταστάσεων. Στη συνέχεια, θα πρέπει να επιβεβαιωθεί η δυνατότητα πρόσβασης σε τοπικά και εξ αποστάσεως στοιχεία υποδομών και η συνδεσιμότητα ΙΡ·στο άλλο άκρο.
4.2.3.Δοκιμές πλήρους συστήματος (διατερματικά)
Οι δοκιμές αυτές πρέπει να εκτελεστούν σε κάθε άκρο και τα αποτελέσματά τους κοινοποιούνται στο άλλο συμβαλλόμενο μέρος.
Αφού οι δίαυλοι επικοινωνίας και κάθε επιμέρους κατασκευαστικό στοιχείο των δύο μητρώων υποβληθούν σε δοκιμή, κάθε άκρο καταρτίζει σειρά προσομοιούμενων συναλλαγών και αντιπαραβολής που είναι αντιπροσωπευτικές όλων των λειτουργιών που πρόκειται να υλοποιηθούν στο πλαίσιο του δεσμού.
4.2.4.Δοκιμές ασφάλειας
Οι δοκιμές αυτές πρέπει να διενεργούνται και/ή να ενεργοποιούνται από τα δύο συμβαλλόμενα μέρη σε κάθε άκρο, όπως περιγράφεται στις ενότητες «Κατευθυντήριες γραμμές για τους ελέγχους ασφαλείας» και «Διατάξεις αξιολόγησης κινδύνου».
Μόνο αφού κάθε μια από τις τέσσερις φάσεις/ενότητες περατωθεί με προβλέψιμα αποτελέσματα, μπορεί να θεωρηθεί ότι η προσωρινή σύνδεση βρίσκεται σε κατάσταση λειτουργίας.
Πόροι για τις δοκιμές
Κάθε συμβαλλόμενο μέρος προβλέπει ειδικούς πόρους για τις δοκιμές (ειδικό λογισμικό και υλισμικό υποδομής ΤΠΕ) και αναπτύσσει λειτουργίες δοκιμής στα αντίστοιχα συστήματά του για την υποστήριξη της χειρωνακτικής και συνεχούς επικύρωσης της πλατφόρμας. Χειροκίνητες ατομικές ή συνεργατικές διαδικασίες δοκιμής μπορούν να διενεργούνται ανά πάσα στιγμή από τους διαχειριστές των μητρώων. Η ενεργοποίηση της κατάστασης λειτουργίας αποτελεί καθαυτή μια χειροκίνητη διαδικασία.
Επίσης προβλέπεται ότι η πλατφόρμα θα διενεργεί αυτόματους ελέγχους σε τακτά χρονικά διαστήματα. Οι εν λόγω έλεγχοι αποσκοπούν στην αύξηση της διαθεσιμότητας της πλατφόρμας με την έγκαιρη ανίχνευση πιθανών προβλημάτων υποδομών ή λογισμικού. Αυτό το σχέδιο παρακολούθησης της πλατφόρμας αποτελείται από δύο στοιχεία:
·Παρακολούθηση υποδομών ΤΠΕ: και στα δύο άκρα, η υποδομή θα παρακολουθείται από τους παρόχους υπηρεσιών υποδομής ΤΠΕ. Οι αυτόματες δοκιμές θα καλύπτουν τα διάφορα στοιχεία της υποδομής και τη διαθεσιμότητα των διαύλων επικοινωνίας.
·Παρακολούθηση της εφαρμογής: οι ενότητες του λογισμικού της προσωρινής σύνδεσης θα εφαρμόζουν παρακολούθηση της επικοινωνίας του συστήματος σε επίπεδο εφαρμογής (είτε χειρωνακτικά είτε/και σε τακτά χρονικά διαστήματα), η οποία θα ελέγχει τη διατερματική διαθεσιμότητα της σύνδεσης, μέσω της προσομοίωσης ορισμένων από τις συναλλαγές διαμέσου της σύνδεσης.
4.3.Περιβάλλοντα αποδοχής/δοκιμών
Η αρχιτεκτονική του μητρώου της Ένωσης και του μητρώου της Ελβετίας αποτελείται από τα ακόλουθα τρία περιβάλλοντα:
·Παραγωγή (PROD): Το περιβάλλον αυτό έχει στην κατοχή του τα πραγματικά δεδομένα και επεξεργάζεται πραγματικές συναλλαγές.
·Αποδοχή (ACC): Το περιβάλλον αυτό περιέχει μη πραγματικά ή ανωνυμοποιημένα αντιπροσωπευτικά δεδομένα. Είναι το περιβάλλον στο οποίο οι διαχειριστές συστημάτων από τα δύο συμβαλλόμενα μέρη επικυρώνουν τις νέες αναρτήσεις.
·Δοκιμή (TEST): Το περιβάλλον αυτό περιέχει μη πραγματικά ή ανωνυμοποιημένα αντιπροσωπευτικά δεδομένα. Το περιβάλλον αυτό περιορίζεται στους διαχειριστές των μητρώων και προορίζεται να χρησιμοποιείται για τη διενέργεια δοκιμών ολοκλήρωσης από τα δύο συμβαλλόμενα μέρη.
Με εξαίρεση το VPN (ή ισοδύναμο δίκτυο), τα τρία περιβάλλοντα είναι πλήρως ανεξάρτητα το ένα από το άλλο, δηλαδή το υλισμικό, το λογισμικό, οι βάσεις δεδομένων, τα εικονικά περιβάλλοντα, οι διευθύνσεις IP, οι θύρες διαμορφώνονται και λειτουργούν ανεξάρτητα το ένα από το άλλο.
Όσον αφορά τη διάταξη VPN, αυτή διαμορφώνεται σε δύο διαφορετικά περιβάλλοντα, ένα για την PROD, και ένα ανεξάρτητο για τα ACC και TEST.
5.Διατάξεις για την εμπιστευτικότητα και την ακεραιότητα
Οι μηχανισμοί και οι διαδικασίες ασφαλείας προβλέπουν εξέταση από δύο πρόσωπα («αρχή των τεσσάρων ματιών») για πράξεις που εκτελούνται στη σύνδεση μεταξύ του μητρώου της Ένωσης και του μητρώου της Ελβετίας. Η εξέταση από δύο πρόσωπα εφαρμόζεται όποτε αυτό είναι απαραίτητο, αλλά ενδέχεται να μην ισχύει για όλα τα βήματα που εκτελούν οι διαχειριστές των μητρώων.
Οι απαιτήσεις ασφαλείας εξετάζονται και αντιμετωπίζονται στο σχέδιο διαχείρισης της ασφάλειας, το οποίο περιλαμβάνει επίσης διαδικασίες σχετικά με τη διαχείριση περιστατικών που θέτουν σε κίνδυνο την ασφάλεια κατόπιν ενδεχόμενης παραβίασης της ασφάλειας. Το επιχειρησιακό μέρος των εν λόγω διαδικασιών περιγράφεται στις ΚΕΔ.
5.1.Υποδομή για τους ελέγχους ασφάλειας
Κάθε συμβαλλόμενο μέρος δεσμεύεται να δημιουργήσει υποδομή για τον έλεγχο της ασφάλειας (χρησιμοποιώντας το από κοινού καθορισμένο λογισμικό και το υλισμικό που χρησιμοποιούνται για τον εντοπισμό των τρωτών σημείων στα στάδια της ανάπτυξης και της λειτουργίας):
·Ξεχωριστά από το περιβάλλον παραγωγής·
·Όταν η ασφάλεια αναλύεται από ομάδα ανεξάρτητη από την ανάπτυξη και λειτουργία του συστήματος.
Κάθε συμβαλλόμενο μέρος αναλαμβάνει την εκτέλεση στατικής και δυναμικής ανάλυσης.
Στην περίπτωση δυναμικής ανάλυσης (όπως οι δοκιμές διείσδυσης), τα δύο συμβαλλόμενα μέρη δεσμεύονται να περιορίζουν κατά κανόνα τις αξιολογήσεις στα περιβάλλοντα δοκιμής και αποδοχής (όπως ορίζονται στο τμήμα «Περιβάλλοντα αποδοχής / δοκιμών»). Εξαιρέσεις από την πολιτική αυτή υπόκεινται στην έγκριση και των δύο συμβαλλόμενων μερών.
Πριν από την εγκατάστασή της στο περιβάλλον παραγωγής, κάθε ενότητα λογισμικού της σύνδεσης (όπως ορίζεται στην ενότητα «Αρχιτεκτονική της σύνδεσης επικοινωνίας») υποβάλλεται σε έλεγχο ασφάλειας.
Οι υποδομές δοκιμής πρέπει να διαχωρίζονται, τόσο σε επίπεδο δικτύου όσο και σε επίπεδο υποδομής, από το επίπεδο παραγωγής, ενώ πρέπει να είναι δυνατή η διενέργεια των δοκιμών ασφαλείας που απαιτούνται για τον έλεγχο της συμμόρφωσης με τις απαιτήσεις ασφαλείας.
5.2.Αναστολή της σύνδεσης και διατάξεις για την επανενεργοποίηση
Εάν υπάρχει υπόνοια ότι έχει διακυβευτεί η ασφάλεια του μητρώου της Ελβετίας, του SSTL, του μητρώου της Ένωσης ή του EUTL, τα συμβαλλόμενα μέρη αλληλοενημερώνονται αμέσως και αναστέλλουν τη σύνδεση μεταξύ του SSTL και του EUTL.
Οι διαδικασίες για την ανταλλαγή πληροφοριών, την απόφαση αναστολής και την απόφαση επανενεργοποίησης αποτελούν μέρος της διαδικασίας ικανοποίησης αιτημάτων των ΚΕΔ.
|
Αναστολές
Αναστολή της σύνδεσης του μητρώου σύμφωνα με το παράρτημα II της συμφωνίας μπορεί να συμβεί για τους εξής λόγους:
·Διοικητικούς λόγους (συντήρηση κ.λπ.), δηλαδή προγραμματισμένη αναστολή·
·Λόγους ασφάλειας (ή αναλύσεις σχετικά με βλάβες της υποδομής ΤΠ), δηλαδή μη προγραμματισμένη αναστολή.
Σε περίπτωση έκτακτης ανάγκης, οποιοδήποτε από τα συμβαλλόμενα μέρη ενημερώνει το άλλο μέρος και αναστέλλει μονομερώς τη σύνδεση του μητρώου.
Εάν ληφθεί απόφαση για αναστολή της σύνδεσης του μητρώου, κάθε συμβαλλόμενο μέρος θα διασφαλίζει ότι η σύνδεση διακόπτεται σε επίπεδο δικτύου (με το κλείδωμα μερών ή του συνόλου των εισερχόμενων και εξερχόμενων συνδέσεων).
Η απόφαση είτε για προγραμματισμένη είτε για μη προγραμματισμένη αναστολή της σύνδεσης του μητρώου θα ληφθεί σύμφωνα με τη διαδικασία διαχείρισης αλλαγών ή τη διαδικασία διαχείρισης περιστατικών ασφάλειας των ΚΕΔ.
|
Επανενεργοποίηση επικοινωνίας
Η απόφαση για επανενεργοποίηση θα ληφθεί σύμφωνα με την αναλυτική περιγραφή των ΚΕΔ και, σε κάθε περίπτωση, όχι πριν από την επιτυχή ολοκλήρωση των διαδικασιών ελέγχου της ασφάλειας, όπως περιγράφονται στις ενότητες «Κατευθυντήριες γραμμές για τις δοκιμές ασφάλειας» και «Σχεδιασμός αρχικοποίησης, επανενεργοποίησης επικοινωνίας και δοκιμών».
5.3.Διατάξεις για την παραβίαση της ασφάλειας
Η παραβίαση της ασφάλειας θεωρείται περιστατικό που επηρεάζει την εμπιστευτικότητα και την ακεραιότητα τυχόν ευαίσθητων πληροφοριών και/ή τη διαθεσιμότητα του συστήματος χειρισμού τους.
Οι ευαίσθητες πληροφορίες προσδιορίζονται στον κατάλογο ευαίσθητων πληροφοριών και ο χειρισμός τους μπορεί να γίνεται εντός του συστήματος ή σε οποιοδήποτε συνδεδεμένο τμήμα.
Οι πληροφορίες που σχετίζονται άμεσα με την παραβίαση της ασφάλειας θα θεωρούνται ευαίσθητες, με την ένδειξη «ETS Critical» και θα αντιμετωπίζονται σύμφωνα με τις οδηγίες χειρισμού, εκτός αν ορίζεται διαφορετικά.
Κάθε παραβίαση της ασφάλειας θα αντιμετωπίζεται σύμφωνα με το κεφάλαιο των ΚΕΔ για τη διαχείριση περιστατικών ασφάλειας.
|
5.4.Κατευθυντήριες γραμμές για τους ελέγχους της ασφάλειας
5.4.1.Λογισμικό
Οι δοκιμές της ασφάλειας, συμπεριλαμβανομένων των δοκιμών διείσδυσης, κατά περίπτωση, πραγματοποιούνται τουλάχιστον σε όλες τις νέες μείζονες εκδόσεις του λογισμικού σύμφωνα με τις απαιτήσεις ασφάλειας που ορίζονται στα ΤΠΣ με σκοπό την αξιολόγηση της ασφάλειας της σύνδεσης και των σχετικών κινδύνων.
Εάν κατά τους τελευταίους 12 μήνες δεν έχει υπάρξει καμία μείζων έκδοση, διενεργείται δοκιμή της ασφάλειας στο τρέχον σύστημα, λαμβανομένης υπόψη της εξέλιξης της κυβερνοαπειλής που σημειώθηκε τους τελευταίους 12 μήνες.
Η δοκιμή ασφάλειας της σύνδεσης των μητρώων πραγματοποιείται στο περιβάλλον αποδοχής και, εφόσον απαιτείται, στο περιβάλλον παραγωγής, με συντονισμό και αμοιβαία συμφωνία των δύο συμβαλλόμενων μερών.
Κατά τις δοκιμές της εφαρμογής στο διαδίκτυο θα τηρούνται τα διεθνή ανοικτά πρότυπα, όπως αυτά που έχουν αναπτυχθεί στο πλαίσιο του Open Web Application Security Project (OWASP).
5.4.2.Υποδομή
Οι υποδομές που στηρίζουν το σύστημα παραγωγής εξετάζονται τακτικά για ανίχνευση τρωτών σημείων (τουλάχιστον μία φορά το μήνα) και τα εντοπιζόμενα τρωτά σημεία αποκαθίστανται βάσει της ίδιας αρχής που ορίζεται στην προηγούμενη ενότητα, με χρήση επικαιροποιημένης βάσης δεδομένων τρωτότητας.
5.5.Διατάξεις αξιολόγησης κινδύνου
Εάν εφαρμόζεται δοκιμή διείσδυσης, πρέπει να περιλαμβάνεται στη δοκιμή ασφάλειας.
Κάθε συμβαλλόμενο μέρος μπορεί να αναθέσει σύμβαση για τη διενέργεια δοκιμών ασφάλειας σε εξειδικευμένη εταιρεία, υπό την προϋπόθεση ότι η εν λόγω εταιρεία:
·Διαθέτει τις δεξιότητες και την πείρα για να διενεργεί τις εν λόγω δοκιμές ασφάλειας·
·Δεν υποβάλλει αναφορά απευθείας στον σχεδιαστή του λογισμικού και/ή στον ανάδοχό του και δεν εμπλέκεται στην ανάπτυξη του λογισμικού της σύνδεσης, ούτε είναι υπεργολάβος του σχεδιαστή του λογισμικού·
·Έχει υπογράψει συμφωνία μη κοινολόγησης, ώστε τα αποτελέσματα να παραμείνουν εμπιστευτικά και να τα χειριστεί στο επίπεδο «ETS Critical» σύμφωνα με τις οδηγίες χειρισμού.