|
Επίσημη Εφημερίδα |
EL Σειρά L |
|
2024/2979 |
4.12.2024 |
ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2024/2979 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 28ης Νοεμβρίου 2024
για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την ακεραιότητα και τις βασικές λειτουργίες των ευρωπαϊκών πορτοφολιών ψηφιακής ταυτότητας
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (1), και ιδίως το άρθρο 5α παράγραφος 23,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Το ευρωπαϊκό πλαίσιο για την ψηφιακή ταυτότητα που θεσπίστηκε με τον κανονισμό (ΕΕ) αριθ. 910/2014 αποτελεί κρίσιμη συνιστώσα της δημιουργίας ενός ασφαλούς και διαλειτουργικού οικοσυστήματος ψηφιακής ταυτότητας σε ολόκληρη την Ένωση. Με τα ευρωπαϊκά πορτοφόλια ψηφιακής ταυτότητας, (στο εξής: «πορτοφόλια»), ως ακρογωνιαίο λίθο του, το πλαίσιο αποσκοπεί στη διευκόλυνση της πρόσβασης σε υπηρεσίες σε όλα τα κράτη μέλη, για φυσικά και νομικά πρόσωπα, με παράλληλη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής. |
|
(2) |
Σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού εφαρμόζεται ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2) και, κατά περίπτωση, η οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3). |
|
(3) |
Το άρθρο 5α παράγραφος 23 του κανονισμού (ΕΕ) αριθ. 910/2014 αναθέτει στην Επιτροπή να καθορίσει, όπου απαιτείται, σχετικές προδιαγραφές και διαδικασίες. Αυτό επιτυγχάνεται μέσω τεσσάρων εκτελεστικών κανονισμών, οι οποίοι αφορούν τα πρωτόκολλα και τις διεπαφές: εκτελεστικός κανονισμός (ΕΕ) 2024/2982 της Επιτροπής (4), την ακεραιότητα και τις βασικές λειτουργίες: εκτελεστικός κανονισμός (EE) 2024/2979 της Επιτροπής (5), τα δεδομένα ταυτοποίησης προσώπου και την ηλεκτρονική βεβαίωση χαρακτηριστικών: εκτελεστικός κανονισμός (EE) 2024/2977 της Επιτροπής (6), καθώς και τις κοινοποιήσεις προς την Επιτροπή: εκτελεστικός κανονισμός (EE) 2024/2980 της Επιτροπής (7). Ο παρών κανονισμός καθορίζει τις σχετικές απαιτήσεις για την ακεραιότητα και τις βασικές λειτουργίες των ευρωπαϊκών πορτοφολιών ψηφιακής ταυτότητας. |
|
(4) |
Η Επιτροπή αξιολογεί τακτικά νέες τεχνολογίες, πρακτικές, πρότυπα ή τεχνικές προδιαγραφές. Προκειμένου να διασφαλιστεί το υψηλότερο δυνατό επίπεδο εναρμόνισης μεταξύ των κρατών μελών για την ανάπτυξη και την πιστοποίηση των πορτοφολιών, οι τεχνικές προδιαγραφές που ορίζονται στον παρόντα κανονισμό βασίζονται στις εργασίες που πραγματοποιήθηκαν με βάση τη σύσταση (ΕΕ) 2021/946 της Επιτροπής, της 3ης Ιουνίου 2021, σχετικά με κοινή εργαλειοθήκη της Ένωσης για μια συντονισμένη προσέγγιση όσον αφορά το ευρωπαϊκό πλαίσιο για την ψηφιακή ταυτότητα (8) και ιδίως την αρχιτεκτονική και το πλαίσιο αναφοράς. Σύμφωνα με την αιτιολογική σκέψη 75 του κανονισμού (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), η Επιτροπή θα πρέπει να επανεξετάζει και, εάν χρειάζεται, να επικαιροποιεί τον παρόντα Εκτελεστικό Κανονισμό, ώστε να συμβαδίζει με τις παγκόσμιες εξελίξεις, την Αρχιτεκτονική και το Πλαίσιο Αναφοράς και να ακολουθούνται οι βέλτιστες πρακτικές στην εσωτερική αγορά. |
|
(5) |
Προκειμένου να διασφαλιστεί η ακριβής επικοινωνία, η τεχνική διαφοροποίηση και η σαφής ανάθεση αρμοδιοτήτων, είναι αναγκαίο να γίνεται διάκριση μεταξύ των διαφόρων συνιστωσών και ρυθμίσεων των πορτοφολιών. Ως υλοποίηση πορτοφολιού θα πρέπει να νοείται το πλήρες σύστημα που παρέχεται από πάροχο πορτοφολιού και είναι απαραίτητο για τη λειτουργία πορτοφολιού. Αυτό θα πρέπει να περιλαμβάνει τα στοιχεία λογισμικού και υλισμικού, καθώς και τις υπηρεσίες, τις ρυθμίσεις και τις διαμορφώσεις που απαιτούνται για τη διασφάλιση της ορθής λειτουργίας του πορτοφολιού. Μια υλοποίηση πορτοφολιού μπορεί να τοποθετείται στις διατάξεις και στα περιβάλλοντα των χρηστών και στη δομή παρασκηνίου του παρόχου. Η μονάδα πορτοφολιού θα πρέπει να νοείται ως ειδική διάταξη της υλοποίησης πορτοφολιού για έναν μεμονωμένο χρήστη. Θα πρέπει να περιλαμβάνει την εφαρμογή που είναι εγκατεστημένη στη διάταξη ή στο περιβάλλον του χρήστη πορτοφολιού με την οποία αλληλεπιδρά άμεσα ο χρήστης πορτοφολιού (τα «στιγμιότυπα πορτοφολιού») και τα απαραίτητα χαρακτηριστικά ασφαλείας για την προστασία των δεδομένων και των συναλλαγών των χρηστών. Τα εν λόγω χαρακτηριστικά ασφαλείας θα πρέπει να περιλαμβάνουν ειδικό λογισμικό ή υλισμικό για την κρυπτογράφηση και τη διαφύλαξη ευαίσθητων πληροφοριών. Ένα στιγμιότυπο πορτοφολιού θα πρέπει να αποτελεί μέρος της μονάδας πορτοφολιού και να επιτρέπει στον χρήστη πορτοφολιού να έχει πρόσβαση στις λειτουργίες του πορτοφολιού του. |
|
(6) |
Οι ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού ως χωριστά εξειδικευμένα συστατικά στοιχεία εντός μιας μονάδας πορτοφολιού είναι απαραίτητες όχι μόνο για την προστασία κρίσιμων περιουσιακών στοιχείων, όπως κρυπτογραφικών ιδιωτικών κλειδιών, αλλά και για την παροχή κρίσιμων λειτουργιών, όπως η προσκόμιση ηλεκτρονικών βεβαιώσεων χαρακτηριστικών. Η χρήση κοινών τεχνικών προδιαγραφών μπορεί να διευκολύνει την πρόσβαση των παρόχων πορτοφολιού σε ενσωματωμένα ασφαλή στοιχεία. Οι ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού μπορούν να παρέχονται με διάφορους τρόπους και σε διάφορα είδη ασφαλών κρυπτογραφικών διατάξεων πορτοφολιού. Όταν οι πάροχοι ψηφιακών πορτοφολιών παρέχουν εξατομικευμένες ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού ως μικροεφαρμογές Java Card (java applets) σε ενσωματωμένα ασφαλή στοιχεία, οι πάροχοι πορτοφολιών θα πρέπει να ακολουθούν τα πρότυπα που απαριθμούνται στο παράρτημα I ή σε ισοδύναμες τεχνικές προδιαγραφές. |
|
(7) |
Οι μονάδες πορτοφολιού πρέπει να παρέχουν στους παρόχους δεδομένων ταυτοποίησης προσώπου ή ηλεκτρονικών βεβαιώσεων χαρακτηριστικών τη δυνατότητα να επαληθεύουν ότι εκδίδουν τα εν λόγω δεδομένα ή βεβαιώσεις προς γνήσιες μονάδες πορτοφολιού του χρήστη πορτοφολιού. |
|
(8) |
Για να διασφαλιστεί η προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τα πορτοφόλια θα πρέπει να διαθέτουν προηγμένες τεχνικές ενίσχυσης της προστασίας της ιδιωτικής ζωής. Τα χαρακτηριστικά αυτά θα πρέπει να παρέχουν τη δυνατότητα χρήσης πορτοφολιών χωρίς να είναι δυνατή η παρακολούθηση του χρήστη πορτοφολιού σε διαφορετικά βασιζόμενα σε πορτοφόλι μέρη, κατά περίπτωση στο σενάριο χρήσης. Για παράδειγμα, οι πάροχοι πορτοφολιών θα πρέπει να εξετάζουν το ενδεχόμενο λήψης προηγμένων μέτρων μετριασμού της προστασίας της ιδιωτικής ζωής σε σχέση με βεβαιώσεις μονάδας πορτοφολιού, όπως η χρήση εφήμερων βεβαιώσεων μονάδας πορτοφολιών ή η έκδοση παρτίδων. Επιπλέον, ενσωματωμένες πολιτικές γνωστοποίησης θα πρέπει να προειδοποιούν τους χρήστες πορτοφολιού για ακατάλληλη ή παράνομη γνωστοποίηση χαρακτηριστικών από ηλεκτρονικές βεβαιώσεις χαρακτηριστικών. |
|
(9) |
Οι βεβαιώσεις μονάδας πορτοφολιού θα πρέπει να επιτρέπουν στα βασιζόμενα σε πορτοφόλι-μέρη που ζητούν χαρακτηριστικά από μονάδες πορτοφολιού να επαληθεύουν το καθεστώς ισχύος της μονάδας πορτοφολιού με την οποία επικοινωνούν, καθώς οι βεβαιώσεις μονάδας πορτοφολιού πρέπει να ανακαλούνται όταν μια μονάδα πορτοφολιού δεν θεωρείται πλέον έγκυρη. Οι πληροφορίες σχετικά με το καθεστώς ισχύος των μονάδων πορτοφολιού θα πρέπει να διατίθενται με διαλειτουργικό τρόπο, ώστε να διασφαλίζεται ότι μπορούν να χρησιμοποιηθούν από όλα τα βασιζόμενα σε πορτοφόλι μέρη. Επιπλέον, για περιπτώσεις στις οποίες οι χρήστες πορτοφολιού έχουν απολέσει τις μονάδες πορτοφολιού τους ή δεν έχουν πλέον τον έλεγχό τους, οι πάροχοι πορτοφολιών θα πρέπει να παρέχουν στους χρήστες πορτοφολιού τη δυνατότητα να ζητούν την ανάκληση της μονάδας πορτοφολιού τους. Για να διασφαλιστεί η ιδιωτικότητα και η μη διασύνδεση, τα κράτη μέλη θα πρέπει να χρησιμοποιούν τεχνικές προστασίας της ιδιωτικής ζωής και για τη βεβαίωση μονάδας πορτοφολιού. Αυτό μπορεί να περιλαμβάνει τη χρήση πολλαπλών βεβαιώσεων μονάδας πορτοφολιού, για διαφορετικούς σκοπούς, με γνωστοποίηση μόνο των ελάχιστα σημαντικών πληροφοριών σχετικά με το πορτοφόλι, που απαιτούνται για μια συναλλαγή, ή για τον περιορισμό της διάρκειας ζωής της βεβαίωσης μονάδας πορτοφολιού ως εναλλακτικής λύσης αντί της χρήσης αναγνωριστικών ανάκλησης. |
|
(10) |
Προκειμένου να διασφαλιστεί ότι όλα τα πορτοφόλια είναι τεχνικώς ικανά να λαμβάνουν και να προσκομίζουν δεδομένα ταυτοποίησης προσώπου και ηλεκτρονικές βεβαιώσεις χαρακτηριστικών σε διασυνοριακά σενάρια χωρίς να θίγεται η διαλειτουργικότητα, τα πορτοφόλια θα πρέπει να υποστηρίζουν προκαθορισμένους τύπους μορφοτύπων δεδομένων και επιλεκτική γνωστοποίηση. Όπως ορίζεται στον κανονισμό (ΕΕ) αριθ. 910/2014, ως επιλεκτική γνωστοποίηση νοείται η παροχή στον ιδιοκτήτη των δεδομένων του δικαιώματος να γνωστοποιεί μόνον ορισμένα τμήματα ευρύτερου συνόλου δεδομένων, προκειμένου η λαμβάνουσα οντότητα να λαμβάνει μόνον τις αναγκαίες πληροφορίες για την παροχή υπηρεσίας που ζητεί ο χρήστης. Δεδομένου ότι τα πορτοφόλια πρέπει να επιτρέπουν στον χρήστη να γνωστοποιεί επιλεκτικά χαρακτηριστικά, τα πρότυπα που απαριθμούνται στο παράρτημα II θα πρέπει να εφαρμόζονται κατά τρόπο που να επιτρέπει αυτό το χαρακτηριστικό των πορτοφολιών. Επιπλέον, τα πορτοφόλια μπορούν να υποστηρίζουν άλλους μορφότυπους και λειτουργίες για τη διευκόλυνση συγκεκριμένων περιπτώσεων χρήσης. |
|
(11) |
Η καταγραφή συναλλαγών αποτελεί σημαντικό εργαλείο για την παροχή διαφάνειας, με τη μορφή της παροχής επισκόπησης των συναλλαγών στον χρήστη πορτοφολιού. Επιπλέον, θα πρέπει να χρησιμοποιούνται αρχεία καταγραφής για να καθίσταται δυνατή η ταχεία και εύκολη ανταλλαγή ορισμένων πληροφοριών, κατόπιν αιτήματος του χρήστη πορτοφολιού, με τις αρμόδιες εποπτικές αρχές που έχουν συσταθεί σύμφωνα με το άρθρο 51 του κανονισμού (ΕΕ) 2016/679, σε περίπτωση ύποπτης συμπεριφοράς βασιζόμενων σε πορτοφόλι μερών. |
|
(12) |
Για να μπορεί ένας χρήστης πορτοφολιού να υπογράφει ηλεκτρονικά, θα πρέπει να του χορηγείται εγκεκριμένο πιστοποιητικό, το οποίο συνδέεται με εγκεκριμένη διάταξη δημιουργίας ηλεκτρονικής υπογραφής. Ο χρήστης πορτοφολιού θα πρέπει να έχει πρόσβαση σε εφαρμογή δημιουργίας υπογραφής. Ενώ η έκδοση εγκεκριμένων πιστοποιητικών αποτελεί υπηρεσία εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, οι πάροχοι πορτοφολιών ή άλλες οντότητες θα πρέπει να είναι σε θέση να παρέχουν τις άλλες συνιστώσες. Για παράδειγμα, οι εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής μπορεί να τελούν υπό τη διαχείριση εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης ως υπηρεσία ή να είναι τοπικές στη διάταξη του χρήστη πορτοφολιού, για παράδειγμα, ως έξυπνη κάρτα. Ομοίως, οι εφαρμογές δημιουργίας υπογραφής μπορεί να είναι ενσωματωμένες στο στιγμιότυπο πορτοφολιού, να είναι χωριστή εφαρμογή στη διάταξη του χρήστη πορτοφολιού ή να παρέχονται εξ αποστάσεως. |
|
(13) |
Τα αντικείμενα εξαγωγής και φορητότητας δεδομένων μπορούν να καταγράφουν τα δεδομένα ταυτοποίησης προσώπου και τις ηλεκτρονικές βεβαιώσεις χαρακτηριστικών που έχουν εκδοθεί προς συγκεκριμένη μονάδα πορτοφολιού. Τα αντικείμενα αυτά παρέχουν στους χρήστες πορτοφολιού τη δυνατότητα να εξάγουν τα σχετικά δεδομένα από τη μονάδα πορτοφολιού τους, προκειμένου να ενισχύσουν το δικαίωμά τους στη φορητότητα των δεδομένων. Οι πάροχοι πορτοφολιών ενθαρρύνονται να χρησιμοποιούν τις ίδιες τεχνικές λύσεις για να εφαρμόζουν επίσης διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης για μονάδες πορτοφολιού, ώστε να καθίσταται δυνατή η ανάκτηση απολεσθεισών μονάδων πορτοφολιού ή η διαβίβαση πληροφοριών από έναν πάροχο πορτοφολιού σε άλλον, κατά περίπτωση και στον βαθμό που αυτό μπορεί να γίνει χωρίς να θίγεται το δικαίωμα στην προστασία των δεδομένων και η ασφάλεια του οικοσυστήματος ψηφιακής ταυτότητας. |
|
(14) |
Η δημιουργία ειδικών ψευδωνύμων για τα βασιζόμενα σε πορτοφόλι μέρη θα πρέπει να παρέχει στους χρήστες πορτοφολιού τη δυνατότητα να ταυτοποιούνται χωρίς να παρέχουν περιττές πληροφορίες στα βασιζόμενα σε πορτοφόλι μέρη. Όπως ορίζεται στον κανονισμό (ΕΕ) αριθ. 910/2014, οι χρήστες πορτοφολιών δεν πρέπει να παρεμποδίζονται από την πρόσβαση σε υπηρεσίες με ψευδώνυμο, όταν δεν υπάρχει νομική απαίτηση νομικής ταυτότητας για επαλήθευση ταυτότητας. Ως εκ τούτου, τα πορτοφόλια πρέπει να περιλαμβάνουν μια λειτουργία για τη δημιουργία ψευδωνύμων που επιλέγονται και τελούν υπό τη διαχείριση του χρήστη, για την επαλήθευση ταυτότητας κατά την πρόσβαση σε επιγραμμικές υπηρεσίες. Η εφαρμογή των προδιαγραφών που ορίζονται στο παράρτημα V θα πρέπει να επιτρέπει αναλόγως τις εν λόγω λειτουργίες. Επιπλέον, τα βασιζόμενα σε πορτοφόλι μέρη δεν πρέπει να ζητούν από τους χρήστες να παρέχουν δεδομένα πέραν εκείνων που αναφέρονται για την προβλεπόμενη χρήση πορτοφολιών στο μητρώο βασιζόμενων σε πορτοφόλι μερών. Οι χρήστες πορτοφολιού θα πρέπει να έχουν τη δυνατότητα να επαληθεύουν τα δεδομένα καταχώρισης των βασιζόμενων σε πορτοφόλι μερών ανά πάσα στιγμή. |
|
(15) |
Όπως ορίζεται στον κανονισμό (ΕΕ) 2024/1183, τα κράτη μέλη δεν πρέπει, άμεσα ή έμμεσα, να περιορίζουν την πρόσβαση σε δημόσιες ή ιδιωτικές υπηρεσίες για φυσικά ή νομικά πρόσωπα που επιλέγουν να μην χρησιμοποιούν πορτοφόλια και πρέπει να διαθέτουν κατάλληλες εναλλακτικές λύσεις. |
|
(16) |
Ζητήθηκε, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 30 Σεπτεμβρίου 2024. |
|
(17) |
Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής που αναφέρεται στο άρθρο 48 του κανονισμού (ΕΕ) αριθ. 910/2014, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
ΚΕΦΑΛΑΙΟ I
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
Ο παρών κανονισμός θεσπίζει κανόνες για την ακεραιότητα και τις βασικές λειτουργίες των πορτοφολιών, οι οποίοι πρέπει να επικαιροποιούνται σε τακτική βάση ώστε να συμβαδίζουν με τις εξελίξεις στην τεχνολογία και στα πρότυπα και με τις εργασίες που διεξάγονται βάσει της σύστασης (ΕΕ) 2021/946, και ιδίως με την αρχιτεκτονική και το πλαίσιο αναφοράς.
Άρθρο 2
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
|
1) |
«ασφαλής κρυπτογραφική εφαρμογή πορτοφολιού»: εφαρμογή που διαχειρίζεται κρίσιμα περιουσιακά στοιχεία μέσω της σύνδεσής της με τις κρυπτογραφικές και μη κρυπτογραφικές λειτουργίες που παρέχει η ασφαλής κρυπτογραφική διάταξη πορτοφολιού και μέσω της χρήσης αυτών· |
|
2) |
«μονάδα πορτοφολιού»: μοναδική διαμόρφωση μιας υλοποίησης πορτοφολιού που περιλαμβάνει στιγμιότυπα πορτοφολιού, ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού και ασφαλείς κρυπτογραφικές διατάξεις πορτοφολιού που παρέχονται από έναν πάροχο πορτοφολιού σε μεμονωμένο χρήστη πορτοφολιού· |
|
3) |
«κρίσιμα περιουσιακά στοιχεία»: περιουσιακά στοιχεία εντός μονάδας πορτοφολιού ή σχετιζόμενα με μονάδα πορτοφολιού, τα οποία είναι τόσο εξέχουσας σημασίας ώστε όταν τίθεται σε κίνδυνο η διαθεσιμότητα, η εμπιστευτικότητα ή η ακεραιότητά τους, αυτό μπορεί να έχει πολύ σοβαρές, ανεπανόρθωτες επιπτώσεις στην ικανότητα των ατόμων να βασίζονται στη μονάδα πορτοφολιού· |
|
4) |
«πάροχος δεδομένων ταυτοποίησης προσώπου»: το φυσικό ή νομικό πρόσωπο που είναι υπεύθυνο για την έκδοση και την ανάκληση των δεδομένων ταυτοποίησης προσώπου και το οποίο μεριμνά για την κρυπτογραφική σύνδεση των δεδομένων ταυτοποίησης προσώπου ενός χρήστη με μονάδα πορτοφολιού· |
|
5) |
«χρήστης πορτοφολιού»: χρήστης που έχει τον έλεγχο της μονάδας πορτοφολιού· |
|
6) |
«βασιζόμενο σε πορτοφόλι μέρος»: βασιζόμενο μέρος που προτίθεται να βασίζεται σε μονάδες πορτοφολιού για την παροχή δημόσιων ή ιδιωτικών υπηρεσιών μέσω ψηφιακής αλληλεπίδρασης· |
|
7) |
«πάροχος πορτοφολιού»: φυσικό ή νομικό πρόσωπο το οποίο παρέχει υλοποιήσεις πορτοφολιού· |
|
8) |
«βεβαίωση μονάδας πορτοφολιού»: αντικείμενο δεδομένων που περιγράφει τα συστατικά στοιχεία της μονάδας πορτοφολιού ή καθιστά δυνατή την επαλήθευση ταυτότητας και την επικύρωση των εν λόγω συστατικών στοιχείων· |
|
9) |
«ενσωματωμένη πολιτική γνωστοποίησης»: σύνολο κανόνων, ενσωματωμένων σε ηλεκτρονική βεβαίωση χαρακτηριστικών από τον πάροχο, το οποίο υποδεικνύει τις προϋποθέσεις που πρέπει να πληροί ένα βασιζόμενο σε πορτοφόλι μέρος για να έχει πρόσβαση στην ηλεκτρονική βεβαίωση χαρακτηριστικών· |
|
10) |
«στιγμιότυπο πορτοφολιού»: η εφαρμογή όπως έχει εγκατασταθεί και έχει διαμορφωθεί σε διάταξη ή περιβάλλον χρήστη πορτοφολιού, η οποία αποτελεί μέρος μονάδας πορτοφολιού, και την οποία χρησιμοποιεί ο χρήστης πορτοφολιού για να αλληλεπιδρά με τη μονάδα πορτοφολιού· |
|
11) |
«υλοποίηση πορτοφολιού»: συνδυασμός λογισμικού, υλισμικού, υπηρεσιών, ρυθμίσεων και διαμορφώσεων, συμπεριλαμβανομένων των στιγμιότυπων πορτοφολιού, μίας ή περισσότερων ασφαλών κρυπτογραφικών εφαρμογών πορτοφολιού και μίας ή περισσότερων ασφαλών κρυπτογραφικών διατάξεων πορτοφολιού· |
|
12) |
«ασφαλής κρυπτογραφική διάταξη πορτοφολιού»: ανθεκτική στην παραβίαση διάταξη η οποία παρέχει περιβάλλον που συνδέεται με την ασφαλή κρυπτογραφική εφαρμογή πορτοφολιού και χρησιμοποιείται από αυτή για την προστασία κρίσιμων περιουσιακών στοιχείων και την παροχή κρυπτογραφικώνλειτουργιών για την ασφαλή εκτέλεση κρίσιμων λειτουργιών· |
|
13) |
«κρυπτογραφική λειτουργία πορτοφολιού»: κρυπτογραφικός μηχανισμός που απαιτείται στο πλαίσιο της επαλήθευσης ταυτότητας του χρήστη πορτοφολιού και της έκδοσης ή προσκόμισης δεδομένων ταυτοποίησης προσώπου ή ηλεκτρονικών βεβαιώσεων χαρακτηριστικών· |
|
14) |
«πιστοποιητικό πρόσβασης βασιζόμενου σε πορτοφόλι μέρους»: πιστοποιητικό για ηλεκτρονικές σφραγίδες ή υπογραφές που επαληθεύουν την ταυτότητα και επικυρώνουν το βασιζόμενο σε πορτοφόλι μέρος, το οποίο εκδίδεται από πάροχο πιστοποιητικών πρόσβασης βασιζόμενου σε πορτοφόλι μέρους· |
|
15) |
«πάροχος πιστοποιητικών πρόσβασης βασιζόμενου σε πορτοφόλι μέρους»: φυσικό ή νομικό πρόσωπο εξουσιοδοτημένο από κράτος μέλος να εκδίδει πιστοποιητικά πρόσβασης βασιζόμενου σε πορτοφόλι μέρους, σε βασιζόμενα σε πορτοφόλι μέρη που είναι καταχωρισμένα στο εν λόγω κράτος μέλος. |
ΚΕΦΑΛΑΙΟ II
ΑΚΕΡΑΙΟΤΗΤΑ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΠΟΡΤΟΦΟΛΙΩΝ ΨΗΦΙΑΚΗΣ ΤΑΥΤΟΤΗΤΑΣ
Άρθρο 3
Ακεραιότητα μονάδων πορτοφολιού
1. Οι μονάδες πορτοφολιού δεν εκτελούν καμία από τις λειτουργίες που παρατίθενται στο άρθρο 5α παράγραφος 4 του κανονισμού (ΕΕ) αριθ. 910/2014, πλην της ταυτοποίησης του χρήστη πορτοφολιού για την πρόσβαση στη μονάδα πορτοφολιού, έως ότου η μονάδα πορτοφολιού επαληθεύσει επιτυχώς την ταυτότητα του χρήστη πορτοφολιού.
2. Οι πάροχοι πορτοφολιών υπογράφουν ή σφραγίζουν, για κάθε μονάδα πορτοφολιού, τουλάχιστον μία βεβαίωση μονάδας πορτοφολιού η οποία πληροί τις απαιτήσεις που ορίζονται στο άρθρο 6. Το πιστοποιητικό που χρησιμοποιείται για την υπογραφή ή τη σφράγιση της βεβαίωσης μονάδας πορτοφολιού εκδίδεται βάσει πιστοποιητικού το οποίο περιλαμβάνεται στον κατάλογο εμπιστοσύνης που αναφέρεται στον εκτελεστικό κανονισμό (ΕΕ) 2024/2980.
Άρθρο 4
Στιγμιότυπα πορτοφολιού
1. Τα στιγμιότυπα πορτοφολιού χρησιμοποιούν τουλάχιστον μία ασφαλή κρυπτογραφική διάταξη πορτοφολιού για τη διαχείριση κρίσιμων περιουσιακών στοιχείων.
2. Οι πάροχοι πορτοφολιών διασφαλίζουν την ακεραιότητα, τη γνησιότητα και την εμπιστευτικότητα της επικοινωνίας μεταξύ των στιγμιοτύπων πορτοφολιού και των ασφαλών κρυπτογραφικών εφαρμογών πορτοφολιού.
3. Όταν κρίσιμα περιουσιακά στοιχεία σχετίζονται με την εκτέλεση ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης, οι κρυπτογραφικές λειτουργίες πορτοφολιού ή άλλες λειτουργίες επεξεργασίας κρίσιμων περιουσιακών στοιχείων εκτελούνται σύμφωνα με τις απαιτήσεις για τα χαρακτηριστικά και τον σχεδιασμό των μέσων ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης, όπως ορίζεται στον εκτελεστικό κανονισμό (ΕΕ) 2015/1502 της Επιτροπής (11).
Άρθρο 5
Ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού
1. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού:
|
α) |
εκτελούν κρυπτογραφικές λειτουργίες πορτοφολιού που αφορούν κρίσιμα περιουσιακά στοιχεία πέραν εκείνων που απαιτούνται για την επαλήθευση της ταυτότητας του χρήστη πορτοφολιού από τη μονάδα πορτοφολιού, μόνο σε περιπτώσεις στις οποίες οι εν λόγω εφαρμογές έχουν επαληθεύσει επιτυχώς την ταυτότητα χρηστών πορτοφολιού· |
|
β) |
όταν επαληθεύουν την ταυτότητα των χρηστών πορτοφολιού στο πλαίσιο της εκτέλεσης ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης, διενεργούν επαλήθευση της ταυτότητας των χρηστών πορτοφολιού, σύμφωνα με τις απαιτήσεις για τα χαρακτηριστικά και τον σχεδιασμό των μέσων ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης, όπως ορίζονται στον εκτελεστικό κανονισμό (ΕΕ) 2015/1502· |
|
γ) |
είναι σε θέση να δημιουργούν με ασφάλεια νέα κρυπτογραφικά κλειδιά· |
|
δ) |
είναι σε θέση να προβαίνουν σε ασφαλή διαγραφή κρίσιμων περιουσιακών στοιχείων· |
|
ε) |
είναι σε θέση να δημιουργούν απόδειξη κατοχής ιδιωτικών κλειδιών· |
|
στ) |
προστατεύουν τα ιδιωτικά κλειδιά που δημιουργούνται από τις εν λόγω ασφαλείς κρυπτογραφικές εφαρμογές πορτοφολιού για το διάστημα ύπαρξης των εν λόγω κλειδιών· |
|
ζ) |
πληρούν τις απαιτήσεις για τα χαρακτηριστικά και τον σχεδιασμό των μέσων ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης, όπως ορίζονται στον εκτελεστικό κανονισμό (ΕΕ) 2015/1502· |
|
η) |
είναι τα μόνα συστατικά στοιχεία που μπορούν να εκτελούν κρυπτογραφικές λειτουργίες πορτοφολιού και οποιαδήποτε άλλη λειτουργία με κρίσιμα περιουσιακά στοιχεία στο πλαίσιο της εκτέλεσης ηλεκτρονικής ταυτοποίησης σε υψηλό επίπεδο διασφάλισης. |
2. Όταν οι πάροχοι πορτοφολιών αποφασίζουν να παράσχουν ασφαλή κρυπτογραφική εφαρμογή πορτοφολιού σε ενσωματωμένο ασφαλές στοιχείο, οι εν λόγω πάροχοι πορτοφολιού βασίζουν την τεχνική τους λύση στις τεχνικές προδιαγραφές που απαριθμούνται στο παράρτημα I ή σε άλλες ισοδύναμες τεχνικές προδιαγραφές.
Άρθρο 6
Γνησιότητα και ισχύς μονάδας πορτοφολιού
1. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι κάθε μονάδα πορτοφολιού περιέχει βεβαιώσεις μονάδας πορτοφολιού.
2. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι βεβαιώσεις μονάδας πορτοφολιού που αναφέρονται στην παράγραφο 1 περιέχουν δημόσια κλειδιά και ότι τα αντίστοιχα ιδιωτικά κλειδιά προστατεύονται από ασφαλή κρυπτογραφική διάταξη πορτοφολιού.
3. Οι πάροχοι πορτοφολιών:
|
α) |
ενημερώνουν τους χρήστες πορτοφολιού σχετικά με τα δικαιώματα και τις υποχρεώσεις τους σε σχέση με τη μονάδα πορτοφολιού τους· |
|
β) |
παρέχουν μηχανισμούς, ανεξάρτητους από τις μονάδες πορτοφολιού, για την ασφαλή ταυτοποίηση και επαλήθευση της ταυτότητας των χρηστών πορτοφολιού· |
|
γ) |
διασφαλίζουν ότι οι χρήστες πορτοφολιού έχουν το δικαίωμα να ζητούν την ανάκληση των βεβαιώσεων μονάδας πορτοφολιού τους, χρησιμοποιώντας τους μηχανισμούς επαλήθευσης ταυτότητας που αναφέρονται στο στοιχείο β). |
Άρθρο 7
Ανάκληση βεβαιώσεων μονάδας πορτοφολιού
1. Οι πάροχοι πορτοφολιών είναι οι μόνες οντότητες που είναι σε θέση να ανακαλούν βεβαιώσεις μονάδας πορτοφολιού για μονάδες πορτοφολιού τις οποίες έχουν παράσχει.
2. Οι πάροχοι πορτοφολιών καταρτίζουν διαθέσιμη στο κοινό πολιτική η οποία προσδιορίζει τους όρους και το χρονοδιάγραμμα για την ανάκληση βεβαιώσεων μονάδας πορτοφολιού.
3. Όταν οι πάροχοι πορτοφολιών έχουν ανακαλέσει βεβαιώσεις μονάδας πορτοφολιού, ενημερώνουν τους επηρεαζόμενους χρήστες πορτοφολιού εντός 24 ωρών σχετικά με την ανάκληση των μονάδων πορτοφολιού τους, συμπεριλαμβάνοντας στην ενημέρωση τον λόγο της ανάκλησης και τις συνέπειες για τον χρήστη πορτοφολιού. Οι πληροφορίες αυτές παρέχονται κατά τρόπο συνοπτικό, εύκολα προσβάσιμο και με τη χρήση σαφούς και απλής γλώσσας.
4. Όταν οι πάροχοι πορτοφολιών έχουν ανακαλέσει βεβαιώσεις μονάδας πορτοφολιού, δημοσιοποιούν το καθεστώς ισχύος της βεβαίωσης μονάδας πορτοφολιού με τρόπο που διασφαλίζει την προστασία της ιδιωτικής ζωής και περιγράφουν τη θέση των εν λόγω πληροφοριών στη βεβαίωση μονάδας πορτοφολιού.
ΚΕΦΑΛΑΙΟ III
ΒΑΣΙΚΕΣ ΛΕΙΤΟΥΡΓΙΕΣ ΚΑΙ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΠΟΡΤΟΦΟΛΙΩΝ ΨΗΦΙΑΚΗΣ ΤΑΥΤΟΤΗΤΑΣ
Άρθρο 8
Μορφότυποι για τα δεδομένα ταυτοποίησης προσώπου και τις ηλεκτρονικές βεβαιώσεις χαρακτηριστικών
Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι υλοποιήσεις πορτοφολιού υποστηρίζουν τη χρήση δεδομένων ταυτοποίησης προσώπου και ηλεκτρονικών βεβαιώσεων χαρακτηριστικών που εκδίδονται σύμφωνα με τον κατάλογο προτύπων που παρατίθεται στο παράρτημα II.
Άρθρο 9
Αρχεία καταγραφής συναλλαγών
1. Ανεξάρτητα από το αν μια συναλλαγή έχει ολοκληρωθεί επιτυχώς, τα στιγμιότυπα πορτοφολιού καταγράφουν όλες τις συναλλαγές με βασιζόμενα σε πορτοφόλι μέρη και άλλες μονάδες πορτοφολιού, συμπεριλαμβανομένης της ηλεκτρονικής υπογραφής και σφράγισης.
2. Οι καταγεγραμμένες πληροφορίες περιλαμβάνουν τουλάχιστον:
|
α) |
τον χρόνο και την ημερομηνία της συναλλαγής· |
|
β) |
τα ονομαστικά στοιχεία επικοινωνίας και τον μοναδικό αναγνωριστικό κωδικό του αντίστοιχου βασιζόμενου σε πορτοφόλι μέρους και το κράτος μέλος στο οποίο είναι εγκατεστημένο το εν λόγω βασιζόμενο σε πορτοφόλι μέρος ή, στην περίπτωση άλλων μονάδων πορτοφολιού, σχετικές πληροφορίες από τη βεβαίωση μονάδας πορτοφολιού· |
|
γ) |
το είδος ή τα είδη των δεδομένων που ζητούνται και προσκομίζονται στη συναλλαγή· |
|
δ) |
στην περίπτωση συναλλαγών που δεν έχουν ολοκληρωθεί, τον λόγο της μη ολοκλήρωσης. |
3. Οι πάροχοι πορτοφολιών διασφαλίζουν την ακεραιότητα, τη γνησιότητα και την εμπιστευτικότητα των καταγεγραμμένων πληροφοριών.
4. Τα στιγμιότυπα πορτοφολιού καταγράφουν αναφορές που αποστέλλονται από τον χρήστη πορτοφολιού στις αρχές προστασίας δεδομένων μέσω της μονάδας πορτοφολιού τους.
5. Τα αρχεία καταγραφής που αναφέρονται στις παραγράφους 1 και 2 είναι προσβάσιμα στον πάροχο πορτοφολιού, όταν αυτό είναι αναγκαίο για την παροχή υπηρεσιών πορτοφολιού, βάσει ρητής προηγούμενης συγκατάθεσης του χρήστη πορτοφολιού.
6. Τα αρχεία καταγραφής που αναφέρονται στις παραγράφους 1 και 2 παραμένουν προσβάσιμα για όσο χρονικό διάστημα απαιτείται από το ενωσιακό ή το εθνικό δίκαιο.
7. Οι πάροχοι πορτοφολιών επιτρέπουν στους χρήστες πορτοφολιού να εξάγουν τις καταγεγραμμένες πληροφορίες που αναφέρονται στην παράγραφο 2.
Άρθρο 10
Ενσωματωμένη γνωστοποίηση
1. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι ηλεκτρονικές βεβαιώσεις χαρακτηριστικών με κοινές ενσωματωμένες πολιτικές γνωστοποίησης που παρατίθενται στο παράρτημα III μπορούν να υποβάλλονται σε επεξεργασία από τις μονάδες πορτοφολιού τις οποίες παρέχουν.
2. Τα στιγμιότυπα πορτοφολιού μπορούν να επεξεργάζονται και να παρουσιάζουν τις εν λόγω ενσωματωμένες πολιτικές γνωστοποίησης που αναφέρονται στην παράγραφο 1 σε συνδυασμό με δεδομένα που λαμβάνονται από το αιτούν βασιζόμενο σε πορτοφόλι μέρος.
3. Τα στιγμιότυπα πορτοφολιού επαληθεύουν αν το βασιζόμενο σε πορτοφόλι μέρος συμμορφώνεται με τις απαιτήσεις της ενσωματωμένης πολιτικής γνωστοποίησης και ενημερώνουν τον χρήστη πορτοφολιού για το αποτέλεσμα.
Άρθρο 11
Εγκεκριμένες ηλεκτρονικές υπογραφές και σφραγίδες
1. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι χρήστες πορτοφολιού μπορούν να λαμβάνουν εγκεκριμένα πιστοποιητικά εγκεκριμένων ηλεκτρονικών υπογραφών ή σφραγίδων που συνδέονται με εγκεκριμένες διατάξεις δημιουργίας υπογραφής ή σφραγίδας που είναι τοπικές, εξωτερικές ή απομακρυσμένες σε σχέση με τα στιγμιότυπα πορτοφολιού.
2. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι υλοποιήσεις πορτοφολιού μπορούν να διασυνδέονται με ασφάλεια με έναν από τους ακόλουθους τύπους εγκεκριμένων διατάξεων δημιουργίας υπογραφής ή σφραγίδας: τοπικές, εξωτερικές ή εξ αποστάσεως διαχειριζόμενες εγκεκριμένες διατάξεις δημιουργίας υπογραφής ή σφραγίδας για τους σκοπούς της χρήσης των εγκεκριμένων πιστοποιητικών που αναφέρονται στην παράγραφο 1.
3. Οι πάροχοι πορτοφολιών διασφαλίζουν ότι οι χρήστες πορτοφολιών που είναι φυσικά πρόσωπα έχουν, τουλάχιστον για μη επαγγελματικούς σκοπούς, δωρεάν πρόσβαση σε εφαρμογές δημιουργίας υπογραφής που καθιστούν δυνατή τη δημιουργία δωρεάν εγκεκριμένων ηλεκτρονικών υπογραφών με τη χρήση των πιστοποιητικών που αναφέρονται στην παράγραφο 1.
Άρθρο 12
Εφαρμογές δημιουργίας υπογραφής
1. Οι εφαρμογές δημιουργίας υπογραφής που χρησιμοποιούνται από μονάδες πορτοφολιού μπορούν να παρέχονται είτε από παρόχους πορτοφολιών, είτε από παρόχους υπηρεσιών εμπιστοσύνης, είτε από βασιζόμενα σε πορτοφόλι μέρη.
2. Οι εφαρμογές δημιουργίας υπογραφής διαθέτουν τις ακόλουθες λειτουργίες:
|
α) |
υπογραφή ή σφράγιση δεδομένων που παρέχονται από τον χρήστη πορτοφολιού· |
|
β) |
υπογραφή ή σφράγιση δεδομένων που παρέχονται από βασιζόμενα σε πορτοφόλι μέρη· |
|
γ) |
δημιουργία υπογραφών ή σφραγίδων σύμφωνα τουλάχιστον με τους υποχρεωτικούς μορφότυπους που αναφέρονται στο παράρτημα IV· |
|
δ) |
ενημέρωση των χρηστών πορτοφολιού σχετικά με το αποτέλεσμα της διαδικασίας δημιουργίας υπογραφής ή σφραγίδας. |
3. Οι εφαρμογές δημιουργίας υπογραφής μπορούν είτε να είναι ενσωματωμένες σε στιγμιότυπα πορτοφολιού είτε να είναι εξωτερικές. Όταν οι εφαρμογές δημιουργίας υπογραφής βασίζονται σε εγκεκριμένες διατάξεις εξ αποστάσεως δημιουργίας υπογραφής και όταν είναι ενσωματωμένες σε στιγμιότυπα πορτοφολιού, υποστηρίζουν τη διεπαφή προγραμματισμού εφαρμογών που αναφέρεται στο παράρτημα IV.
Άρθρο 13
Εξαγωγή και φορητότητα δεδομένων
Οι μονάδες πορτοφολιού, όπου αυτό είναι τεχνικά εφικτό και εξαιρουμένων περιπτώσεων κρίσιμων περιουσιακών στοιχείων, υποστηρίζουν την ασφαλή εξαγωγή και φορητότητα των δεδομένων προσωπικού χαρακτήρα του χρήστη πορτοφολιού, ώστε ο χρήστης πορτοφολιού να μπορεί να μεταβεί σε μονάδα πορτοφολιού διαφορετικής υλοποίησης πορτοφολιού κατά τρόπον που να εγγυάται υψηλό επίπεδο διασφάλισης, όπως ορίζεται στον εκτελεστικό κανονισμό (ΕΕ) 2015/1502.
Άρθρο 14
Ψευδώνυμα
1. Οι μονάδες πορτοφολιών υποστηρίζουν τη δημιουργία ψευδωνύμων για τους χρήστες πορτοφολιού σύμφωνα με τις τεχνικές προδιαγραφές που ορίζονται στο παράρτημα V.
2. Οι μονάδες πορτοφολιού υποστηρίζουν τη δημιουργία, κατόπιν αιτήματος του βασιζόμενου σε πορτοφόλι μέρους, ψευδωνύμου που είναι συγκεκριμένο και μοναδικό για το εν λόγω βασιζόμενο σε πορτοφόλι μέρος και παρέχουν το εν λόγω ψευδώνυμο στο βασιζόμενο σε πορτοφόλι μέρος, είτε μεμονωμένα είτε σε συνδυασμό με οποιαδήποτε δεδομένα ταυτοποίησης προσώπου ή βεβαίωση ηλεκτρονικού χαρακτηριστικού που ζητείται από το εν λόγω βασιζόμενο σε πορτοφόλι μέρος.
ΚΕΦΑΛΑΙΟ IV
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 15
Έναρξη ισχύος
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 28 Νοεμβρίου 2024.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 257 της 28.8.2014, σ. 73, ELI: https://eur-lex.europa.eu/eli/reg/2014/910/oj.
(2) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj.
(3) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Εκτελεστικός κανονισμός (ΕΕ) 2024/2982 της Επιτροπής, της 28ης Νοεμβρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα πρωτόκολλα και τις διεπαφές που πρέπει να υποστηρίζονται από το ευρωπαϊκό πλαίσιο για την ψηφιακή ταυτότητα (ΕΕ L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(5) Εκτελεστικός κανονισμός (EE) 2024/2979 της Επιτροπής, της 28ης Νοεμβρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την ακεραιότητα και τις βασικές λειτουργίες των ευρωπαϊκών πορτοφολιών ψηφιακής ταυτότητας (ΕΕ L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(6) Εκτελεστικός κανονισμός (EE) 2024/2977 της Επιτροπής, της 28ης Νοεμβρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα δεδομένα ταυτοποίησης προσώπου και τις ηλεκτρονικές βεβαιώσεις χαρακτηριστικών που εκδίδονται για τα ευρωπαϊκά πορτοφόλια ψηφιακής ταυτότητας (ΕΕ L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(7) Εκτελεστικός κανονισμός (EE) 2024/2980 της Επιτροπής, της 28ης Νοεμβρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τις κοινοποιήσεις προς την Επιτροπή σχετικά με το οικοσύστημα των ευρωπαϊκών πορτοφολιών ψηφιακής ταυτότητας (ΕΕ L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(8) ΕΕ L 210 της 14.6.2021, σ. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(9) Κανονισμός (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Απριλίου 2024, για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 όσον αφορά τη θέσπιση ευρωπαϊκού πλαισίου για την ψηφιακή ταυτότητα (ΕΕ L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(10) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Εκτελεστικός κανονισμός (ΕΕ) 2015/1502 της Επιτροπής, της 8ης Σεπτεμβρίου 2015, σχετικά με τη θέσπιση ελάχιστων τεχνικών προδιαγραφών και διαδικασιών για τα επίπεδα διασφάλισης των μέσων ηλεκτρονικής ταυτοποίησης σύμφωνα με το άρθρο 8 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά (ΕΕ L 235 της 9.9.2015, σ. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
ΠΑΡΑΡΤΗΜΑ I
ΚΑΤΑΛΟΓΟΣ ΠΡΟΤΥΠΩΝ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 5
|
— |
SAM.01 Ασφαλείς εφαρμογές για κινητά τηλέφωνα — Απαιτήσεις για την υποστήριξη μικροεφαρμογών 3ων μερών σε κάρτες eSIM και eSE μέσω SAM. v1.1 2023, GSMA· |
|
— |
GPC_GUI_ 217 Διαμόρφωση GlobalPlatform SAM — Τεχνική προδιαγραφή για την υλοποίηση της SAM v1.0 2024-04· |
|
— |
GPC_SPE_0 34 Προδιαγραφή GlobalPlatform Card — Τεχνική προδιαγραφή για έξυπνες κάρτες v2.3.1 2018-03· |
|
— |
GPC_SPE_0 07 GlobalPlatform Τροποποίηση A — Εμπιστευτική διαχείριση περιεχομένου κάρτας v1.2 2019-07· |
|
— |
GPC_SPE_0 13 GlobalPlatform Τροποποίηση D — Πρωτόκολλο ασφαλούς διαύλου 03 v1.2 2020-04· |
|
— |
GPC_SPE_0 93 GlobalPlatform Τροποποίηση F — Πρωτόκολλο ασφαλούς διαύλου 11 v1.4 2024-03· |
|
— |
GPD_SPE_0 75 Open Mobile API Specification OMAPI API for mobile apps (προδιαγραφές του προτύπου Open Mobile API για κινητές εφαρμογές), για την πρόσβαση σε ασφαλή στοιχεία σε διατάξεις χρηστών v3.3 2018-08, GlobalPlatform. |
ΠΑΡΑΡΤΗΜΑ II
ΚΑΤΑΛΟΓΟΣ ΠΡΟΤΥΠΩΝ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 8
|
— |
ISO/IEC.18013-5:2021· |
|
— |
«Verifiable Credentials Data Model 1.1.», σύσταση W3C, της 3ης Μαρτίου 2022. |
ΠΑΡΑΡΤΗΜΑ III
ΚΑΤΑΛΟΓΟΣ ΚΟΙΝΩΝ ΕΝΣΩΜΑΤΩΜΕΝΩΝ ΠΟΛΙΤΙΚΩΝ ΓΝΩΣΤΟΠΟΙΗΣΗΣ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 10
|
1. |
«Καμία πολιτική» που υποδηλώνει ότι καμία πολιτική δεν εφαρμόζεται στις ηλεκτρονικές βεβαιώσεις χαρακτηριστικών. |
|
2. |
«Πολιτική μόνο εξουσιοδοτημένων βασιζόμενων μερών», η οποία υποδηλώνει ότι οι χρήστες πορτοφολιού μπορούν να γνωστοποιούν ηλεκτρονικές βεβαιώσεις χαρακτηριστικών μόνο σε επαληθευμένης ταυτότητας βασιζόμενα μέρη που απαριθμούνται ρητά στις πολιτικές γνωστοποίησης. |
|
3. |
«Συγκεκριμένη ρίζα εμπιστοσύνης», που υποδηλώνει ότι οι χρήστες πορτοφολιού θα πρέπει να γνωστοποιούν τη συγκεκριμένη ηλεκτρονική βεβαίωση χαρακτηριστικών μόνο σε επαληθευμένης ταυτότητας βασιζόμενα σε πορτοφόλι μέρη με πιστοποιητικά πρόσβασης βασιζόμενου σε πορτοφόλι μέρους που προέρχονται από συγκεκριμένη ρίζα (ή κατάλογο συγκεκριμένων ριζών) ή ενδιάμεσο/-α πιστοποιητικό/-ά. |
ΠΑΡΑΡΤΗΜΑ IV
ΜΟΡΦΟΤΥΠΟΙ ΥΠΟΓΡΑΦΗΣ ΚΑΙ ΣΦΡΑΓΙΔΑΣ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 12
|
1. |
Μορφότυπος υποχρεωτικής υπογραφής ή σφραγίδας: PAdES [PDF Advanced Electronic Signature (Προηγμένη ηλεκτρονική υπογραφή PDF)], όπως ορίζεται στο πρότυπο ETSI EN 319 142-1 V1.1.1 (2016-04)· Electronic Signatures and Infrastructures (ESI) [Ηλεκτρονικές υπογραφές και υποδομές (ESI)]· ψηφιακές υπογραφές PAdES· μέρος 1: δομικά στοιχεία και βασικές υπογραφές PAdES. |
|
2. |
Κατάλογος προαιρετικών μορφοτύπων υπογραφής ή σφραγίδας:
|
|
3. |
Διεπαφή προγραμματισμού εφαρμογών:
|
ΠΑΡΑΡΤΗΜΑ V
ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΓΙΑ ΤΗ ΔΗΜΙΟΥΡΓΙΑ ΨΕΥΔΩΝΥΜΩΝ ΠΟΥ ΑΝΑΦΕΡΟΝΤΑΙ ΣΤΟ ΑΡΘΡΟ 14
Τεχνικές προδιαγραφές:
|
— |
WebAuthn — Σύσταση W3C, 8 Απριλίου 2021, Επίπεδο 2, https://www.w3.org/TR/2021/REC-webauthn-2-20210408/. |
ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj
ISSN 1977-0669 (electronic edition)