This document is an excerpt from the EUR-Lex website
Document 02015R1502-20220711
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)Text with EEA relevance
Consolidated text: 2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių (Tekstas svarbus EEE)Tekstas svarbus EEE
2015 m. rugsėjo 8 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1502, kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių (Tekstas svarbus EEE)Tekstas svarbus EEE
ELI: http://data.europa.eu/eli/reg_impl/2015/1502/2022-07-11
02015R1502 — LT — 11.07.2022 — 001.001
Šis tekstas yra skirtas tik informacijai ir teisinės galios neturi. Europos Sąjungos institucijos nėra teisiškai atsakingos už jo turinį. Autentiškos atitinkamų teisės aktų, įskaitant jų preambules, versijos skelbiamos Europos Sąjungos oficialiajame leidinyje ir pateikiamos svetainėje „EUR-Lex“. Oficialūs tekstai tiesiogiai prieinami naudojantis šiame dokumente pateikiamomis nuorodomis
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2015/1502 2015 m. rugsėjo 8 d. kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių (OL L 235 2015.9.9, p. 7) |
Iš dalies keičiamas:
|
|
Oficialusis leidinys |
||
Nr. |
puslapis |
data |
||
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2022/960 2022 m. birželio 20 d. |
L 165 |
40 |
21.6.2022 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2015/1502
2015 m. rugsėjo 8 d.
kuriuo pagal Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje 8 straipsnio 3 dalį nustatomos minimalios techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių saugumo užtikrinimo lygių
(Tekstas svarbus EEE)
1 straipsnis
Elektroninės atpažinties priemonių, išduotų pagal elektroninės atpažinties schemą, apie kurią pranešta, saugumo užtikrinimo lygiui apibrėžti naudojamos priede pateiktos specifikacijos ir procedūros, nustatant šių elementų patikimumą ir kokybę:
registracijos, kaip nustatyta šio reglamento priedo 2.1 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies a punktą;
elektroninės atpažinties priemonių valdymo, kaip nustatyta šio reglamento priedo 2.2 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies b ir f punktus;
tapatumo nustatymo, kaip nustatyta šio reglamento priedo 2.3 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies c punktą;
valdymo ir organizavimo, kaip nustatyta šio reglamento priedo 2.4 skirsnyje pagal Reglamento (ES) Nr. 910/2014 8 straipsnio 3 dalies d ir e punktus.
2 straipsnis
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
PRIEDAS
Techninės specifikacijos ir procedūros dėl elektroninės atpažinties priemonių, išduotų pagal elektroninės atpažinties schemą, apie kurią pranešta, žemo, pakankamo ir aukšto saugumo užtikrinimo lygių
1. Terminų apibrėžtys
Šiame priede vartojamų terminų apibrėžtys:
1) |
autoritetingas šaltinis – bet kokios formos šaltinis, kurio tikslūs duomenys, informacija ir (arba) įrodymai yra patikimi ir jus galima naudoti tapatybei įrodyti; |
2) |
tapatumo nustatymo veiksnys – veiksnys, patvirtintas kaip esantis susijęs su asmeniu ir priklausantis prie vienos iš šių kategorijų:
|
3) |
dinaminis tapatumo nustatymas – elektroninis procesas, kuriuo naudojant kriptografijos ar kitus metodus suteikiama priemonė sukurti reikalaujamam elektroniniam įrodymui, kad subjektas kontroliuoja arba turi identifikavimo duomenis, ir kuris, priklausomai nuo subjekto ir subjekto tapatybę tikrinančios sistemos, kinta kiekvieną kartą nustatant tapatybę; |
4) |
informacijos saugumo valdymo sistema – visuma procesų ir procedūrų, skirtų priimtinu lygiu valdyti rizikai, susijusiai su informacijos saugumu. |
2. Techninės specifikacijos ir procedūros
Šiame priede nurodyti techninių specifikacijų ir procedūrų elementai naudotini siekiant nustatyti, kaip Reglamento (ES) Nr. 910/2014 8 straipsnyje pateikti reikalavimai ir kriterijai turi būti taikomi elektroninėms atpažinties priemonėms, išduotoms pagal elektroninės atpažinties schemą.
2.1. Registracija
2.1.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Užtikrinti, kad prašytojas būtų susipažinęs su elektroninės atpažinties priemonių naudojimo sąlygomis. 2. Užtikrinti, kad prašytojas būtų susipažinęs su rekomenduojamomis saugumo priemonėmis, susijusiomis su elektroninės atpažinties priemonėmis. 3. Rinkti reikiamus tapatybės duomenis, reikalingus tapatybei įrodyti ir patikrinti. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.1.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Gali būti laikoma, kad asmuo turi įrodymų, kuriuos yra pripažinusi valstybė narė, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę. 2. Gali būti laikoma, kad įrodymas yra tikras arba egzistuoja remiantis autoritetingu šaltiniu, ir atrodo, kad įrodymas yra galiojantis. 3. Autoritetingam šaltiniui žinoma, kad tvirtinama tapatybė egzistuoja, ir gali būti laikoma, kad asmuo, kuris pareiškia turintis tam tikrą tapatybę, yra tas pats. |
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–4 punktuose nurodytų sąlygų: 1. buvo patikrinta ir patvirtinta, kad asmuo turi įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir kurie nurodo pareikštą tapatybę, ir įrodymai patikrinti siekiant nustatyti, ar jie yra tikri; arba, remiantis autoritetingu šaltiniu, žinoma, kad jie egzistuoja ir yra susiję su realiu asmeniu, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra tvirtinama tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad įrodymai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; arba 2. asmens tapatybės dokumentas pateiktas per registracijos procesą jo išdavimo valstybėje narėje ir atrodo, kad dokumentas yra susijęs su jį pateikusiu asmeniu, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; arba 3. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Europos Parlamento ir Tarybos reglamento (EB) Nr. 765/2008 (1) 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga; arba 4. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų; jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga. |
Aukštas |
Turi būti laikomasi 1 arba 2 punkto reikalavimų: 1. Be pakankamo lygio elementų, turi būti atitinkama viena iš a–c punktuose nurodytų sąlygų: a) jeigu buvo patikrinta ir patvirtinta, kad asmuo turi fotografinių arba biometrinių atpažinties įrodymų, pripažintų valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemonę, ir tie įrodymai nurodo pareikštą tapatybę, tie įrodymai tikrinami siekiant nustatyti, ar jie galioja, remiantis autoritetingu šaltiniu, ir prašytojo tapatybė nustatoma kaip tvirtinama tapatybė, lyginant vieną ar kelias asmens fizines savybes su autoritetingu šaltiniu, arba b) jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.2 skirsnyje nustatytam aukšto saugumo užtikrinimo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga, ir imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja; arba c) jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, ir atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga, ir imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja. ARBA 2. Jeigu prašytojas nepateikia jokių pripažintų fotografinių ar biometrinių tapatybės atpažinties įrodymų, taikomos tos pačios procedūros, kurios nacionaliniu lygiu naudojamos įstaigos, atsakingos už registraciją, valstybėje narėje, siekiant gauti tokius pripažintus fotografinius arba biometrinius tapatybės nustatymo įrodymus. |
(1)
2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008, nustatantis su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus ir panaikinantis Reglamentą (EEB) Nr. 339/93 (OL L 218, 2008 8 13, p. 30). |
2.1.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje teikiamas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais. 2. Atrodo, kad įrodymai yra galiojantys, ir gali būti laikoma, kad jie yra tikri arba egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra savanoriškas ir reglamentuojamas juridinio asmens ir autoritetingo šaltinio susitarimu. 3. Autoritetingam šaltiniui nežinoma, ar juridinis asmuo yra būklėje, kuri neleistų jam veikti kaip tam juridiniam asmeniui. |
Pakankamas |
Be žemo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų: 1. juridinio asmens pareikšta tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir (jei taikoma) registracijos numeriu ir įrodymai tikrinami siekiant nustatyti, ar jie tikri, arba žinoma, kad jie egzistuoja, remiantis autoritetingu šaltiniu, jeigu juridinio asmens įtraukimas į autoritetingą šaltinį yra reikalingas tam, kad juridinis asmuo galėtų veikti savo sektoriuje, ir buvo imtasi veiksmų siekiant sumažinti riziką, kad juridinio asmens tapatybė nėra pareikšta tapatybė, atsižvelgiant, pavyzdžiui, į riziką, kad dokumentai gali būti prarasti, pavogti, jų galiojimas sustabdytas, panaikinti arba pasibaigusio galiojimo; arba 2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam pakankamo lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga, arba lygiavertė įstaiga; arba 3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis pakankamo arba aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, pakankamą arba aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga. |
Aukštas |
Be pakankamo lygio elementų, turi būti atitinkama viena iš 1–3 punktuose nurodytų sąlygų: 1. juridinio asmens tvirtinama tapatybė įrodoma remiantis valstybės narės, kurioje pateiktas prašymas išduoti elektroninės atpažinties priemones, pripažintais įrodymais, be kita ko, juridinio asmens pavadinimu, teisine forma ir bent vienu nacionalinėje aplinkoje naudojamu unikaliu identifikatoriumi, susijusiu su juridiniu asmeniu, ir įrodymai tikrinami siekiant nustatyti, ar jie yra tikri, remiantis autoritetingu šaltiniu; arba 2. jeigu anksčiau toje pačioje valstybėje narėje viešojo arba privačiojo subjekto naudotomis procedūromis siekiant kito tikslo, nei išduoti elektroninės atpažinties priemonę, numatomas 2.1.3 skirsnyje nustatytam aukšto lygio saugumo užtikrinimui lygiavertis saugumo užtikrinimas, įstaigai, atsakingai už registraciją, nereikia kartoti šių ankstesnių procedūrų, jeigu šį lygiavertį saugumo užtikrinimą patvirtino Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje nurodyta atitikties vertinimo įstaiga arba lygiavertė įstaiga, ir imtasi veiksmų siekiant įrodyti, kad šių ankstesnių procedūrų rezultatai tebegalioja; arba 3. jeigu elektroninės atpažinties priemonės išduotos remiantis galiojančiomis aukšto saugumo užtikrinimo lygio elektroninės atpažinties priemonėmis, apie kurias pranešta, nėra būtina kartoti tapatybės įrodymo ir tikrinimo procesų. Jeigu apie elektronines atpažinties priemones, kuriomis yra remiamasi, nebuvo pranešta, aukštą saugumo užtikrinimo lygį turi patvirtinti atitikties vertinimo įstaiga, nurodyta Reglamento (EB) Nr. 765/2008 2 straipsnio 13 dalyje, arba lygiavertė įstaiga, ir imtasi veiksmų, siekiant įrodyti, kad elektroninių atpažinties priemonių, apie kurias pranešta, ankstesnės išdavimo procedūros rezultatai tebegalioja. |
2.1.4.
Atitinkamais atvejais fizinio asmens elektroninės atpažinties priemonių ir juridinio asmens elektroninės atpažinties priemonių susiejimui (toliau – susiejimas) taikomos šios sąlygos:
turi būti įmanoma sustabdyti ir (arba) atšaukti susiejimą. Susiejimo gyvavimo ciklas (pvz., aktyvavimas, sustabdymas, atnaujinimas, atšaukimas) tvarkomas laikantis nacionaliniu lygiu pripažintų procedūrų.
Fizinis asmuo, kurio elektroninės atpažinties priemonės yra susietos su juridinio asmens elektroninės atpažinties priemonėmis, pagal nacionaliniu lygiu pripažintas procedūras susiejimą gali įgalioti kitam fiziniam asmeniui. Vis dėlto atsakomybė išlieka įgaliojančiojo fizinio asmens.
Susiejimas atliekamas taip:
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas žemu arba aukštesniu lygiu. 2. Susiejimas nustatytas remiantis nacionaliniu lygiu pripažintomis procedūromis. 3. Autoritetingam šaltiniui nežinoma, kad fizinis asmuo yra būklėje, dėl kurios jis negalėtų veikti juridinio asmens vardu. |
Pakankamas |
Žemo lygio 3 punkto, be to: 1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas pakankamu arba aukštu lygiu. 2. Susiejimas nustatytas remiantis nacionaliniu lygiu pripažintomis procedūromis, kurį atlikus susiejimas įregistruotas autoritetingame šaltinyje. 3. Susiejimas buvo patikrintas remiantis autoritetingo šaltinio informacija. |
Aukštas |
Žemo lygio 3 punkto ir pakankamo lygio 2 punkto, be to: 1. Patikrinta, kad juridinio asmens vardu veikiančio fizinio asmens tapatybės įrodymo patikrinimas atliktas aukštu lygiu. 2. Susiejimas patikrintas remiantis nacionalinėje aplinkoje naudojamu unikaliu identifikatoriumi, susijusiu su juridiniu asmeniu, taip pat remiantis autoritetingo šaltinio informacija, kuria nurodomas konkretus fizinis asmuo. |
2.2. Elektroninės atpažinties priemonių valdymas
2.2.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Elektroninės atpažinties priemonėje naudojamas bent vienas tapatumo nustatymo veiksnys. 2. Elektroninės atpažinties priemonė sukurta taip, kad išdavėjas imtųsi pagrįstų veiksmų patikrinti, kad tik asmuo, kuriam ji priklauso, galėtų ją kontroliuoti arba turėti. |
Pakankamas |
1. Elektroninės atpažinties priemonėje naudojami bent du skirtingų kategorijų tapatumo nustatymo veiksniai. 2. Elektroninės atpažinties priemonė sukurta taip, kad galima būtų laikyti, kad ją gali naudoti tik asmuo, kuriam ji priklauso, ir kuris ją kontroliuoja arba turi. |
Aukštas |
Pakankamo lygio, be to: 1. Elektroninės atpažinties priemonė apsaugo nuo kopijavimo ir klastojimo, taip pat nuo išpuolių vykdytojų su dideliu išpuolių vykdymo potencialu. 2. Elektroninės atpažinties priemonė sukurta taip, kad asmuo, kuriam ji priklauso, ją galėtų patikimai apsaugoti nuo kitų asmenų naudojimo. |
2.2.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pasiekė tik tą asmenį, kuriam ji numatyta. |
Pakankamas |
Išduota elektroninės atpažinties priemonė pristatoma naudojant mechanizmą, kuriuo galima laikyti, kad ji pristatyta tik tam asmeniui, kuriam ji priklauso. |
Aukštas |
Aktyvavimo procesu patvirtinama, kad elektroninės atpažinties priemonė buvo pristatyta tik tam asmeniui, kuriam ji priklauso. |
2.2.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Elektroninės atpažinties priemonių galiojimą galima laiku ir veiksmingai sustabdyti ir (arba) jas atšaukti. 2. Imtasi priemonių siekiant užkirsti kelią neteisėtam galiojimo sustabdymui, atšaukimui ir (arba) pakartotinam aktyvavimui. 3. Pakartotinis aktyvavimas galimas tik jeigu toliau atitinkami tie patys iki galiojimo sustabdymo arba atšaukimo nustatyti patikimumo užtikrinimo reikalavimai. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.2.4.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Atsižvelgiant į asmens tapatybės duomenų pakeitimo riziką, atnaujinimui arba pakeitimui turi būti keliami tokie patys saugumo užtikrinimo reikalavimai kaip pradiniam tapatybės įrodymo nustatymui ir tikrinimui, arba atnaujinimas ar pakeitimas turi būti pagrįstas tokio paties arba aukštesnio patikimumo lygio galiojančiomis elektroninės atpažinties priemonėmis. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Žemo lygio, be to: kai atnaujinimas ar pakeitimas pagrįstas galiojančiomis elektroninės atpažinties priemonėmis, tapatybės duomenys tikrinami su autoritetingu šaltiniu. |
2.3. Tapatumo nustatymas
Šiame skirsnyje daugiausia dėmesio skiriama grėsmėms, susijusioms su tapatumo nustatymo mechanizmu, ir išvardijami kiekvieno saugumo užtikrinimo lygio reikalavimai. Šiame skirsnyje laikoma, kad kontrolės priemonės atitinka tam tikro lygio riziką.
2.3.1.
Šioje lentelėje pateikti tapatumo nustatymo mechanizmo, pagal kurį fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų savo tapatybę pasikliaujančiajai šaliai, kiekvieno saugumo užtikrinimo lygio reikalavimai.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Prieš pateikiant asmens tapatybės duomenis patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas. 2. Jeigu pagal tapatumo nustatymo mechanizmą turi būti saugomi asmens tapatybės duomenys, ta informacija apsaugoma, siekiant ją apsaugoti nuo praradimo ir pažeidimo, įskaitant analizavimą neprisijungus prie interneto. 3. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su baziniu sustiprintu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
Pakankamas |
Žemo lygio, be to: 1. prieš pateikiant asmens tapatybės duomenis, vykdant dinaminį tapatumo nustatymą patikimai tikrinama elektroninės atpažinties priemonė ir jos galiojimas. 2. Tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su vidutiniu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
Aukštas |
Pakankamo lygio, be to: tapatumo nustatymo mechanizmu įgyvendinamos tokios saugumo kontrolės priemonės elektroninės atpažinties priemonėms patikrinti, kad išpuolių vykdytojas su dideliu išpuolių vykdymo potencialu, bandydamas atspėti, pasiklausyti, keisti ir pakartotinai išklausyti pranešimą, vargiai galėtų apeiti tapatumo nustatymo mechanizmus. |
2.4. Valdymas ir organizavimas
Visi dalyviai, teikiantys paslaugą, susijusią su tarpvalstybinio lygmens elektronine atpažintimi (toliau – teikėjai), turi būti nustatę dokumentais patvirtintą informacijos saugumo valdymo praktiką, politikos priemones, rizikos valdymo metodus ir kitas pripažintas kontrolės priemones, kad atitinkamų valstybių narių elektroninės atpažinties schemų valdymo organams galėtų garantuoti, jog įdiegta veiksminga praktika. 2.4 skirsnyje laikoma, kad visi reikalavimai/elementai atitinka tam tikro lygio riziką.
2.4.1.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Paslaugų teikėjai, teikiantys bet kokią paslaugą, kuriai taikomas šis reglamentas, yra valdžios institucija ar juridinis subjektas, tokiu pripažįstamas pagal valstybės narės nacionalinę teisę; jie turi nustatytą struktūrą ir visapusiškai veikia visose su paslaugų teikimu susijusiose srityse. 2. Paslaugų teikėjai laikosi visų jiems tenkančių teisinių reikalavimų, susijusių su paslaugos valdymu ir teikimu, įskaitant reikalavimus, susijusius su informacija, kurios gali būti prašoma, tapatybės įrodymo nustatymu, su tuo, kokia informacija gali būti saugoma ir kiek laiko. 3. Paslaugų teikėjai gali įrodyti savo gebėjimą prisiimti atsakomybės už žalą riziką, taip pat turėt pakankamų finansinių išteklių tęsti veiklą ir teikti paslaugas. 4. Paslaugų teikėjai yra atsakingi už bet kokių kitam subjektui perduotų savo įsipareigojimų vykdymą ir turi laikytis schemos politikos nuostatų taip, tarsi tas pareigas būtų įvykdę patys paslaugų teikėjai. 5. Elektroninės atpažinties schemose, kurios nesukurtos pagal nacionalinę teisę, turi būti numatytas veiksmingas nutraukimo planas. Tokiame plane turi būti numatyta, kokia tvarka nutraukti paslaugą arba jos tęsimą paskirti kitam paslaugų teikėjui, kaip atitinkamos valdžios institucijos ir galutiniai naudotojai turi būti informuojami ir kaip pagal schemos politiką įrašai turi būti saugomi, laikomi ir sunaikinami. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.2.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Paskelbta paslaugos apibrėžtis, kurioje pateikti visi taikomi terminai, sąlygos ir mokesčiai, įskaitant bet kokius naudojimosi ja apribojimus. Paslaugos apibrėžtyje turi būti nustatytos privatumo taisyklės. 2. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros siekiant užtikrinti, kad paslaugos naudotojams būtų laiku ir patikimu būdu pranešta apie bet kokius paslaugos apibrėžties ir taikomų terminų, sąlygų ir privatumo taisyklių pasikeitimus. 3. Turi būti nustatytos tinkamos politikos nuostatos ir procedūros, pagal kurias būtų visapusiškai ir deramai atsakoma į prašymus pateikti informacijos. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.3.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Veikia veiksminga informacijos saugumo valdymo sistema, skirta informacijos saugumo rizikai valdyti ir kontroliuoti. |
Pakankamas |
Žemo lygio, be to: informacijos saugumo valdymo sistemoje laikomasi pasiteisinusių standartų arba principų, skirtų informacijos saugumo rizikai valdyti ir kontroliuoti. |
Aukštas |
Tokie patys, kaip pakankamo lygio. |
2.4.4.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Registruoti ir išlaikyti atitinkamą informaciją naudojant veiksmingą įrašų valdymo sistemą, atsižvelgiant į taikomus teisės aktus ir gerąją praktiką, susijusius su duomenų apsauga ir saugojimu. 2. Laikyti informaciją, kiek tai leidžiama pagal nacionalinę teisę arba kitą nacionalinę administracinę tvarką, ir apsaugoti bei išsaugoti duomenis tiek, kiek būtina siekiant atlikti auditą ir saugumo pažeidimų tyrimus; po to duomenys turi būti saugiai sunaikinti. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.5.
Šioje lentelėje pateikiami reikalavimai įrenginiams, darbuotojams ir (jei taikytina) subrangovams, kurie vykdo pareigas pagal šį reglamentą. Atitiktis kiekvienam reikalavimui turi būti proporcinga rizikos laipsniui, susijusiam su nustatytu saugumo užtikrinimo lygiu.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Įdiegtos procedūros, kuriomis užtikrinama, kad darbuotojai ir subrangovai būtų pakankamai išmokyti, būtų kvalifikuoti ir turėtų patirties, reikalingos vykdant atitinkamas funkcijas. 2. Yra pakankamai darbuotojų ir subrangovų, galinčių tinkamai vykdyti paslaugą ir suteikti išteklių pagal jos politiką ir procedūras. 3. Įrenginiai, naudojami teikiant paslaugą, yra nuolat stebimi ir apsaugo nuo aplinkos įvykių daromos žalos, neleistinos prieigos ir kitų veiksnių, kurie gali paveikti paslaugos saugumą. 4. Įrenginiai, naudojami teikiant paslaugą, užtikrina, kad patekti į zonas, kuriose laikoma arba tvarkoma asmens, kriptografinė ar kita neskelbtina informacija, galėtų tik įgalioti darbuotojai ar subrangovai. |
Pakankamas |
Tokie patys, kaip žemo lygio. |
Aukštas |
Tokie patys, kaip žemo lygio. |
2.4.6.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
1. Veikia proporcingos techninės kontrolės priemonės, skirtos paslaugų saugumui kylančiai rizikai valdyti ir tvarkomos informacijos konfidencialumui, vientisumui ir prieinamumui apsaugoti. 2. Elektroninių ryšių kanalai, naudojami keistis asmens arba neskelbtina informacija, yra apsaugoti nuo pasiklausymo, keitimo ir pakartotino išklausymo. 3. Prieiga prie neskelbtinos kriptografinės medžiagos, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, suteikiama tik toms funkcijoms ir taikomosioms programoms, kurioms prieiga yra būtina. Turi būti užtikrinta, kad tokia medžiaga niekada nebūtų nuolat saugoma paprasto teksto pavidalu. 4. Veikia procedūros, kuriomis užtikrinama, kad saugumas būtų nuolat išlaikytas ir kad būtų sugebama reaguoti į rizikos lygių pokyčius, incidentus ir saugumo pažeidimus. 5. Visos laikmenos, kuriose laikoma asmens, kriptografinė ar kita neskelbtina informacija, saugomos, transportuojamos ir šalinamos saugiai ir patikimai. |
Pakankamas |
Tokie patys, kaip žemo lygio, be to: neskelbtina kriptografinė medžiaga, jeigu ji naudojama elektroninės atpažinties priemonėms išduoti ir tapatumui nustatyti, yra apsaugota nuo klastojimo. |
Aukštas |
Tokie patys, kaip pakankamo lygio. |
2.4.7.
Saugumo užtikrinimo lygis |
Būtini elementai |
Žemas |
Periodiškai vykdomas vidaus auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
Pakankamas |
Periodiškai vykdomas nepriklausomas vidaus arba išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. |
Aukštas |
1. Periodiškai vykdomas nepriklausomas išorės auditas, apimantis visas su teikiamomis paslaugomis susijusias sritis, siekiant užtikrinti, kad būtų laikomasi atitinkamų politikos nuostatų. 2. Tais atvejais, kai schemą tiesiogiai valdo valdžios institucija, ji tikrinama pagal nacionalinę teisę. |