This document is an excerpt from the EUR-Lex website
Document 02015R1502-20220711
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)Text with EEA relevance
Consolidated text: Komisijas Īstenošanas regula (ES) 2015/1502 (2015. gada 8. septembris), kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (Dokuments attiecas uz EEZ)Dokuments attiecas uz EEZ
Komisijas Īstenošanas regula (ES) 2015/1502 (2015. gada 8. septembris), kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (Dokuments attiecas uz EEZ)Dokuments attiecas uz EEZ
ELI: http://data.europa.eu/eli/reg_impl/2015/1502/2022-07-11
02015R1502 — LV — 11.07.2022 — 001.001
Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2015/1502 (2015. gada 8. septembris), kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (OV L 235, 9.9.2015., 7. lpp) |
Grozīta ar:
|
|
Oficiālais Vēstnesis |
||
Nr. |
Lappuse |
Datums |
||
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2022/960 (2022. gada 20. jūnijs), |
L 165 |
40 |
21.6.2022 |
KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2015/1502
(2015. gada 8. septembris),
kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras
(Dokuments attiecas uz EEZ)
1. pants
Pielikumā izklāstītās specifikācijas un procedūras izmanto, lai izraudzītos elektroniskās identifikācijas shēmas ietvaros izdoto elektroniskās identifikācijas līdzekļu uzticamības līmeni, nosakot šādu elementu drošu izmantojamību un kvalitāti:
uzņemšana – kā izklāstīts šīs regulas pielikuma 2.1. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta a) apakšpunktu;
elektroniskās identifikācijas līdzekļu pārvaldība – kā izklāstīts šīs regulas pielikuma 2.2. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta b) un f) apakšpunktu;
autentifikācija – kā izklāstīts šīs regulas pielikuma 2.3. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta c) apakšpunktu;
pārvaldība un organizācija – kā izklāstīts šīs regulas pielikuma 2.4. punktā saskaņā ar Regulas (ES) Nr. 910/2014 8. panta 3. punkta d) un e) apakšpunktu.
2. pants
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
PIELIKUMS
Izziņotas elektroniskās identifikācijas shēmas ietvaros izdoto elektroniskās identifikācijas līdzekļu zema, būtiska un augsta uzticamības līmeņa tehniskās specifikācijas un procedūras
1. Piemērojamās definīcijas
Šajā pielikumā piemēro šādas definīcijas:
1) |
“autoritatīvs avots” – jebkura veida avots, uz kuru var paļauties, ka tas sniedz precīzus datus, informāciju un/vai pierādījumu, ko var izmantot identitātes pierādīšanai; |
2) |
“autentifikācijas faktors” – faktors, kas apstiprināts par saistītu ar personu un ietilpst kādā no šīm kategorijām:
|
3) |
“dinamiskā autentifikācija” – elektronisks process, kurā izmanto kriptogrāfiju vai citas metodes, kas dod iespēju pēc pieprasījuma izveidot elektronisku pierādījumu tam, ka subjekta pārziņā vai turējumā ir identifikācijas dati, un kas mainās līdzi katrai autentifikācijai starp subjektu un sistēmu, kura verificē subjekta identitāti; |
4) |
“informācijas drošības pārvaldības sistēma” – procesu un procedūru kopums, kura uzdevums ir informācijas drošības apdraudējumu noturēt pieņemamā līmenī. |
2. Tehniskās specifikācijas un procedūras
Šajā pielikumā izklāstīto tehnisko specifikāciju un procedūru elementus izmanto, lai noteiktu, kā Regulas (ES) Nr. 910/2014 8. panta prasības un kritērijus piemērot elektroniskās identifikācijas shēmas ietvaros izsniegtiem elektroniskās identifikācijas līdzekļiem.
2.1. Uzņemšana
2.1.1.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Nodrošina, ka pieteikuma iesniedzējs zina noteikumus, kas saistīti ar elektroniskās identifikācijas līdzekļu lietošanu. 2. Nodrošina, ka pieteikuma iesniedzējs zina ieteiktos piesardzības pasākumus, kas saistīti ar elektroniskās identifikācijas līdzekļiem. 3. Vāc attiecīgos personas datus, kas vajadzīgi identitātes pierādīšanai un verificēšanai. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.1.2.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Var pieņemt, ka personai ir pierādījums, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli, un tas atspoguļo uzdoto identitāti. 2. Pierādījumus var uzskatīt par patiesiem vai tādiem, kas pastāv pēc autoritatīva avota ziņām, un pierādījumi šķiet derīgi. 3. Autoritatīvais avots zina, ka uzdotā identitāte pastāv, un var tikt uzskatīts, ka persona, kura uzdod identitāti, ir tā pati. |
Būtisks |
Jāizpilda zemais līmenis plus viena no alternatīvām 1.–4. punktā: 1. Ir verificēts, ka personai ir pierādījums, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli, un tā atbilst uzdotajai identitātei, un ir pārbaudīts pierādījuma patiesums; vai pēc autoritatīva avota ziņām tas pastāv un attiecas uz īstu personu, un ir veikti pasākumi, lai minimalizētu risku, ka personas identitāte nav uzdotā identitāte, ņemot vērā risku, ka var būt, piemēram, nozaudēts, nozagts, apturēts, anulēts vai notecējis pierādījums. vai 2. Reģistrēšanās laikā tiek iesniegts personas dokuments dalībvalstī, kurā šis dokuments izdots, un šķiet, ka dokuments attiecas uz tā uzrādītāju, un ir veikti pasākumi, lai minimalizētu risku, ka personas identitāte nav uzdotā identitāte, ņemot vērā risku, ka var būt, piemēram, nozaudēti, nozagti, apturēti, anulēti vai notecējuši dokumenti. vai 3. Ja procedūras, ko publiska vai privāta vienība agrāk izmantojusi tajā pašā dalībvalstī citam nolūkam, nevis elektroniskās identifikācijas līdzekļu izdošanai, nodrošina uzticamību, kas līdzvērtīga tai, kas minēta 2.1.2. punktā attiecībā uz būtisku uzticamības līmeni, tad vienībai, kas atbild par reģistrāciju, nav jāatkārto iepriekšējās procedūras, ja šādu līdzvērtīgu uzticamību apstiprina atbilstības novērtēšanas struktūra, kas minēta Eiropas Parlamenta un Padomes Regulas (EK) Nr. 765/2008 (1) 2. panta 13. punktā, vai līdzvērtīga struktūra. vai 4. Ja elektroniskās identifikācijas līdzekļus izdod uz tāda derīga izziņota elektroniskās identifikācijas līdzekļa pamata, kura uzticamības līmenis ir būtisks vai augsts, un ņem vērā personas identifikācijas datu maiņas riskus, nav vajadzīgs atkārtot identitātes pierādīšanas un verifikācijas procesus. Ja elektroniskās identifikācijas līdzeklis, kas ir par pamatu, nav izziņots, būtiskais vai augstais uzticamības līmenis ir jāapstiprina atbilstības novērtēšanas struktūrai, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīgai struktūrai. |
Augsts |
Jāizpilda 1. vai 2. punkta prasības: 1. Jāizpilda būtiskais līmenis plus viena no alternatīvām a)–c) apakšpunktā: a) ja ir verificēts, ka personai ir fotogrāfiskās vai biometriskās identifikācijas pierādījums, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli, un minētais pierādījums atspoguļo uzdoto identitāti, pierādījumu pārbauda, lai noteiktu, vai tas ir derīgs pēc autoritatīva avota ziņām, un pieteikuma iesniedzējs tiek identificēts ar uzdoto identitāti, salīdzinot vienu vai vairākas personas fiziskās īpašības ar autoritatīvu avotu; vai b) ja procedūras, ko publiska vai privāta vienība agrāk izmantojusi tajā pašā dalībvalstī citam nolūkam, nevis elektroniskās identifikācijas līdzekļu izdošanai, nodrošina uzticamību, kas līdzvērtīga tai, kas minēta 2.1.2. punktā attiecībā uz augstu uzticamības līmeni, tad vienībai, kas atbild par reģistrāciju, nav jāatkārto iepriekšējās procedūras, ja šādu līdzvērtīgu uzticamību apstiprina atbilstības novērtēšanas struktūra, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīga struktūra, un tiek veikti pasākumi, kas pierāda, ka agrākās procedūras rezultāti vēl ir derīgi, vai c) ja elektroniskās identifikācijas līdzekļus izdod uz tāda derīga izziņota elektroniskās identifikācijas līdzekļa pamata, kura uzticamības līmenis ir augsts, un ņem vērā personas identifikācijas datu maiņas riskus, nav vajadzīgs atkārtot identitātes pierādīšanas un verifikācijas procesus. Ja elektroniskās identifikācijas līdzeklis, kas ir par pamatu, nav izziņots, augstais uzticamības līmenis ir jāapstiprina atbilstības novērtēšanas struktūrai, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīgai struktūrai, un tiek veikti pasākumi, kas pierāda, ka iepriekšējās šā izziņotā elektroniskās identifikācijas līdzekļa izdošanas procedūras rezultāti vēl ir derīgi. VAI 2. Ja pieteikuma iesniedzējs neuzrāda atzītu fotogrāfiskās vai biometriskās identifikācijas pierādījumu, piemēro tieši tās pašas procedūras, ko tāda atzīta fotogrāfiskās vai biometriskās identifikācijas pierādījuma iegūšanai valsts līmenī izmanto par reģistrāciju atbildīgās dalībvalsts vienība. |
(1)
Eiropas Parlamenta un Padomes 2008. gada 9. jūlija Regula (EK) Nr. 765/2008, ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30. lpp.). |
2.1.3.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Juridiskās personas uzdoto identitāti apliecina uz tādu pierādījumu pamata, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli. 2. Pierādījumi šķietami ir derīgi un tos var uzskatīt par patiesiem vai pastāvošiem pēc autoritatīvu avota ziņām, ja juridiskas personas iekļāvums autoritatīvajā avotā ir brīvprātīgs un to reglamentē juridiskās personas un autoritatīvā avota vienošanās. 3. Autoritatīvam avotam nav zināms, ka juridiskā persona būtu statusā, kas tai neļauj rīkoties kā šai juridiskajai personai. |
Būtisks |
Jāizpilda zemais līmenis plus viena no alternatīvām 1.–3. punktā: 1. Juridiskās personas uzdoto identitāti apliecina uz tādu pierādījumu pamata, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli, ieskaitot juridiskās personas nosaukumu, juridisko formu un (attiecīgā gadījumā) reģistrācijas numuru, un pierādījumus pārbauda, lai noteiktu, vai tie ir patiesi vai pastāv pēc autoritatīva avota ziņām, ja juridiskajai personai ir jābūt iekļautai autoritatīvajā informācijas avotā, lai darbotos savā nozarē, un ir veikti pasākumi, lai minimalizētu risku, ka juridiskās personas identitāte nav uzdotā identitāte, ņemot vērā risku, ka var būt, piemēram, nozaudēti, nozagti, apturēti, anulēti vai notecējuši dokumenti. vai 2. Ja procedūras, ko publiska vai privāta vienība agrāk izmantojusi tajā pašā dalībvalstī citam nolūkam, nevis elektroniskās identifikācijas līdzekļu izdošanai, nodrošina uzticamību, kas līdzvērtīga tai, kas minēta 2.1.3. punktā attiecībā uz būtisku uzticamības līmeni, tad vienībai, kas atbild par reģistrāciju, nav jāatkārto iepriekšējās procedūras, ja šādu līdzvērtīgu uzticamību apstiprina atbilstības novērtēšanas struktūra, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīga struktūra. vai 3. Ja elektroniskās identifikācijas līdzekļus izdod uz tāda derīga izziņota elektroniskās identifikācijas līdzekļa pamata, kura uzticamības līmenis ir būtisks vai augsts, nav vajadzīgs atkārtot identitātes pierādīšanas un verifikācijas procesus. Ja elektroniskās identifikācijas līdzeklis, kas ir par pamatu, nav izziņots, būtiskais vai augstais uzticamības līmenis ir jāapstiprina atbilstības novērtēšanas struktūrai, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīgai struktūrai. |
Augsts |
Jāizpilda būtiskais līmenis plus viena no alternatīvām 1.–3. punktā: 1. Juridiskās personas uzdoto identitāti apliecina uz tādu pierādījumu pamata, ko atzīst dalībvalsts, kurā tiek iesniegts pieteikums uz elektroniskās identifikācijas līdzekli, ieskaitot juridiskās personas nosaukumu, juridisko formu un vismaz vienu unikālu identifikatoru, kas atspoguļo juridisko personu un ko lieto valsts vajadzībām, un ir pārbaudīts pierādījuma derīgums pēc autoritatīva avota ziņām. vai 2. Ja procedūras, ko publiska vai privāta vienība agrāk izmantojusi tajā pašā dalībvalstī citam nolūkam, nevis elektroniskās identifikācijas līdzekļu izdošanai, nodrošina uzticamību, kas līdzvērtīga tai, kas minēta 2.1.3. punktā attiecībā uz augstu uzticamības līmeni, tad vienībai, kas atbild par reģistrāciju, nav jāatkārto iepriekšējās procedūras, ja šādu līdzvērtīgu uzticamību apstiprina atbilstības novērtēšanas struktūra, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīga struktūra, un tiek veikti pasākumi, kas pierāda, ka agrākās procedūras rezultāti vēl ir derīgi. vai 3. Ja elektroniskās identifikācijas līdzekļus izdod uz tāda derīga izziņota elektroniskās identifikācijas līdzekļa pamata, kura uzticamības līmenis ir augsts, nav vajadzīgs atkārtot identitātes pierādīšanas un verifikācijas procesus. Ja elektroniskās identifikācijas līdzeklis, kas ir par pamatu, nav izziņots, augstais uzticamības līmenis ir jāapstiprina atbilstības novērtēšanas struktūrai, kas minēta Regulas (EK) Nr. 765/2008 2. panta 13. punktā, vai līdzvērtīgai struktūrai, un tiek veikti pasākumi, kas pierāda, ka iepriekšējās šā izziņotā elektroniskās identifikācijas līdzekļa izdošanas procedūras rezultāti vēl ir derīgi. |
2.1.4.
Attiecīgos gadījumos uz starp fiziskas personas elektroniskās identifikācijas līdzekļa un juridiskas personas elektroniskās identifikācijas līdzekļa saistījumu (“saistījumu”) attiecas šādi nosacījumi:
Jābūt iespējai saistījumu apturēt un/vai anulēt. Saistījuma darbības ciklu (piemēram, aktivizēšanu, apturēšanu, atjaunošanu, anulēšanu) pārvalda saskaņā ar valsts atzītām procedūrām.
Fiziska persona, kuras elektroniskās identifikācijas līdzeklis ir saistīts ar juridiskās personas elektroniskās identifikācijas līdzekli, var deleģēt saistījuma īstenošanu citai fiziskai personai, pamatojoties uz valsts atzītām procedūrām. Tomēr atbildība paliek deleģējošajai fiziskajai personai.
Saistījums veidojams šādi:
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Fiziskas personas, kas darbojas juridiskās personas vārdā, identitātes pierādīšanu verificē kā veiktu zemajā līmenī vai augstākā. 2. Saistījums ir izveidots, pamatojoties uz valsts atzītām procedūrām. 3. Autoritatīvam avotam nav zināms, ka fiziskā persona būtu statusā, kas tai neļauj rīkoties juridiskās personas vārdā. |
Būtisks |
Zemā līmeņa 3. punkts plus: 1. Fiziskas personas, kas darbojas juridiskās personas vārdā, identitātes pierādīšanu verificē kā veiktu būtiskajā vai augstajā līmenī. 2. Saistījums ir izveidots, pamatojoties uz valsts atzītām procedūrām, kuru rezultātā saistījums reģistrēts autoritatīvā avotā. 3. Saistījums ir verificēts, pamatojoties uz informāciju no autoritatīva avota. |
Augsts |
Zemā līmeņa 3. punkts un būtiskā līmeņa 2. punkts plus: 1. Fiziskas personas, kas darbojas juridiskās personas vārdā, identitātes pierādīšanu verificē kā veiktu augstajā līmenī. 2. Saistījums ir verificēts, pamatojoties uz unikālu identifikatoru, kas apzīmē juridisko personu un ko lieto valsts vajadzībām, un pamatojoties uz autoritatīva avota informāciju, kas unikāli apzīmē fizisko personu. |
2.2. Elektroniskās identifikācijas līdzekļu pārvaldība
2.2.1.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Elektroniskās identifikācijas līdzeklis izmanto vismaz vienu autentifikācijas faktoru. 2. Elektroniskās identifikācijas līdzeklis ir veidots tā, ka izdevējs veic piemērotus pasākumus, lai pārliecinātos, ka to izmanto tikai tās personas kontrolē vai turējumā, kurai tas pieder. |
Būtisks |
1. Elektroniskās identifikācijas līdzeklis izmanto vismaz divus dažādu kategoriju autentifikācijas faktorus. 2. Elektroniskās identifikācijas līdzeklis ir veidots tā, lai var pieņemt, ka to izmanto tikai tad, ja tas ir tās personas kontrolē vai turējumā, kurai tas pieder. |
Augsts |
Būtiskais līmenis plus: 1. Elektroniskās identifikācijas līdzeklis sargā no dublēšanas un viltošanas, kā arī no uzbrucējiem ar augstu uzbrukuma potenciālu. 2. Elektroniskās identifikācijas līdzeklis ir veidots tā, lai persona, kurai tas pieder, to varētu droši aizsargāt tā, ka to neizmanto citi. |
2.2.2.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Pēc izdošanas elektroniskās identifikācijas līdzekli piegādā ar mehānismu, kura izmantošana ļauj pieņemt, ka tas nonāk tikai pie personas, kam tas paredzēts. |
Būtisks |
Pēc izdošanas elektroniskās identifikācijas līdzekli piegādā ar mehānismu, kura izmantošana ļauj pieņemt, ka tas nonāk tikai tās personas turējumā, kam tas pieder. |
Augsts |
Aktivizēšanas process verificē, vai elektroniskās identifikācijas līdzeklis ir nonācis tikai tās personas turējumā, kurai tas pieder. |
2.2.3.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Elektroniskās identifikācijas līdzekli ir iespējams laicīgi un efektīvi apturēt un/vai anulēt. 2. Ir veikti pasākumi, kas novērš neautorizētu apturēšanu, anulēšanu un/vai reaktivizāciju. 3. Reaktivizācija notiek tikai tad, ja joprojām tiek apmierinātas tādas pašas uzticamības prasības, kādas izvirzītas pirms apturēšanas vai anulēšanas. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.2.4.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Ņemot vērā risku, ka var mainīties personas identifikācijas dati, atjaunošanai vai aizstāšanai jāizpilda tādas pašas uzticamības prasības kā sākotnējā identitātes pierādīšanā un verifikācijā vai ir jābūt balstītai uz derīgu tāda paša vai augstāka uzticamības līmeņa elektroniskās identifikācijas līdzekli. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Zemais līmenis plus: ja atjaunošana vai aizstāšana ir balstīta uz elektroniskās identifikācijas līdzekli, identitātes datus verificē pēc autoritatīva avota. |
2.3. Autentifikācija
Šajā punktā uzmanība veltīta briesmām, kas saistās ar autentifikācijas mehānisma lietošanu, un uzskaitītas prasības katrā uzticamības līmenī. Šajā punktā tiek uzskatīts, ka kontrole ir samērīga ar riskiem dotajā līmenī.
2.3.1.
Tabulā ir izklāstītas prasības katrā uzticamības līmenī attiecībā uz autentifikācijas mehānismu, kurā fiziskā vai juridiskā persona izmanto elektroniskās identifikācijas līdzekli, lai apstiprinātu savu identitāti pārbaudītājam.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Pirms personas identifikācijas datu izlaišanas tiek droši verificēts elektroniskās identifikācijas līdzeklis un tā derīgums. 2. Ja personas identifikācijas dati tiek glabāti kā daļa no autentifikācijas mehānisma, minētā informācija ir aizsargāta, lai nodrošinātos pret nozaudēšanu un drošības politikas pārkāpumiem, ieskaitot analīzi bezsaistē. 3. Autentifikācijas mehānisms īsteno drošības kontroli elektroniskās identifikācijas līdzekļu verifikācijai tā, ka ir maz ticams, ka tādas uzbrucēja ar vairāk nekā parastu uzbrukuma potenciālu darbības kā paziņojuma uzminēšana, pārtveršana, pārspēlēšana vai manipulācijas ar to spētu vājināt autentifikācijas mehānismus. |
Būtisks |
Zemais līmenis plus: 1. Pirms personas identifikācijas datu izlaišanas ar dinamisko autentifikāciju tiek droši verificēts elektroniskās identifikācijas līdzeklis un tā derīgums. 2. Autentifikācijas mehānisms īsteno drošības kontroli elektroniskās identifikācijas līdzekļu verifikācijai tā, ka ir maz ticams, ka tādas uzbrucēja ar vidēji augstu uzbrukuma potenciālu darbības kā paziņojuma uzminēšana, pārtveršana, pārspēlēšana vai manipulācijas ar to spētu vājināt autentifikācijas mehānismus. |
Augsts |
Būtiskais līmenis plus: autentifikācijas mehānisms īsteno drošības kontroli elektroniskās identifikācijas līdzekļu verifikācijai tā, ka ir maz ticams, ka tādas uzbrucēja ar augstu uzbrukuma potenciālu darbības kā paziņojuma uzminēšana, pārtveršana, pārspēlēšana vai manipulācijas ar to spētu vājināt autentifikācijas mehānismus. |
2.4. Pārvaldība un organizācija
Visiem dalībniekiem, kas ar elektronisko identifikāciju saistītu pakalpojumu sniedz pārrobežu kontekstā (“pakalpojuma sniedzēji”), ir jābūt dokumentētai informācijas drošības pārvaldības praksei, rīcības politikai, riska pārvaldības pieejām un citiem atzītiem kontroles līdzekļiem, lai attiecīgām elektroniskās identifikācijas shēmu vadības struktūrām attiecīgajās dalībvalstīs sniegtu pārliecību, ka pastāv efektīva prakse. Visā 2.4. punktā visas prasības/elementus uzskata par samērīgiem ar dotā līmeņa riskiem.
2.4.1.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Pakalpojuma sniedzēji, kas nodrošina darbības pakalpojumus, uz ko attiecas šī regula, ir publiska iestāde vai juridiska vienība, ko par tādu atzīst kādas dalībvalsts tiesību akti un kam ir izveidota organizatoriskā struktūra un pilnībā darbojas visas daļas, kas vajadzīgas pakalpojumu sniegšanai. 2. Pakalpojumu sniedzēji ievēro juridiskās prasības, kas tiem izvirzītas sakarā ar darbību un pakalpojuma sniegšanu, ieskaitot jautājumos par pieprasāmās informācijas veidiem, identitātes pierādīšanas veidu, par to, kāda informāciju drīkst paturēt un cik ilgi. 3. Pakalpojumu sniedzēji spēj pierādīt spēju uzņemties risku sakarā ar atbildību par zaudējumiem, kā arī to, ka viņiem pietiek finanšu resursu nepārtrauktai darbībai un pakalpojumu sniegšanai. 4. Pakalpojumu sniedzēji atbild par citām vienībām ārpakalpojumu veidā nodoto saistību izpildi un par to, lai shēmas politika būtu ievērota tā, it kā pienākumus būtu pildījuši paši pakalpojumu sniedzēji. 5. Elektroniskās identifikācijas shēmām, kas nav izveidotas ar valsts tiesību aktiem, ir jābūt efektīvam darbības izbeigšanas plānam. Plānā jābūt noteiktai kārtībai, kā pakalpojums tiek izbeigts vai kā to turpina cits pakalpojumu sniedzējs, kā informējamas attiecīgās iestādes un galalietotāji, kā arī ziņas par to, kā uzskaites dati ir jāaizsargā, jāsaglabā un jāiznīcina saskaņā ar shēmas politiku. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.4.2.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Ir publicēta pakalpojuma definīcija, kas aptver visus piemērojamos noteikumus un maksas, ieskaitot tā izmantošanas ierobežojumus (ja tādi ir). Pakalpojuma definīcijā ietilpst privātuma politika. 2. Ir jāievieš atbilstoša politika un procedūras, lai nodrošinātu, ka pakalpojuma lietotāji laicīgi un droši tiek informēti par izmaiņām pakalpojuma definīcijā un piemērojamajos noteikumos un privātuma politikā. 3. Ir jāievieš atbilstoša rīcības politika un procedūras, kas nodrošina pilnīgas un pareizas atbildes uz informācijas pieprasījumiem. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.4.3.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Pastāv efektīva informācijas drošības pārvaldības sistēma informācijas drošības risku pārvaldībai un kontrolei. |
Būtisks |
Zemais līmenis plus: informācijas drošības pārvaldības sistēma ievēro pārbaudītus informācijas drošības risku pārvaldības un kontroles standartus vai principus. |
Augsts |
Tāpat kā būtiskajā līmenī. |
2.4.4.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Reģistrē un uztur attiecīgu informāciju, izmantojot efektīvu uzskaitvedības sistēmu, ņemot vērā piemērojamos tiesību aktus un labu praksi, kas attiecas uz datu aizsardzību un datu saglabāšanu. 2. Saglabā, cik to ļauj valsts tiesību akti vai citi valsts administratīvi noteikumi, un aizsargā uzskaites datus tik ilgi, kamēr tie ir nepieciešami revīzijai un drošības pārkāpumu izmeklēšanai, un saglabāšanai, pēc kuras uzskaites datus drošā veidā iznīcina. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.4.5.
Tabulā ir norādītas prasības iekārtām un darbiniekiem un – attiecīgā gadījumā – apakšuzņēmējiem, kas uzņemas pienākumus, uz kuriem attiecas šī regula. Katras prasības izpilde ir proporcionāla riskam, kas saistās ar uzticamības līmeni.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Pastāv procedūras, kas nodrošina, ka darbinieki un apakšuzņēmēji ir pietiekami apmācīti, kvalificēti un pieredzējuši prasmēs, kas nepieciešamas viņu funkciju pildīšanai. 2. Pietiek personāla un apakšuzņēmēju pakalpojuma pienācīgai sniegšanai un apgādei ar resursiem saskaņā ar tā politiku un procedūrām. 3. Iekārtas, ko izmanto pakalpojuma sniegšanai, pastāvīgi uzrauga un aizsargā pret dabas untumu nodarīto kaitējumu, neatļautu piekļuvi un citiem faktoriem, kas var ietekmēt pakalpojuma drošību. 4. Pakalpojuma sniegšanai izmantojamās iekārtas nodrošina piekļūšanu personas datu un kriptogrāfiskas vai citādas sensitīvas informācijas apstrādes zonām tikai pilnvarotiem darbiniekiem vai apakšuzņēmējiem. |
Būtisks |
Tāpat kā zemajā līmenī. |
Augsts |
Tāpat kā zemajā līmenī. |
2.4.6.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
1. Samērīga tehniskā kontrole, aizsargādama apstrādātās informācijas konfidencialitāti, integritāti un pieejamību, pārvalda riskus, kas apdraud pakalpojumu drošību. 2. Elektronisko sakaru kanāli, ko izmanto personas datu vai sensitīvas informācijas apmaiņai, ir aizsargāti no pārtveršanas, manipulēšanas un pārspēlēšanas. 3. Piekļuve sensitīviem kriptogrāfiskiem materiāliem, ko izmanto elektroniskās identifikācijas līdzekļu izdošanai un autentifikācijai, tiek dota tikai funkcijām un lietojumiem, kam piekļuve noteikti nepieciešama. Ir jānodrošina, ka šādus materiālus nekad pastāvīgi neuzglabā kā vienkāršu tekstu. 4. Pastāv procedūras, kas nodrošina, ka drošība tiek uzturēta pastāvīgi un ka ir spēja reaģēt uz riska līmeņa maiņu, incidentiem un drošības pārkāpumiem. 5. Visus informācijas nesējus ar personas datiem, kriptogrāfisku vai citādu sensitīvu informāciju uzglabā, pārvadā un likvidē drošā un aizsargātā veidā. |
Būtisks |
Tāpat kā zemajā līmenī plus: sensitīvi kriptogrāfiskie materiāli, ko izmanto elektroniskās identifikācijas līdzekļu izdošanai un autentifikācijai, ir aizsargāti no viltošanas. |
Augsts |
Tāpat kā būtiskajā līmenī. |
2.4.7.
Uzticamības līmenis |
Nepieciešamie elementi |
Zems |
Pastāv regulāra iekšējā revīzija, kas aptver visas daļas, kuras attiecas uz sniegto pakalpojumu piegādi, nodrošinot atbilstību attiecīgajai politikai. |
Būtisks |
Pastāv regulāra neatkarīga iekšējā revīzija vai ārējā revīzija, kas aptver visas daļas, kuras attiecas uz sniegto pakalpojumu piegādi, nodrošinot atbilstību attiecīgajai politikai. |
Augsts |
1. Pastāv regulāra neatkarīga ārējā revīzija, kas aptver visas daļas, kas attiecas uz sniegto pakalpojumu piegādi, nodrošinot atbilstību attiecīgajai politikai. 2. Ja shēmu tieši pārvalda valsts pārvaldes struktūra, shēmas revīziju veic saskaņā ar attiecīgās valsts tiesību aktiem. |