Відповідно до статей 4-1, 11-2, 13, 18, 20-23, 26-28 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

вимоги до надавачів послуг електронної ідентифікації та електронних довірчих послуг;

Порядок інформування контролюючого органу та користувачів послуг електронної ідентифікації, користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації;

Порядок перевірки інформації про осіб, яким видаються засоби електронної ідентифікації або кваліфіковані сертифікати відкритих ключів з використанням відомостей інформаційних систем та публічних електронних реєстрів;

Порядок використання псевдонімів фізичними особами, які є користувачами послуг електронної ідентифікації або електронних довірчих послуг;

Порядок проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг.

2. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.

1. Ці вимоги визначають організаційно-методологічні, технічні та технологічні умови, яких повинні дотримуватися надавачі послуг електронної ідентифікації, а також надавачі електронних довірчих послуг (кваліфіковані та некваліфіковані) (далі - надавачі довірчих послуг), у тому числі з безпеки та захисту інформації, та їх відокремлені пункти реєстрації під час надання послуг електронної ідентифікації та електронних довірчих послуг, а також працівники надавача довірчих послуг.

2. Дія цих вимог не поширюється на надання послуг електронної ідентифікації та електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" (далі - Закон).

3. У цих вимогах терміни вживаються в такому значенні:

1) геш-значення - фіксовані за обсягом електронні дані, створені шляхом перетворення електронних даних із застосуванням криптографічного алгоритма;

2) заявник - фізична особа, у тому числі іноземець та особа без громадянства, фізична особа - підприємець, юридична особа та їх уповноважені представники, що звернулися до надавача послуг електронної ідентифікації чи надавача довірчих послуг для отримання послуг електронної ідентифікації та електронних довірчих послуг;

3) інформаційно-комунікаційна система центрального засвідчувального органу - сукупність інформаційних та комунікаційних систем центрального засвідчувального органу, які у процесі обробки інформації діють як єдине ціле та використовуються під час надання електронних довірчих послуг та виконання інших повноважень, визначених статтями 7 та 7-1 Закону;

4) користувач засобу електронної ідентифікації - особа, якій надавач послуг електронної ідентифікації видав засіб електронної ідентифікації згідно із схемою, внесеною до переліку схем електронної ідентифікації ;

5) онлайн-операція - будь-яка дія, що проводиться за допомогою електронних пристроїв в режимі реального часу та передбачає безперервне з’єднання засобами електронних комунікацій під час її проведення;

6) перевірка - виїзний захід державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, що здійснюється посадовими особами контролюючого органу відповідно до їх функціональних обов’язків за місцезнаходженням надавача довірчих послуг, центрального засвідчувального органу або засвідчувального центру;

7) політика сертифіката - набір правил, що застосовуються кваліфікованим надавачем електронних довірчих послуг (далі - кваліфікований надавач довірчих послуг) у процесі надання кваліфікованих електронних довірчих послуг з формування, перевірки та підтвердження чинності кваліфікованих сертифікатів відкритих ключів;

8) положення сертифікаційних практик - набір усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката кваліфікованого надавача довірчих послуг;

9) програмний інтерфейс центрального засвідчувального органу - складова інформаційно-комунікаційної системи центрального засвідчувального органу, яка дає змогу отримати або передати певний набір даних з/до електронного інформаційного ресурсу (забезпечення інтероперабельності) та забезпечує виконання інших повноважень, визначених статтями 7 та 7-1 Закону;

10) публікація кваліфікованого сертифіката відкритого ключа - надання кваліфікованого сертифіката відкритого ключа користувачеві та у разі його згоди - іншим особам шляхом розміщення такого сертифіката на веб-сайті надавача довірчих послуг;

11) список відкликаних сертифікатів відкритих ключів - сформований та опублікований надавачем довірчих послуг, центральним засвідчувальним органом/засвідчувальним центром перелік кваліфікованих сертифікатів відкритих ключів, статус яких змінено на заблокований, поновлений або скасований;

12) статус кваліфікованого сертифіката відкритого ключа - стан кваліфікованого сертифіката відкритого ключа (чинний, заблокований, скасований) на певний момент часу;

13) управління статусом сертифіката - зміна статусу кваліфікованого сертифіката відкритого ключа надавачем довірчих послуг.

4. Інші терміни вживаються у значенні, наведеному в Законах України "Про електронну ідентифікацію та електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про регулювання містобудівної діяльності", постанові Кабінету Міністрів України від 11 серпня 2023 р. № 844 "Про затвердження вимог до Довірчого списку" (Офіційний вісник України, 2023 р., № 79, ст. 4487) та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.

5. Формування сертифікатів відкритих ключів повинне здійснюватися з дотриманням таких стандартів:

ДСТУ ISO/IEC 9594-8:2021 (ISO/IEC 9594-8:2020, IDT) "Інформаційні технології. Взаємозв'язок відкритих систем. Частина 8. Каталог. Структура сертифікатів відкритих ключів та атрибутів";

ДСТУ ETSI EN 319 412-1:2021 (ETSI EN 319 412-1 V1.4.4 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 1. Огляд та типові структури даних";

ДСТУ ETSI EN 319 412-2:2021 (ETSI EN 319 412-2 V2.2.1 (2020-07), IDT) "Електронні підписи та інфраструктури. (ESI). Профілі сертифікатів. Частина 2. Профілі сертифікатів, виданих фізичним особам";

ДСТУ ETSI EN 319 412-3:2021 (ETSI EN 319 412-3 V1.2.1 (2020-07), IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 3. Профілі сертифікатів, виданих юридичним особам";

ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів";

Кваліфіковані надавачі довірчих послуг мають право самостійно обирати щодо кожної послуги стандарти з переліку згідно з додатком, які можуть застосовувати для надання кваліфікованих електронних довірчих послуг.

6. Надавач послуг електронної ідентифікації надає послугу електронної ідентифікації за схемою, внесеною до переліку схем електронної ідентифікації .

7. Надавачі послуг електронної ідентифікації під час видачі засобів електронної ідентифікації мають право здійснювати перевірку інформації, яка міститься у засобі електронної ідентифікації, який видається особі, з використанням відомостей інформаційних ресурсів єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів - за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до Закону України "Про публічні електронні реєстри", отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації відповідно до статті 11-2 Закону.

8. Надання послуг електронної ідентифікації надавачами послуг електронної ідентифікації повинне здійснюватися з дотриманням таких стандартів:

ДСТУ EN ISO/IEC 29100:2022 (EN ISO/IEC 29100:2020, IDT; ISO/IEC 29100:2011, including Amd 1:2018, IDT) "Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя";

ДСТУ ISO/IEC 29101:2018 (ISO/IEC 29101:2013, IDT) "Інформаційні технології. Методи захисту. Структура архітектури забезпечення прайвесі";

ДСТУ ISO/IEC 19989-1:2023 (ISO/IEC 19989-1:2020, IDT) "Інформаційна безпека. Критерії та методологія оцінювання безпеки біометричних систем. Частина 1. Структура";

ДСТУ ISO/IEC 19989-2:2023 (ISO/IEC 19989-2:2020, IDT) "Інформаційна безпека. Критерії та методологія оцінювання безпеки біометричних систем. Частина 2. Ефективність біометричного розпізнавання";

ДСТУ ISO/IEC 24745:2023 (ISO/IEC 24745:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Захист біометричної інформації";

ДСТУ ISO/IEC 30107-1:2023 (ISO/IEC 30107-1:2016, IDT) "Інформаційні технології. Виявлення атак на біометричне подання. Частина 1. Структура";

ДСТУ ISO/IEC 30107-2:2023 (ISO/IEC 30107-2:2017, IDT) "Інформаційні технології. Виявлення атак на біометричне подання. Частина 2. Формати даних";

ДСТУ ISO/IEC 30107-3:2023 (ISO/IEC 30107-3:2017, IDT) "Інформаційні технології. Виявлення атак на біометричне подання. Частина 3. Тестування та звітування";

ДСТУ ISO/IEC 30107-4:2023 (ISO/IEC 30107-4:2020, IDT) "Інформаційні технології. Виявлення атак на біометричне подання. Частина 4. Профіль для тестування мобільних пристроїв";

ДСТУ ISO/IEC 29146:2023 (ISO/IEC 29146:2016, IDT) "Інформаційні технології. Методи безпеки. Структура керування доступом";

ДСТУ ISO/IEC 15408-1:2023 (ISO/IEC 15408-1:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 1. Вступ та загальна модель";

ДСТУ ISO/IEC 15408-2:2023 (ISO/IEC 15408-2:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 2. Функційні компоненти безпеки";

ДСТУ ISO/IEC 15408-3:2023 (ISO/IEC 15408-3:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 3. Компоненти убезпечення";

ДСТУ ISO/IEC 15408-4:2023 (ISO/IEC 15408-4:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 4. Структура для визначення методів оцінювання та діяльності";

ДСТУ ISO/IEC 15408-5:2023 (ISO/IEC 15408-5:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Частина 5. Попередньо визначені пакети вимог до безпеки";

ДСТУ ISO/IEC 18045:2023 (ISO/IEC 18045:2022, IDT) "Інформаційні технології. Кібербезпека та захист конфіденційності. Критерії оцінювання безпеки ІТ. Методологія оцінювання безпеки ІТ";

ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги";

ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки";

ДСТУ ISO/IEC 27005:2023 (ISO/IEC 27005:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Настанова керування ризиками інформаційної безпеки";

ДСТУ ISO/IEC 27551:2023 (ISO/IEC 27551:2021, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Вимоги до автентифікації непов’язаних об’єктів на основі атрибутів".

9. Надавачі послуг електронної ідентифікації забезпечують створення та функціонування свого веб-сайта.

10. Надавачі послуг електронної ідентифікації забезпечують розміщення на своєму веб-сайті актуальної інформації про умови отримання послуг електронної ідентифікації, а також можуть вести реєстрацію користувачів засобів електронної ідентифікації.

11. Надавачі послуг електронної ідентифікації під час надання послуг електронної ідентифікації повинні забезпечувати дотримання положень, визначених статтею 11-2 Закону.

12. Засоби електронної ідентифікації, що надаються надавачами послуг електронної ідентифікації в рамках відповідних схем електронної ідентифікації, повинні відповідати рівням довіри, визначеним статтею 15 Закону.

13. Надання засобів електронної ідентифікації надавачем послуг електронної ідентифікації, не внесених до переліку схем електронної ідентифікації , забороняється.

14. Реєстрація користувачів засобів електронної ідентифікації може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції з дотриманням вимог законодавства у сферах електронної ідентифікації та захисту інформації.

15. Вимоги до працівників надавачів довірчих послуг, їх обов’язки, а також процеси та регламентні процедури, що пов’язані з генерацією та зберіганням особистих ключів надавача довірчих послуг, визначаються з дотриманням таких стандартів:

ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг";

ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги";

ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС";

ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) "Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі".

16. Кваліфікований надавач довірчих послуг для надання електронних довірчих послуг призначає розпорядчим актом керівника кваліфікованого надавача, адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, адміністратора безпеки, аудитора системи (далі - працівники надавача довірчих послуг). Кваліфікований надавач довірчих послуг має право призначити розпорядчим актом заступника керівника кваліфікованого надавача довірчих послуг, який виконує функції керівника кваліфікованого надавача довірчих послуг у разі його відсутності або за його письмовим дорученням.

17. Працівникам надавача довірчих послуг забороняється суміщення посадових обов’язків адміністратора безпеки з посадами адміністратора реєстрації, адміністратора сертифікації, системного адміністратора, аудитора системи.

18. Працівники надавача довірчих послуг повинні мати необхідні для надання електронних довірчих послуг знання, досвід і кваліфікацію.

Адміністратором сертифікації, системним адміністратором, аудитором системи може бути особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох років.

Адміністратором реєстрації може бути будь-яка фізична особа, яка має навички роботи з комп’ютерною технікою.

Адміністратором безпеки може бути особа, яка має стаж роботи у сфері захисту інформації або кібербезпеки не менше трьох років та відповідає хоча б одній з умов:

має вищу освіту за спеціальністю у сферах кібербезпеки та захисту інформації;

має вищу освіту за спеціальністю у сфері інформаційних технологій та отримала сертифікат про підвищення кваліфікації у сфері кібербезпеки та захисту інформації.

19. Організаційно-правовий статус керівника і працівників надавача довірчих послуг, їх завдання та функції, права та обов’язки, відповідальність, а також професійні знання, досвід і кваліфікація визначаються функціональними обов’язками.

Функціональні обов’язки повинні містити вимоги до рівня інформаційної безпеки.

20. Керівник і працівники надавача довірчих послуг повинні бути ознайомлені з положеннями, якими передбачені їх функціональні обов’язки, та дотримуватися завдань та функцій, визначених такими положеннями.

21. Діяльність кваліфікованих надавачів довірчих послуг здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунок у Національному банку - для банків - кваліфікованих надавачів довірчих послуг, кваліфікованого надавача довірчих послуг, створеного Національним банком) для забезпечення відшкодування шкоди, яка може бути завдана користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання кваліфікованим надавачем довірчих послуг своїх зобов’язань або страхування відповідальності для забезпечення відшкодування такої шкоди у розмірі, визначеному частиною п’ятою статті 16 Закону.

Кваліфіковані надавачі довірчих послуг повинні підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання або розмір страхової суми в актуальному стані та у разі зміни розміру мінімальної заробітної плати або в разі відшкодування збитків, завданих користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання своїх зобов’язань, відновити його протягом трьох місяців з дня настання таких змін.

22. Кваліфікований надавач довірчих послуг надає кваліфіковані електронні довірчі послуги відповідно до вимог законодавства у сфері електронних довірчих послуг, а також регламенту роботи кваліфікованого надавача довірчих послуг (далі - регламент).

23. Регламент розробляється та затверджується до початку роботи кваліфікованого надавача довірчих послуг.

24. Структура регламенту, зокрема політика сертифіката та положення сертифікаційних практик, передбачені ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг", ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги".

25. Регламент - для кваліфікованих надавачів довірчих послуг, зазначених в абзаці першому частини першої статті 9 Закону, підлягає обов’язковому погодженню з Мінцифри або із Національним банком (далі - орган погодження).

Регламент надсилається органу погодження в електронній формі з дотриманням вимог законодавства у сферах електронного документообігу, електронної ідентифікації та електронних довірчих послуг.

До Мінцифри регламент може надсилатися через програмний інтерфейс інформаційно-комунікаційної системи центрального засвідчувального органу.

До Національного банку регламент може надсилатися на адресу електронної пошти Національного банку або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку.

Строк погодження регламенту становить 30 календарних днів після його надходження.

Підставами для відмови у погодженні регламенту є:

виявлення в ньому недостовірних відомостей, неточностей, пошкоджень файла, які не дають змоги однозначно тлумачити зміст, виправлень або дописок;

невідповідність структури регламенту вимогам, зазначеним у пункті 24 цих вимог.

Процедура погодження проекту регламенту здійснюється безоплатно.

Керівник кваліфікованого надавача довірчих послуг затверджує регламент після погодження органом погодження та подає його органу погодження протягом десяти робочих днів з моменту затвердження.

Копію затвердженого регламенту орган погодження передає Адміністрації Держспецзв’язку протягом п’яти робочих днів з моменту його отримання.

26. Для погодження змін, що вносяться до регламенту, кваліфікований надавач довірчих послуг надсилає до органу погодження текст відповідних змін та порівняльну таблицю у спосіб, визначений у пункті 25 цих вимог. Порівняльна таблиця не надсилається у разі внесення змін до регламенту шляхом викладення його в новій редакції.

27. Кваліфікований надавач довірчих послуг самостійно визначає обсяг положень регламенту та інших документів, що підлягають розміщенню на його веб-сайті для ознайомлення користувачів електронних довірчих послуг з інформацією про умови отримання кваліфікованих електронних довірчих послуг.

28. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що додаються до неї, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, який має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі:

до Мінцифри - через програмний інтерфейс центрального засвідчувального органу;

до засвідчувального центру - на адресу електронної пошти Національного банку або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку.

29. Після вжиття вичерпних заходів для забезпечення ідентифікації та перевірки обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги, центральний засвідчувальний орган/засвідчувальний центр розглядає заяву про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, і за результатами їх розгляду приймає рішення в порядку та у строки, що встановлені Законом.

30. Перелік електронних довірчих послуг та кваліфікованих електронних довірчих послуг визначено частинами другою та третьою статті 16 Закону.

Кожна послуга, що входить до складу електронних довірчих послуг/кваліфікованих електронних довірчих послуг, може надаватися надавачем довірчих послуг окремо або разом.

31. Електронні довірчі послуги надаються користувачам електронних довірчих послуг з дотриманням вимог, визначених такими стандартами:

ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів провайдерами довірчих послуг, які підтримують цифрові підписи та пов’язані з ними послуги";

ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг";

ДСТУ ETSI TR 119 100:2017 (ETSI TR 119 100:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів для створення та валідації підпису".

32. Ідентифікація заявника та перевірка обсягу його цивільної правоздатності та дієздатності здійснюється відповідно до вимог статті 22 Закону та відповідно до ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), "IDT Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги, а також ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС", Порядку проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 28 червня 2024 р. № 764 "Деякі питання електронної ідентифікації та електронних довірчих послуг".

33. Реєстрація користувачів може здійснюватися через відокремлені пункти реєстрації з дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, а для кваліфікованих надавачів довірчих послуг - з дотриманням вимог регламенту.

34. Кваліфікований надавач довірчих послуг повинен забезпечити створення можливості для ознайомлення заявників з інформацією про умови отримання кваліфікованої електронної довірчої послуги.

35. На своєму веб-сайті кваліфіковані надавачі довірчих послуг повинні забезпечити публікацію такої інформації:

1) відомості про кваліфікованого надавача довірчих послуг;

2) дані про внесення відомостей про кваліфікованого надавача довірчих послуг до Довірчого списку;

3) кваліфіковані сертифікати відкритих ключів кваліфікованого надавача довірчих послуг;

4) перелік кваліфікованих електронних довірчих послуг, які надає кваліфікований надавач довірчих послуг;

5) дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;

6) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;

7) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;

8) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;

9) дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;

10) перелік актів законодавства у сфері електронних довірчих послуг.

Кваліфікований надавач довірчих послуг забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг, зокрема, шляхом розміщення відповідної інформації на веб-сайті кваліфікованого надавача довірчих послуг.

Інформація на веб-сайті кваліфікованого надавача довірчих послуг повинна бути доступною для осіб з інвалідністю.

36. Кваліфікований надавач довірчих послуг забезпечує вільний доступ до своїх приміщень, в яких здійснюється обслуговування користувачів, у тому числі шляхом створення належних умов для доступу до приміщень маломобільних груп населення.

Інформація про умови доступності таких приміщень для осіб з інвалідністю розміщується у місці, доступному для сприйняття користувачів.

37. Кваліфікований надавач довірчих послуг зобов’язаний щороку до 15 січня подавати до Адміністрації Держспецзв’язку звіт про діяльність за попередній рік, що містить відомості про:

1) кількість укладених договорів про надання електронних довірчих послуг (окремо з фізичними та юридичними особами);

2) кількість сформованих та скасованих кваліфікованих сертифікатів відкритих ключів за звітний період із зазначенням причин скасування (у разі коли кваліфікований надавач довірчих послуг забезпечує надання кваліфікованих електронних довірчих послуг, які передбачають обслуговування кваліфікованих сертифікатів відкритих ключів);

3) факти відшкодування шкоди користувачам електронних довірчих послуг та/або третім особам внаслідок неналежного виконання надавачем довірчих послуг своїх зобов’язань (у разі наявності);

4) факти участі кваліфікованого надавача довірчих послуг як позивача, відповідача або третьої сторони у судових справах з питань надання електронних довірчих послуг, предмет розгляду та прийняте рішення (у разі наявності);

5) факти порушення кваліфікованим надавачем довірчих послуг вимог законодавства у сфері захисту інформації під час надання електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень.

38. Центральний засвідчувальний орган/засвідчувальний центр надає кваліфіковані електронні довірчі послуги кваліфікованим надавачам довірчих послуг відповідно до регламенту роботи центрального засвідчувального органу/Регламенту роботи засвідчувального центру, цих вимог та з урахуванням положень, передбачених Законом.

39. Центральний засвідчувальний орган оприлюднює рішення про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про його прийняття представникові юридичної особи або фізичній особі - підприємцю, що має намір надавати кваліфіковані електронні довірчі послуги, з використанням засобів поштового зв’язку або в електронній формі через програмний інтерфейс центрального засвідчувального органу протягом трьох робочих днів з дня його прийняття.

Засвідчувальний центр оприлюднює інформацію про прийняте рішення щодо внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про прийняте рішення юридичну особу або фізичну особу - підприємця шляхом надсилання листа на адресу електронної пошти, зазначену у заяві про внесення до Довірчого списку, або через систему електронної взаємодії органів виконавчої влади або систему електронної пошти Національного банку протягом трьох робочих днів з дня його прийняття.

40. Кваліфікований надавач довірчих послуг у разі виникнення передбачених Законом підстав для внесення змін до Довірчого списку зобов’язаний протягом п’яти робочих днів із дня настання таких підстав подати органу, який приймав рішення про внесення відомостей про нього до Довірчого списку:

1) заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни;

2) документи для формування кваліфікованих сертифікатів ключів кваліфікованого надавача довірчих послуг (окремо для кожної кваліфікованої електронної довірчої послуги) відповідно до вимог регламенту органу, який приймав рішення про внесення відомостей про нього до Довірчого списку, якщо зміни відомостей, що містяться в Довірчому списку про такого кваліфікованого надавача довірчих послуг, пов’язані з формуванням нових сертифікатів ключів кваліфікованого надавача довірчих послуг.

41. Кваліфікований надавач довірчих послуг припиняє діяльність з надання кваліфікованих електронних довірчих послуг з підстав та в порядку, що визначені статтею 31 Закону.

42. Кваліфікований надавач довірчих послуг, що припиняє діяльність з надання кваліфікованих електронних довірчих послуг, передає обслуговування користувачів електронних довірчих послуг, з якими він уклав договори про надання кваліфікованих електронних довірчих послуг, а також документовану інформацію про таких користувачів до іншого кваліфікованого надавача довірчих послуг в порядку, визначеному відповідно до частини шостої статті 31 Закону.

43. Кваліфіковані сертифікати відкритих ключів, що формуються кваліфікованими надавачами довірчих послуг, центральним засвідчувальним органом, засвідчувальним центром під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою - п’ятою статті 23 Закону, а також здійснюватися з дотриманням стандартів, визначених пунктом 5 цих вимог, та ДСТУ ETSI EN 319 412-5:2022 (ETSI EN 319 412-5 V2.3.1 (2020-04), IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 5. Розширення сертифікатів QCStatements".

44. Кваліфікований надавач довірчих послуг, центральний засвідчувальний орган, засвідчувальний центр, який видав кваліфікований сертифікат відкритого ключа, забезпечує доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа через комунікаційні мережі загального користування.

45. Час, що використовується надавачем довірчих послуг в інформаційно-комунікаційній системі надавача довірчих послуг у процесі надання електронних довірчих послуг та в журналах аудиту подій в електронній формі, повинен бути синхронізований із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA) з точністю до секунди.

Для кваліфікованих надавачів довірчих послуг, відомості про яких вносяться до Довірчого списку за рішенням центрального засвідчувального органу, послуги з постачання передачі сигналів точного часу, синхронізованого із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA), надаються центральним засвідчувальним органом.

Вимоги до синхронізації часу у програмно-технічних комплексах кваліфікованих надавачів довірчих послуг, зазначених в абзаці першому частини першої статті 9 Закону, встановлюються Національним банком.

46. Механізм синхронізації часу із Всесвітнім координованим часом (UTC) у програмно-технічному комплексі надавача довірчих послуг та склад технічного обладнання, що застосовується у процесі синхронізації часу (його загальний опис), встановлюється Порядком синхронізації часу із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA), що розробляється надавачем довірчих послуг.

Порядок синхронізації часу із Всесвітнім координованим часом (UTC) з використанням національної шкали часу UTC (UA) кваліфікованого надавача довірчих послуг, відомості про якого вносяться до Довірчого списку за рішенням центрального засвідчувального органу, погоджується з Мінцифри.

47. Кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису чи печаток включає вчинення дій, передбачених частиною першою статті 18 Закону, а також здійснюється з дотриманням таких стандартів:

ДСТУ ETSI TR 119 000:2017 (ETSI TR 119 000:2016, IDT) "Електронні підписи та інфраструктури (ESI). Модель стандартизації підписів. Огляд";

ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) "Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів";

ДСТУ ETSI TS 119 172-1:2016 (ETSI TS 119 172-1:2015, IDT) "Електронні підписи та інфраструктури (ESI). Політики підпису. Частина 1. Складники та зміст документів щодо політик підпису, придатних для читання людиною";

ДСТУ ETSI TS 119 172-2:2021 (ETSI TS 119 172-2 V1.1.1 (2019-12), IDT) "Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 2. Формат XML для політики підписування";

ДСТУ ETSI TS 119 172-4:2021 (ETSI TS 119 172-4 V1.1.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 4. Правила застосування підписів (політика перевірки) для європейських кваліфікованих електронних підписів/печаток із використанням довірчих списків";

ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) "Електронні підписи та інфраструктури (ESI). Криптографічні пакети".

48. Під час надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованих електронних підписів чи печаток кваліфікованим надавачем довірчих послуг забезпечується:

1) використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;

2) захист обміну інформацією між підписувачем або створювачем електронної печатки та кваліфікованим надавачем довірчих послуг засобами електронних комунікаційних мереж загального користування;

3) створення умов для генерації пари ключів підписувача або створювача електронної печатки;

4) допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;

5) унікальність пари ключів підписувача або створювача електронної печатки;

6) зберігання особистого ключа підписувача або створювача електронної печатки у засобі кваліфікованого електронного підпису чи печатки;

7) захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.

49. У разі коли пара ключів була згенерована заявником поза приміщенням надавача довірчих послуг та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється кваліфікованим надавачем довірчих послуг після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа.

Перевірка факту володіння заявником особистим ключем здійснюється без розкриття його особистого ключа.

50. Генерацію та/або управління парою ключів від імені підписувача або створювача електронної печатки може здійснювати виключно кваліфікований надавач довірчих послуг.

51. Кваліфікований надавач довірчих послуг, який здійснює управління парою ключів підписувача або створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача або створювача електронної печатки з метою його зберігання за умови дотримання таких вимог:

1) рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;

2) кількість резервних копій не повинна перевищувати мінімального значення, необхідного для забезпечення безперервності послуги.

52. Кваліфікований електронний підпис чи печатка повинні відповідати таким вимогам:

1) бути однозначно пов’язаним (пов’язаною) з підписувачем або створювачем електронної печатки;

2) надавати можливість здійснити електронну ідентифікацію підписувача або створювача електронної печатки;

3) створюватися з використанням засобу кваліфікованого електронного підпису чи печатки;

4) базуватися на кваліфікованому сертифікаті відкритого ключа;

5) бути пов’язаним (пов’язаною) з електронними даними, на які накладено кваліфікований електронний підпис чи печатку, таким чином, щоб будь-яка наступна зміна таких даних могла бути виявлена.

53. Перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.

54. У процесі перевірки кваліфікованого електронного підпису чи печатки підтвердження таких підпису чи печатки здійснюється за умови дотримання вимог, визначених у частині другій статті 18 Закону та у пункті 52 цих вимог, на момент накладення підпису чи печатки на пов’язані електронні дані.

55. Надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга:

1) надається виключно кваліфікованим надавачем довірчих послуг;

2) відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток, визначеним у пункті 54 цих вимог;

3) дає змогу отримувати результати перевірки із застосуванням щонайменше удосконаленого електронного підпису чи печатки надавача довірчих послуг автоматизованим способом, який є надійним, ефективним та захищеним.

56. Державний нагляд (контроль) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг здійснює контролюючий орган.

Функції контролюючого органу виконує Держспецзв’язку.

Контролюючий орган здійснює виїзні та невиїзні заходи державного нагляду (контролю).

Контролюючий орган може подати запит до органу з оцінки відповідності про надання аудиторського звіту щодо проведення процедури оцінки відповідності відповідно до вимог статті 32 Закону.

57. Контролюючий орган здійснює позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг у випадках, визначених частиною третьою статті 33-1 Закону.

У разі отримання негативних результатів оцінки відповідності та/або наданих органом з оцінки відповідності рекомендацій контролюючий орган вживає заходів, передбачених частиною першою статті 33-1 Закону.

58. Невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сферах електронної ідентифікації та/або електронних довірчих послуг контролюючий орган здійснює відповідно до статті 34-1 Закону.

59. Предметом перевірки надавача довірчих послуг, надавача послуг електронної ідентифікації, центрального засвідчувального органу або засвідчувального центру є стан дотримання ними вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.

Організація проведення перевірки контролюючим органом та оформлення її результатів здійснюються відповідно до статей 34-2-34-7 Закону.

60. Контролюючий орган за результатами проведення перевірок надавачів довірчих послуг, надавачів послуг електронної ідентифікації, засвідчувального центру, центрального засвідчувального органу вживає заходів реагування, передбачених статтями 33-2, 34-8 -34-10 Закону.

61. Контролюючий орган на підставах і в порядку, встановлених законами та міжнародними договорами України, співпрацює у межах своїх повноважень з уповноваженими органами іноземних держав, надає їм допомогу та звертається до них за отриманням допомоги з питань нагляду і контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг.

62. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає вчинення дій, передбачених частиною першою статті 20 Закону, а також здійснюється з дотриманням таких стандартів:

ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги";

ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС".

63. Формування кваліфікованого сертифіката електронного підпису чи печатки заявника може здійснюватися кваліфікованим надавачем довірчих послуг на основі ідентифікаційних даних особи, отриманих з використанням відомостей інформаційних ресурсів єдиної інформаційної системи МВС (відомостей, що містяться в Єдиному державному демографічному реєстрі, та відомостей щодо викрадених (втрачених) документів за зверненнями громадян), Державного реєстру фізичних осіб - платників податків, Державного реєстру актів цивільного стану громадян, Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також інформації з інших публічних електронних реєстрів відповідно до Закону України "Про публічні електронні реєстри", отриманих у процесі електронної взаємодії за допомогою інтегрованої системи електронної ідентифікації відповідно до частини першої статті 13 Закону.

64. У разі зміни відомостей, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, користувач електронних довірчих послуг протягом трьох робочих днів з дня настання таких змін повідомляє про це кваліфікованого надавача довірчих послуг.

На підставі наданих користувачем електронних довірчих послуг документів, що підтверджують зміни відомостей, які містяться у кваліфікованому сертифікаті електронного підпису чи печатки, кваліфікований надавач довірчих послуг здійснює повторне формування такого сертифіката та його публікацію в разі згоди користувача електронних довірчих послуг.

Повторне формування кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг не продовжує строк його дії.

65. Сформований кваліфікований сертифікат електронного підпису чи печатки користувача електронних довірчих послуг скасовується або блокується кваліфікованим надавачем довірчих послуг у разі наявності підстав, передбачених статтею 25 Закону.

Під час опрацювання заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки кваліфікованим надавачем довірчих послуг здійснюється ідентифікація та перевірка обсягу цивільної правоздатності і дієздатності користувача електронних довірчих послуг з дотриманням вимог щодо підтвердження особи, встановлених регламентом.

66. Кваліфікований сертифікат електронного підпису чи печатки користувача електронних довірчих послуг вважається скасованим або заблокованим з моменту зміни надавачем довірчих послуг статусу кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг на "скасований" або "заблокований".

67. Користувач електронних довірчих послуг, статус кваліфікованого сертифіката електронного підпису чи печатки якого було змінено на "скасований" або "заблокований", повинен невідкладно бути поінформований про таку зміну.

68. Скасований кваліфікований сертифікат електронного підпису чи печатки поновленню не підлягає.

69. Відомості про кваліфіковані сертифікати електронного підпису чи печатки, сформовані кваліфікованим надавачем довірчих послуг, їх статус та списки відкликаних сертифікатів відкритих ключів містяться у реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів.

70. Поширення інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів електронних довірчих послуг здійснюється шляхом публікації повного та часткового списків відкликаних сертифікатів відкритих ключів на веб-сайті кваліфікованого надавача довірчих послуг та забезпечення створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача електронних довірчих послуг у режимі реального часу через електронні комунікаційні мережі загального користування.

Список відкликаних сертифікатів відкритих ключів надавача довірчих послуг повинен відповідати таким вимогам:

у кожному списку відкликаних сертифікатів відкритих ключів зазначається строк його дії до формування нового списку, якщо інше не передбачено регламентом;

новий список відкликаних сертифікатів відкритих ключів може бути опубліковано до закінчення строку його дії та формування наступного списку;

на список відкликаних сертифікатів відкритих ключів повинен бути накладений кваліфікований електронний підпис чи печатка кваліфікованого надавача довірчих послуг.

71. Управління зміни статусу кваліфікованого сертифіката електронного підпису чи печатки та поширення відповідної інформації повинні бути доступні для користувача електронних довірчих послуг цілодобово.

72. Заява про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки фіксується та зберігається кваліфікованим надавачем довірчих послуг протягом строку, визначеного законодавством у сфері архівної справи для зберігання документованої інформації.

73. Кваліфікований надавач довірчих послуг повинен забезпечити цілісність та походження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки.

74. Формування кваліфікованого сертифіката електронного підпису чи печатки здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.

75. Кваліфіковані надавачі довірчих послуг отримують кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від центрального засвідчувального органу.

Кваліфіковані надавачі довірчих послуг, що вносяться до Довірчого списку за поданням засвідчувального центру, отримують кваліфіковану електронну довірчу послугу формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від засвідчувального центру.

76. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки здійснюється у порядку, визначеному пунктами 56 - 61 цих вимог.

77. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта включає вчинення дій, передбачених частиною першою статті 21 Закону, з дотриманням вимог, визначених такими стандартами:

ДСТУ ETSI EN 319 411-1:2022 (ETSI EN 319 411-1 V1.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 1. Загальні вимоги";

ДСТУ ETSI EN 319 411-2:2022 (ETSI EN 319 411-2 V2.4.1 (2021-11), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для надавачів довірчих послуг, які видають сертифікати. Частина 2. Вимоги для надавачів довірчих послуг, які видають кваліфіковані сертифікати ЄС";

ДСТУ ETSI EN 319 412-4:2022 (ETSI EN 319 412-4 V1.2.1 (2021-11), IDT) "Електронні підписи та інфраструктури (ESI). Профілі сертифікатів. Частина 4. Профіль сертифіката для сертифікатів вебсайтів".

78. Формування кваліфікованого сертифіката автентифікації веб-сайта здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.

79. Кваліфікований сертифікат автентифікації веб-сайта забезпечує:

1) автентифікацію власника веб-сайта - користувача кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта (далі - власник веб-сайта);

2) гарантування:

шифрування інформації, обмін якою здійснюється через Інтернет учасником онлайн-операції та веб-сайтом;

належного рівня довіри до власника веб-сайта щодо захисту від шахрайства в Інтернеті;

захисту особистої інформації та персональних даних учасника онлайн-операції під час проведення такої операції.

80. Перевірка кваліфікованого сертифіката автентифікації веб-сайта може проводитися будь-якою особою з метою отримання інформації про власника веб-сайта та чинності кваліфікованого сертифіката автентифікації веб-сайта.

81. Під час перевірки кваліфікованого сертифіката автентифікації веб-сайта особа, що проводить перевірку:

1) отримує з кваліфікованого сертифіката автентифікації веб-сайта інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити власника веб-сайта та кваліфікованого надавача довірчих послуг;

2) перевіряє кваліфікований електронний підпис чи печатку, накладені на кваліфікований сертифікат автентифікації веб-сайта, за допомогою кваліфікованого сертифіката відкритого ключа надавача довірчих послуг, чинного на момент формування кваліфікованого сертифіката автентифікації веб-сайта.

82. Кваліфікований сертифікат автентифікації веб-сайта вважається чинним у разі відповідності вимогам, установленим частиною першою статті 24 Закону.

83. Кваліфіковані надавачі довірчих послуг отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта від центрального засвідчувального органу.

84. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайта проводиться у порядку, визначеному пунктами 56-61 цих вимог.

85. Кваліфіковані надавачі довірчих послуг можуть формувати та видавати кваліфіковані сертифікати відкритого ключа іншого призначення, ніж для автентифікації веб-сайта, створення електронного підпису та електронної печатки.

86. У запиті на формування кваліфікованих сертифікатів відкритого ключа іншого призначення користувач електронних довірчих послуг зазначає призначення такого ключа.

87. Процедура формування, блокування та скасування кваліфікованих сертифікатів відкритого ключа іншого призначення така сама, як і для сертифікатів електронного підпису та електронної печатки.

88. Кваліфікована електронна довірча послуга формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає вчинення дій, передбачених частиною першою статті 26 Закону, з дотриманням вимог, визначених такими стандартами:

ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг";

ДСТУ ETSI EN 319 421:2016 (ETSI EN 319 421:2016, IDT) "Електронні підписи й інфраструктури (ESI). Політика та вимоги безпеки щодо провайдерів трастових послуг, які видають часові штемпелі";

ДСТУ ETSI EN 319 422:2016 (ETSI EN 319 422:2016, IDT) "Електронні підписи та інфраструктури. Протокол мітки часу та профілі токенів мітки часу".

89. Перевірка кваліфікованої електронної позначки часу може проводитися будь-якою особою з метою отримання інформації про чинність кваліфікованої електронної позначки часу.

90. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження кваліфікованої електронної позначки часу проводиться у порядку, визначеному пунктами 56 - 61 цих вимог.

91. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна відповідати вимогам, передбаченим частиною першою статті 27 Закону, та вимогам, визначеним такими стандартами:

ДСТУ ETSI EN 319 521:2019 (ETSI EN 319 521 V1.1.1 (2019-02), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для зареєстрованих постачальників послуг електронної пошти";

ДСТУ ETSI EN 319 522-1:2018 (ETSI EN 319 522-1:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 1. Модель та архітектура";

ДСТУ ETSI EN 319 522-2:2018 (ETSI EN 319 522-2:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 2. Семантика вмісту";

ДСТУ ETSI EN 319 522-3:2018 (ETSI EN 319 522-3:2018, IDT) "Електронні підписи та інфраструктури (ESI). Служби реєстрованого електронного доставляння. Частина 3. Формати".

92. Кваліфікована електронна довірча послуга реєстрованої електронної доставки повинна включати такі дії:

1) відправку електронних даних із забезпеченням доказів відправлення;

2) отримання електронних даних із забезпеченням доказів отримання.

93. Реєстрована електронна доставка здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг (відправника та/або отримувача електронних даних).

94. Перевірка електронних даних, що передаються у процесі реєстрованої електронної доставки, проводиться отримувачем електронних даних.

95. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги реєстрованої електронної доставки здійснюється у порядку, визначеному пунктами 56 - 61 цих Вимог.

96. Кваліфікована електронна довірча послуга зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, повинна надаватися з дотриманням положень статті 28 Закону та стандартів ДСТУ ETSI TS 119 511:2019 (ETSI TS 119 511 V1.1.1 (2019-06), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг, що забезпечують тривале збереження цифрових підписів чи загальних даних, використовуючи методи цифрового підпису" та ДСТУ ETSI TS 119 512:2021 (ETSI TS 119 512 V1.1.2 (2020-10), IDT) "Електронні підписи та інфраструктури (ESI). Протоколи для постачальників довірчих послуг, що надають послуги довгострокового зберігання даних".

97. Зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів здійснюється кваліфікованим надавачем довірчих послуг на запит користувача електронних довірчих послуг.

98. Під час надання кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів забезпечується:

1) цілісність усіх збережених об’єктів даних;

2) протоколювання подій щодо зміни, видалення або додавання об’єктів даних;

3) покладення відповідальності за їх зберігання на одного чи кількох працівників надавача довірчих послуг;

4) проведення перевірок дотримання зазначених вимог.

99. Перевірка дотримання вимог до надання кваліфікованої електронної довірчої послуги зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та сертифікатів, пов’язаних з такими послугами, здійснюється у порядку, визначеному пунктами 56-61 цих вимог.

100. Кваліфіковані надавачі довірчих послуг зобов’язані поінформувати контролюючий орган та центральний засвідчувальний орган або засвідчувальний центр, зокрема, але не виключно у зв’язку із введенням надзвичайного стану, воєнного стану чи виникненням іншої надзвичайної ситуації, протягом 48 годин з моменту настання таких обставин про:

1) припинення надання однієї чи декількох кваліфікованих електронних довірчих послуг, відомості про які внесені до Довірчого списку;

2) зміни у складі інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг, які відбулися з порушенням вимог документа про відповідність надавача довірчих послуг, отриманого за результатами проходження процедури оцінки відповідності у сфері електронних довірчих послуг;

3) отримання атестата відповідності комплексної системи захисту інформації інформаційно-комунікаційної системи, що діє протягом визначеного в ньому строку дії, але не більше п’яти років з дня набрання чинності Законом;

4) проходження додаткової державної експертизи комплексної системи захисту інформації та отриманий атестат відповідності, що діє протягом визначеного в ньому строку дії, але не більше п’яти років з дня набрання чинності Законом, або про процедуру оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг в разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача довірчих послуг;

5) зміну способів ідентифікації особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа;

6) зміну процедури формування, блокування, скасування, поновлення кваліфікованих сертифікатів відкритих ключів користувачів електронних довірчих послуг;

7) зміну процедури надання інформації про статус кваліфікованих сертифікатів відкритих ключів користувачів електронних довірчих послуг;

8) зміну умов використання засобів кваліфікованого електронного підпису чи печатки;

9) укладення договору страхування відповідальності або поповнення/списання коштів на поточному рахунку із спеціальним режимом використання в банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів, або рахунку в Національному банку - для банків - кваліфікованих надавачів довірчих послуг, кваліфікованого надавача довірчих послуг, створеного Національним банком) для забезпечення відшкодування збитків, які можуть бути заподіяні кваліфікованим надавачем довірчих послуг користувачам електронних довірчих послуг внаслідок неналежного виконання своїх обов’язків.

101. Інформування контролюючого органу та центрального засвідчувального органу або засвідчувального центру про настання змін у діяльності кваліфікованого надавача довірчих послуг здійснюється в паперовій або в електронній формі.