Відповідно до статті 9 Закону України "Про електронний цифровий підпис" Кабінет Міністрів України

1. Затвердити Порядок акредитації центру сертифікації ключів, що додається.

2. Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки розробити та затвердити у шестимісячний строк вимоги до обслуговування та використання посилених сертифікатів відкритих ключів.

1. Цей Порядок визначає процедуру акредитації центру сертифікації ключів (далі - центр), умови надання центром послуг електронного цифрового підпису, вимоги до його персоналу та захисту інформації.

2. Терміни, які вживаються у цьому Порядку, мають таке значення:

контролюючий орган - Адміністрація Держспецзв'язку;

програмно-технічний комплекс - апаратні, апаратно-програмні та програмні засоби акредитованого центру, що забезпечують виконання функцій, пов'язаних з наданням послуг електронного цифрового підпису;

спеціальне приміщення - приміщення, яке відповідає вимогам технічного захисту інформації;

правила посиленої сертифікації - затверджені в установленому порядку вимоги до обслуговування та використання посилених сертифікатів відкритих ключів (далі - сертифікати);

регламент роботи акредитованого центру - нормативний документ, що визначає організаційні, технічні та інші умови діяльності акредитованого центру під час надання послуг електронного цифрового підпису;

список відкликаних сертифікатів - перелік блокованих та скасованих сертифікатів, що формується та розповсюджується акредитованим центром;

статус сертифіката - стан посиленого сертифіката ключа (чинний, блокований, скасований) на конкретний момент.

Інші терміни застосовуються у значенні, наведеному у Законах України "Про електронний цифровий підпис", "Про телекомунікації", інших нормативно-правових актах з питань інформатизації та захисту інформації.

3. Акредитація центру здійснюється на добровільних засадах.

4. Інформація про акредитацію центру сертифікації ключів та припинення його діяльності оприлюднюється центральним засвідчувальним органом на власному веб-сайті.

5. До проведення акредитації центр вносить на спеціальний рахунок, відкритий у банківській установі, кошти у розмірі стократної мінімальної заробітної плати для забезпечення відшкодування збитків, які можуть бути завдані підписувачам, користувачам або третім особам внаслідок неналежного виконання акредитованим центром своїх зобов'язань.

Наявність спеціального рахунка не обов'язкова для акредитованого центру, який надає пов'язані з електронним цифровим підписом послуги виключно органам державної влади.

6. Для проведення акредитації центр, що засвідчив свій відкритий ключ у центральному засвідчувальному органі та вніс кошти на спеціальний рахунок, подає до нього заяву разом із документами, перелік яких наведено у додатку 1.

У заяві зазначаються:

повне найменування юридичної особи, посада, прізвище, ім'я та по батькові її керівника (прізвище, ім'я та по батькові фізичної особи - суб'єкта підприємницької діяльності, серія і номер паспорта, ким і коли виданий);

організаційно-правова форма;

код згідно з ЄДРПОУ (реєстраційний номер облікової картки платника податків (ідентифікаційний номер);

номер поточного рахунка та найменування банківської установи;

місцезнаходження (місце проживання);

номери телефонів;

електронна адреса електронного інформаційного ресурсу;

відомості про реєстрацію відкритого ключа в центральному засвідчувальному органі.

7. На підставі заяви та доданих до неї документів центральний засвідчувальний орган у строк не більше ніж 45 днів від дати подання заяви приймає рішення про акредитацію центру або про відмову в акредитації.

У разі необхідності центральний засвідчувальний орган здійснює перевірку центру на відповідність вимогам цього Порядку.

8. Центр вважається акредитованим від дня внесення до Реєстру суб'єктів, які надають послуги, пов'язані з електронним цифровим підписом (далі - Реєстр), що ведеться центральним засвідчувальним органом, основних даних (реквізитів) акредитованого центру, зазначених у пункті 6 цього Порядку, відомостей про дату прийняття та номер рішення про акредитацію, серію та номер свідоцтва, а також строк дії свідоцтва.

9. У разі прийняття центральним засвідчувальним органом рішення про акредитацію, центрові видається свідоцтво про акредитацію (далі - свідоцтво) за зразком, наведеним у додатку 2.

Копії рішення про акредитацію та свідоцтва надсилаються до контролюючого органу.

10. Свідоцтво видається уповноваженому представнику центру протягом п'яти робочих днів від дати внесення відповідного запису до Реєстру.

11. У разі зміни відомостей, які внесені до Реєстру, акредитований центр у триденний строк повідомляє про це центральний засвідчувальний орган.

12. У разі пошкодження або втрати свідоцтва центрові видається протягом десяти днів від дати подання відповідної заяви його дублікат.

Відомості про видачу дубліката вносяться до Реєстру.

13. Акредитований центр проходить повторну акредитацію у разі:

зміни основних даних (реквізитів), які зазначаються у свідоцтві;

закінчення строку дії свідоцтва;

закінчення строку дії атестата відповідності комплексної системи захисту інформації чи втрати чинності таким атестатом або модернізації програмно-технічного комплексу акредитованого центру;

закінчення строку дії сертифіката відповідності або позитивного експертного висновку за результатами державної експертизи у сфері криптографічного захисту інформації;

повідомлення контролюючим органом щодо порушення порядку проведення акредитації.

Повторна акредитація здійснюється згідно з пунктами 5-10 цього Порядку.

14. Рішення про скасування акредитації центральний засвідчувальний орган приймає у разі:

повідомлення контролюючим органом про порушення акредитованим центром законодавства;

неукладення протягом року жодного договору про надання послуг електронного цифрового підпису;

непоповнення спеціального рахунка для забезпечення відшкодування збитків;

невиконання акредитованим центром встановлених вимог щодо надання послуг електронного цифрового підпису згідно із законодавством;

прийняття акредитованим центром рішення про припинення діяльності.

Про прийняте рішення центральний засвідчувальний орган в одноденний строк повідомляє акредитованому центру, а також розміщує відповідну інформацію на власному веб-сайті.

15. У разі прийняття рішення про скасування акредитації свідоцтво анулюється.

16. Відомості про скасування акредитації та анулювання свідоцтва центральний засвідчувальний орган вносить до Реєстру після передачі акредитованим центром документованої інформації на зберігання центральному засвідчувальному органу і повідомляє про це акредитований центр та контролюючий орган із зазначенням підстав скасування акредитації.

17. Центр, якому було відмовлено в акредитації у зв'язку з поданням недостовірної інформації або акредитацію якого було скасовано, не може бути акредитований протягом року від дати прийняття рішення про відмову в акредитації або про скасування акредитації.

18. Рішення про відмову в акредитації або скасування акредитації може бути оскаржено в судовому порядку.

19. За проведення акредитації справляється плата у розмірі, встановленому Кабінетом Міністрів України.

20. Акредитований центр:

забезпечує виконання вимог щодо надання послуг електронного цифрового підпису згідно із законом;

інформує підписувача про обмеження використання електронного цифрового підпису та порядок відшкодування збитків;

виконує приписи контролюючого органу;

надає допомогу підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживає заходів щодо забезпечення безпеки інформації під час генерації;

забезпечує розташування засобів програмно-технічного комплексу, за допомогою яких здійснюється надання послуг сертифікації та відкликання, в спеціальних приміщеннях та їх охорону;

забезпечує збереження програмно-технічного комплексу, іншого майна та запобігання безконтрольному проникненню в приміщення акредитованого центру сторонніх осіб;

використовує надійні засоби електронного цифрового підпису, програмно-технічний комплекс, засоби криптографічного захисту інформації відповідно до вимог Адміністрації Державної служби спеціального зв'язку та захисту інформації і Мін'юсту.