Відповідно до статей 13, 18-23, 26-28, 33 Закону України "Про електронні довірчі послуги" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

вимоги у сфері електронних довірчих послуг;

Порядок перевірки дотримання вимог законодавства у сфері електронних довірчих послуг.

2. Установити, що для надання кваліфікованих електронних довірчих послуг можуть використовуватись надійні засоби електронного цифрового підпису, які отримали позитивні експертні висновки за результатами державної експертизи у сфері криптографічного захисту інформації, видані до набрання чинності Законом України "Про електронні довірчі послуги", до закінчення строку дії експертних висновків.

3. Визнати такими, що втратили чинність, постанови Кабінету Міністрів України згідно з переліком, що додається.

4. Ця постанова набирає чинності з дня її опублікування, крім пунктів 68-72 переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який додається до затверджених цією постановою вимог у сфері електронних довірчих послуг. Зазначені пункти набирають чинності з 1 січня 2019 року.

1. Ці вимоги визначають організаційно-методологічні, технічні та технологічні умови, яких повинен дотримуватися кваліфікований надавач електронних довірчих послуг (далі - надавач), його відокремлені пункти реєстрації під час надання кваліфікованих електронних довірчих послуг їх користувачам.

2. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги відповідно до цих вимог з урахуванням особливостей, передбачених Законом України "Про електронні довірчі послуги".

3. Дія цих вимог не поширюється на надання кваліфікованих електронних довірчих послуг у банківській системі України та під час здійснення переказу коштів.

4. У цих вимогах терміни вживаються в такому значенні:

багатофакторна автентифікація - автентифікація з використанням двох або більше факторів автентифікації, що належать до різних груп таких факторів;

власник веб-сайту - користувач кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;

геш-значення - фіксовані за обсягом електронні дані, утворені шляхом перетворення електронних даних із застосуванням криптографічного алгоритму;

гешування - перетворення електронних даних будь-якого обсягу в електронні дані фіксованого обсягу шляхом застосування криптографічного алгоритму;

заявник - фізична особа, у тому числі іноземець, фізична особа - підприємець, уповноважений представник юридичної особи, фізичної особи - підприємця, іноземної юридичної особи, що звернулися до надавача для отримання кваліфікованих електронних довірчих послуг;

інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем надавача або центрального засвідчувального органу, які у процесі обробки інформації діють як єдине ціле та об’єднують програмно-технічний комплекс, що використовується під час надання кваліфікованих електронних довірчих послуг (далі - програмно-технічний комплекс), фізичне середовище, інформацію, що обробляється в зазначених системах, а також найманих працівників надавача або центрального засвідчувального органу, які безпосередньо задіяні у наданні кваліфікованих електронних довірчих послуг або обслуговують програмно-технічний комплекс (далі - наймані працівники);

кваліфікована електронна довірча послуга - електронна довірча послуга, надання якої забезпечує надавач або центральний засвідчувальний орган, зокрема за допомогою засобу кваліфікованого електронного підпису чи печатки, та яка базується на кваліфікованому сертифікаті відкритого ключа;

користувач - особа, яка на підставі договору або іншого документа отримує у надавача кваліфіковану електронну довірчу послугу;

об’єктний ідентифікатор - унікальний буквено-числовий чи числовий ідентифікатор, зареєстрований у відповідному стандарті Міжнародної організації із стандартизації для конкретних об’єктів або для певного класу об’єктів;

онлайн-операція - будь-яка дія, технологічна схема якої передбачає наявність безперервного електронного комунікаційного з’єднання в режимі реального часу під час її проведення;

орган з оцінки відповідності - підприємство, установа, організація чи їх підрозділи, які провадять діяльність з оцінки відповідності, акредитовані відповідно до законодавства у сфері акредитації, а також іноземний орган з оцінки відповідності, акредитований відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA);

підтвердження електронної ідентифікації - процес перевірки та підтвердження належності ідентифікаційних даних фізичній особі, у тому числі іноземцю, фізичній особі - підприємцю, уповноваженому представнику юридичної особи, фізичної особи - підприємця, іноземної юридичної особи;

політика сертифіката - перелік усіх правил, що застосовуються надавачем у процесі надання кваліфікованих електронних довірчих послуг з обслуговування кваліфікованих сертифікатів відкритих ключів, включаючи положення цих вимог;

положення сертифікаційних практик - перелік усіх практичних дій та процедур, які застосовуються для реалізації політики сертифіката надавача;

публікація кваліфікованого сертифіката відкритого ключа - надання кваліфікованого сертифіката відкритого ключа користувачеві та у разі його згоди іншим особам шляхом розміщення його на офіційному веб-сайті надавача;

регламент роботи - документ надавача або центрального засвідчувального органу, що визначає організаційно-методологічні, технічні та технологічні умови діяльності надавача або центрального засвідчувального органу під час надання кваліфікованих електронних довірчих послуг, включаючи політику сертифіката та положення сертифікаційних практик;

розповсюдження інформації про статус кваліфікованого сертифіката відкритого ключа - надання вільного доступу до інформації про статус кваліфікованого сертифіката відкритого ключа;

список відкликаних сертифікатів - сформований та опублікований надавачем перелік кваліфікованих сертифікатів відкритих ключів, статус яких змінено на блокований, поновлений або скасований;

статус кваліфікованого сертифіката відкритого ключа - стан кваліфікованого сертифіката відкритого ключа (чинний, блокований, скасований) на певний момент часу;

управління статусом сертифіката - зміна статусу кваліфікованого сертифіката відкритого ключа надавачем;

фактор автентифікації - одна з умов, що передбачає володіння інформацією (даними), що відома лише користувачу, або володіння матеріальним предметом, який належить лише користувачу, інші властивості, у тому числі біометричні дані, притаманні лише користувачу, що відрізняють його від інших користувачів.

5. Інші терміни вживаються у значенні, наведеному в Законах України "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України".

6. Найманими працівниками надавача, посадові обов’язки яких безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг, є:

1) адміністратор реєстрації;

2) адміністратор сертифікації;

3) адміністратор безпеки та аудиту;

4) системний адміністратор.

Забороняється суміщення посадових обов’язків адміністратора безпеки та аудиту з іншими посадовими обов’язками, безпосередньо пов’язаними з наданням кваліфікованих електронних довірчих послуг.

7. Наймані працівники надавача повинні мати необхідні для надання кваліфікованих електронних довірчих послуг знання, досвід і кваліфікацію.

Адміністратором сертифікації, адміністратором безпеки та аудиту, системним адміністратором може бути особа, яка має вищу освіту за спеціальністю у сферах інформаційних технологій, захисту інформації або кібербезпеки, а також стаж роботи за фахом у зазначених сферах не менше трьох років.

8. Організаційно-правовий статус керівника і найманих працівників надавача, їх завдання та функції, права та обов’язки, відповідальність, а також професійні знання, досвід і кваліфікація визначаються у посадових інструкціях.

Посадові інструкції повинні містити вимоги інформаційної безпеки та методи її забезпечення.

9. Керівник і наймані працівники надавача повинні бути ознайомлені з положеннями їх посадових інструкцій та діяти відповідно до своїх посадових завдань та функцій.

10. Адміністратор реєстрації відповідає за перевірку документів, наданих заявниками, їх заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів.

11. Основними обов’язками адміністратора реєстрації є:

1) ідентифікація та автентифікація заявників;

2) перевірка заяв про формування, блокування, поновлення та скасування кваліфікованих сертифікатів відкритих ключів;

3) встановлення належності відкритого ключа та відповідного йому особистого ключа заявнику;

4) ведення обліку користувачів.

12. Адміністратор сертифікації відповідає за формування кваліфікованих сертифікатів відкритих ключів, ведення електронного реєстру чинних, блокованих та скасованих сертифікатів відкритих ключів, збереження та використання особистих ключів надавача, а також створення їх резервних копій.

13. Основними обов’язками адміністратора сертифікації є:

1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;

2) зберігання особистих ключів надавача та їх резервних копій;

3) забезпечення використання особистих ключів надавача під час формування та обслуговування кваліфікованих сертифікатів відкритих ключів надавача та користувачів;

4) перевірка заяв про формування кваліфікованих сертифікатів відкритих ключів надавача на відповідність вимогам регламенту роботи надавача;

5) участь у знищенні особистих ключів надавача;

6) забезпечення ведення, архівування та відновлення баз даних кваліфікованих сертифікатів відкритих ключів користувачів;

7) забезпечення публікації кваліфікованих сертифікатів відкритих ключів користувачів та списків відкликаних сертифікатів на офіційному веб-сайті надавача;

8) створення резервних копій кваліфікованих сертифікатів відкритих ключів користувачів;

9) зберігання кваліфікованих сертифікатів відкритих ключів користувачів, їх резервних копій, списків відкликаних сертифікатів та інших важливих ресурсів інформаційно-комунікаційної системи надавача.

14. Адміністратор безпеки та аудиту відповідає за належне функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою.

15. Основними обов’язками адміністратора безпеки та аудиту є:

1) участь у генерації пар ключів надавача та створенні резервних копій особистих ключів надавача;

2) контроль за формуванням, обслуговуванням і створенням резервних копій кваліфікованих сертифікатів відкритих ключів надавача, користувачів та списків відкликаних сертифікатів;

3) контроль за зберіганням особистих ключів надавача та їх резервних копій, особистих ключів адміністраторів;

4) участь у знищенні особистих ключів надавача, контроль за правильним і своєчасним знищенням адміністраторами їх особистих ключів;

5) організація розмежування доступу до ресурсів інформаційно-комунікаційної системи надавача;

6) забезпечення спостереження за функціонуванням комплексної системи захисту інформації або системи управління інформаційною безпекою (реєстрація подій в інформаційно-комунікаційній системі надавача, моніторинг подій тощо);

7) забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою після збоїв, відмов, аварій інформаційно-комунікаційної системи надавача;

8) забезпечення режиму доступу до приміщень надавача, в яких розміщена інформаційно-комунікаційна система надавача;

9) ведення журналів обліку адміністратора безпеки та аудиту, визначених документацією щодо комплексної системи захисту інформації або звітності, що передбачена системою управління інформаційною безпекою;

10) проведення перевірок журналів аудиту подій, що реєструють технічні засоби інформаційно-комунікаційної системи надавача;

11) проведення перевірок відповідності положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;

12) контроль за дотриманням найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою;

13) контроль за веденням баз даних надавача;

14) контроль за веденням архіву надавача.

16. Адміністратор безпеки та аудиту відповідає за проведення перевірок дотримання найманими працівниками надавача положень внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою. Надавач встановлює періодичність (у днях, тижнях або місяцях) проведення таких внутрішніх перевірок, але не рідше ніж один раз на рік.

17. Системний адміністратор відповідає за функціонування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби) інформаційно-комунікаційної системи надавача.

18. Основними обов’язками системного адміністратора є:

1) організація експлуатації та технічного обслуговування інформаційно-комунікаційної системи надавача і адміністрування її технічних засобів;

2) забезпечення функціонування офіційного веб-сайту надавача;

3) участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації або системи управління інформаційною безпекою;

4) ведення журналів аудиту подій, що реєструють технічні засоби інформаційно-комунікаційної системи надавача;

5) встановлення, налаштування та забезпечення підтримки працездатності загальносистемного та спеціального програмного забезпечення інформаційно-комунікаційної системи надавача;

6) встановлення та налагодження штатної підсистеми резервного копіювання бази даних інформаційно-комунікаційної системи надавача;

7) забезпечення актуалізації баз даних, створюваних та оброблюваних в інформаційно-комунікаційній системі надавача, у зв’язку із збоями.

19. Наймані працівники надавача повинні бути повідомлені про зміни в організації процесів надавача, що стосуються їх посадових обов’язків.

20. Керівник надавача зобов’язаний забезпечити створення умов для безперервної особистої освіти та постійне підвищення кваліфікації найманих працівників надавача у сферах інформаційних технологій, захисту інформації або кібербезпеки та захисту персональних даних.

21. Керівником надавача повинна бути встановлена чітка система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг і вимог внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою.

22. До працівників відокремлених пунктів реєстрації, на яких покладено обов’язки з реєстрації користувачів, повинні застосовуватись такі ж вимоги, як і до адміністраторів реєстрації.

23. Генерація пари ключів надавача здійснюється адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

Генерація пари ключів надавача здійснюється виключно за допомогою засобу кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.

24. Усі події, пов’язані з генерацією, використанням та знищенням пари ключів надавача, повинні протоколюватися.

25. Особисті ключі надавача повинні розміщуватися у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, за допомогою якого здійснювалася генерація пари ключів.

Технологія зберігання особистих ключів надавача повинна унеможливити доступ до них ззовні. Особисті ключі надавача повинні зберігатись у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм.

26. У разі здійснення резервного копіювання особисті ключі надавача повинні бути перенесені на зовнішній засіб кваліфікованого електронного підпису чи печатки, який є апаратно-програмним або апаратним пристроєм у захищеному вигляді, що забезпечує їх цілісність та конфіденційність.

Резервне копіювання та відновлення особистих ключів надавача здійснюються адміністратором сертифікації під контролем адміністратора безпеки та аудиту.

27. Умови забезпечення захисту резервних копій особистих ключів надавача під час їх зберігання повинні бути не гіршими, ніж умови забезпечення захисту особистих ключів, що використовуються.

28. Особисті ключі надавача можуть використовуватися виключно для формування кваліфікованих сертифікатів відкритих ключів (накладення кваліфікованого електронного підпису чи печатки на кваліфікований сертифікат відкритого ключа) та інформації про статус кваліфікованого сертифіката відкритого ключа.

29. Особисті ключі надавача можуть використовуватися виключно у засобі кваліфікованого електронного підпису чи печатки, що є апаратно-програмним або апаратним пристроєм, розташованим в окремому, спеціально призначеному для цього приміщенні.

30. Після закінчення строку дії кваліфікованого сертифіката відкритого ключа надавача особистий ключ надавача та всі його резервні копії знищуються способом, що не дає змоги їх відновити.

31. Діяльність надавачів здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхування відповідальності для забезпечення відшкодування збитків, які можуть бути завдані користувачам чи третім особам внаслідок неналежного виконання надавачем своїх зобов’язань.

32. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми визначено частиною третьою статті 16 Закону України "Про електронні довірчі послуги".

33. Надавач зобов’язаний підтримувати розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми в актуальному стані відповідно до розміру мінімальної заробітної плати, встановленого законом про Державний бюджет України на відповідний рік.

34. У разі відшкодування збитків, завданих користувачам чи третім особам внаслідок неналежного виконання своїх зобов’язань, надавач протягом трьох місяців вживає вичерпних заходів для відновлення розміру внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми.

35. Надавач надає кваліфіковані електронні довірчі послуги відповідно до вимог законодавства у сфері електронних довірчих послуг та регламенту роботи надавача.

36. Регламент роботи надавача розробляється та затверджується до початку роботи надавача.

37. Регламент роботи надавача містить:

1) загальні відомості про надавача (найменування або прізвище, ім’я, по батькові надавача; код за Єдиним державним реєстром підприємств та організацій України; місцезнаходження, номери телефонів, електронна адреса веб-сайту);

2) перелік кваліфікованих електронних довірчих послуг, надання яких забезпечує надавач;

3) перелік посад найманих працівників, обов’язки яких безпосередньо пов’язані з наданням кваліфікованих електронних довірчих послуг, та функції таких працівників;

4) політику сертифіката та положення сертифікаційних практик;

5) опис процедур та процесів, які виконуються під час надання кваліфікованих електронних довірчих послуг, що не передбачають формування та обслуговування кваліфікованих сертифікатів відкритих ключів.

38. У політиці сертифіката визначається кожна кваліфікована електронна довірча послуга, що передбачає формування та обслуговування надавачем кваліфікованих сертифікатів відкритих ключів, окремо або у сукупності.

У положенні сертифікаційних практик визначаються практичні та процедурні засади реалізації всіх політик сертифіката у сукупності.

39. У політиці сертифіката визначаються:

1) перелік сфер, в яких дозволяється використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;

2) обмеження щодо використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;

3) перелік інформації, що розміщується надавачем на своєму офіційному веб-сайті;

4) час і порядок публікації кваліфікованих сертифікатів відкритих ключів та списків відкликаних сертифікатів;

5) механізм підтвердження володіння заявником особистим ключем, відповідний якому відкритий ключ надається для формування кваліфікованого сертифіката відкритого ключа;

6) умови для встановлення заявника (інформація, що надається заявником під час ідентифікації особи, у тому числі іноземцем, уповноваженим представником іноземної юридичної особи, види документів, на підставі яких встановлюється заявник, способи ідентифікації тощо);

7) механізм автентифікації користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;

8) механізм автентифікації користувачів з питань блокування, скасування або поновлення кваліфікованого сертифіката відкритого ключа;

9) опис фізичного середовища (опис приміщень надавача, в яких розміщена інформаційно-комунікаційна система надавача, механізми контролю доступу до них);

10) процедурний контроль (система дисциплінарних стягнень за недотримання найманими працівниками надавача своїх посадових обов’язків, вимог нормативно-правових актів у сфері електронних довірчих послуг та вимог внутрішньої організаційно-розпорядчої документації надавача та документації щодо комплексної системи захисту інформації або системи управління інформаційною безпекою в межах організації з урахуванням режиму роботи надавача);

11) порядок ведення журналів аудиту подій (із зазначенням типів подій, частоти перегляду, строків зберігання журналів аудиту подій, захисту та резервного копіювання журналів аудиту подій, переліку найманих працівників надавача, що можуть здійснювати перегляд журналів аудиту подій);

12) порядок ведення архівів надавача (із зазначенням видів документів та даних, що підлягають архівуванню, строків зберігання архівів, механізму та порядку зберігання і захисту архівів);

13) процес, порядок та умови генерації пар ключів надавача та користувачів;

14) процедури отримання користувачем особистого ключа в результаті надання кваліфікованої електронної довірчої послуги її надавачем;

15) механізм надання відкритого ключа користувача надавачу для формування кваліфікованого сертифіката відкритого ключа;

16) порядок захисту та доступу до особистого ключа надавача;

17) порядок та умови резервного копіювання особистого ключа надавача, збереження, доступу та використання резервної копії.

40. У положеннях сертифікаційних практик зазначаються:

1) процес подання запиту на формування кваліфікованого сертифіката відкритого ключа (перелік суб’єктів, уповноважених здійснювати запит на формування кваліфікованого сертифіката відкритого ключа, порядок подачі та оброблення такого запиту, строки оброблення запиту на формування кваліфікованого сертифіката відкритого ключа);

2) порядок надання сформованого кваліфікованого сертифіката відкритого ключа користувачу;

3) порядок публікації сформованого кваліфікованого сертифіката відкритого ключа користувача на офіційному веб-сайті надавача;

4) умови використання кваліфікованого сертифіката відкритого ключа користувача та його особистого ключа (попередження про можливі наслідки неправильного використання кваліфікованого сертифіката відкритого ключа та особистого ключа);

5) процедура подачі запиту на формування кваліфікованого сертифіката відкритого ключа для користувачів, які мають чинний кваліфікований сертифікат відкритого ключа, сформований надавачем;

6) обставини скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; перелік суб’єктів, уповноважених здійснювати запит на скасування (блокування та поновлення) кваліфікованого сертифіката відкритого ключа; процедура подання запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; час оброблення запиту на скасування (блокування, поновлення) кваліфікованого сертифіката відкритого ключа; частота формування списку відкликаних сертифікатів та строки його дії; можливість та умови надання інформації про статус кваліфікованого сертифіката відкритого ключа у режимі реального часу);

7) строк закінчення дії кваліфікованого сертифіката відкритого ключа користувача.

41. Проект регламенту роботи надавача підлягає обов’язковому погодженню з Адміністрацією Держспецзв’язку, строк якого не може перевищувати 30 календарних днів з дня надходження зазначеного проекту на погодження.

Підставами для відмови у погодженні проекту регламенту роботи надавача є:

подання проекту регламенту з порушенням положень пунктів 36-40 цих вимог;

виявлення у проекті регламенту недостовірної інформації, виправлень або дописок.

Процедура погодження проекту регламенту роботи надавача проводиться Адміністрацією Держспецзв’язку безоплатно.

Після погодження з Адміністрацією Держспецзв’язку регламент роботи надавача затверджується його керівником у двох примірниках.

Один примірник погодженого з Адміністрацією Держспецзв’язку та затвердженого керівником надавача регламенту роботи надавача передається до Адміністрації Держспецзв’язку.

42. Погодження та затвердження змін до регламенту роботи надавача здійснюється відповідно до вимог щодо погодження та затвердження регламенту.

Для погодження змін до регламенту роботи надавача до Адміністрації Держспецзв’язку надається текст відповідних змін та порівняльна таблиця.

43. Надавач самостійно визначає обсяг положень регламенту його роботи та інших документів, що підлягають розміщенню на офіційному веб-сайті надавача для ознайомлення.

44. Для набуття статусу надавача юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, подає до центрального засвідчувального органу заяву про внесення відомостей про неї до Довірчого списку та інші документи, визначені частиною другою статті 30 Закону України "Про електронні довірчі послуги".

Форма заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку встановлюється у регламенті роботи центрального засвідчувального органу.

45. Заява про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що додаються до неї, можуть бути подані представником юридичної особи або фізичною особою - підприємцем, який має намір надавати кваліфіковані електронні довірчі послуги, в електронній формі через Єдиний державний портал адміністративних послуг, у тому числі через інтегровану з ним інформаційну систему центрального засвідчувального органу.

Забезпечення цілісності та конфіденційності інформації, у тому числі персональних даних, під час подання заяви та документів, що додаються до неї, здійснюється з дотриманням вимог законодавства у сфері захисту інформації із застосуванням кваліфікованого електронного підпису представника юридичної особи або фізичної особи - підприємця та з використанням засобів шифрування, що мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.

У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що додаються до неї, в електронній формі копії документів, які існують виключно в паперовій формі, додаються до заяви у форматі PDF.

Відповідність зазначених копій документів оригіналам засвідчується шляхом накладення кваліфікованого електронного підпису керівника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги.

Представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, відповідає за достовірність інформації, зазначеної в документах, що додаються до заяви, для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку.

У разі подання заяви про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документів, що до неї додаються, в електронній формі документи на паперових носіях не подаються.

Уповноважена особа центрального засвідчувального органу перевіряє надходження електронних документів не рідше двох разів на день (у першій та другій половині робочого дня).

Документи для внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку, подані в електронній формі, реєструються в інформаційній системі центрального засвідчувального органу після їх надходження, про що автоматично через персональний кабінет на Єдиному державному порталі адміністративних послуг інформується представник юридичної особи або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги.

46. Після вжиття вичерпних заходів для забезпечення ідентифікації та перевірки обсягу цивільної правоздатності та дієздатності представника юридичної особи або фізичної особи - підприємця, що має намір надавати кваліфіковані електронні довірчі послуги, центральний засвідчувальний орган розглядає заяву про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку та документи, що до неї додаються, і за результатами їх розгляду приймає рішення в порядку та у строки, що встановлені Законом України "Про електронні довірчі послуги".

47. На підставі прийнятого центральним засвідчувальним органом рішення про внесення до Довірчого списку юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, засвідчує чинність одного або декількох своїх відкритих ключів (окремо для кожної кваліфікованої електронної довірчої послуги) у центральному засвідчувальному органі відповідно до вимог регламенту роботи центрального засвідчувального органу.

Засвідчення чинності відкритого ключа юридичної особи або фізичної особи - підприємця є умовою внесення до Довірчого списку інформації про кваліфіковані електронні довірчі послуги, які має намір надавати юридична особа або фізична особа - підприємець.

Для засвідчення чинності відкритого ключа юридична особа або фізична особа - підприємець подає до центрального засвідчувального органу:

заяву про формування кваліфікованого сертифіката відкритого ключа та відповідний електронний запит, що формується після генерації пари ключів;

підписаний примірник договору про надання центральним засвідчувальним органом кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки.

48. Юридична особа або фізична особа - підприємець, що має намір надавати кваліфіковані електронні довірчі послуги, набуває статусу надавача з дня внесення відомостей про неї до Довірчого списку.

49. Центральний засвідчувальний орган оприлюднює рішення про внесення відомостей про юридичну особу або фізичну особу - підприємця до Довірчого списку на своєму офіційному веб-сайті, а також повідомляє про його прийняття представникові юридичної особи або фізичній особі - підприємцю, що має намір надавати кваліфіковані електронні довірчі послуги, шляхом надсилання листа поштою або в електронній формі через персональний кабінет на Єдиному державному порталі адміністративних послуг.

50. Зміна відомостей про надавача, що містяться в Довірчому списку, є підставою для внесення змін до Довірчого списку, яке здійснюється в порядку та у строки, встановлені Законом України "Про електронні довірчі послуги".

У разі виникнення змін у відомостях, внесених до Довірчого списку, надавач зобов’язаний протягом п’яти робочих днів з дня виникнення таких змін подати до центрального засвідчувального органу заяву про внесення змін до Довірчого списку разом з документами, що підтверджують відповідні зміни.

51. Надавач припиняє діяльність з надання кваліфікованих електронних довірчих послуг з підстав та в порядку, що визначені статтею 31 Закону України "Про електронні довірчі послуги".

52. У разі припинення надання кваліфікованих електронних довірчих послуг надавач зобов’язаний передати центральному засвідчувальному органу документовану інформацію (документи, на підставі яких користувачам надавалися кваліфіковані електронні довірчі послуги та були сформовані, блоковані, поновлені, скасовані кваліфіковані сертифікати відкритих ключів, усі сформовані кваліфіковані сертифікати відкритих ключів, а також реєстри сформованих кваліфікованих сертифікатів відкритих ключів) у порядку, визначеному Кабінетом Міністрів України.

53. Передача документованої інформації здійснюється надавачем не пізніше дня, визначеного ним як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи дня набрання законної сили відповідним рішенням суду.

54. Центральний засвідчувальний орган скасовує виданий ним кваліфікований сертифікат відкритого ключа надавача у день, визначений надавачем як дата припинення діяльності з надання кваліфікованих електронних довірчих послуг, чи у день набрання законної сили відповідним рішенням суду.

55. Кваліфіковані електронні довірчі послуги надаються користувачам виключно надавачами.

56. Надавач може надавати окремо або в сукупності кваліфіковану електронну довірчу послугу із:

1) створення, перевірки та підтвердження кваліфікованого електронного підпису чи печатки;

2) формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки;

3) формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту;

4) формування, перевірки та підтвердження кваліфікованої електронної позначки часу;

5) реєстрованої електронної доставки;

6) зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів.

57. Надавач забезпечує вільний доступ до своїх приміщень, в яких здійснюється обслуговування користувачів, у тому числі створення належних умов для доступу до приміщень осіб з обмеженими фізичними можливостями.

Інформація про умови доступності таких приміщень для осіб з обмеженими фізичними можливостями розміщується у місці, доступному для візуального сприйняття користувачів.

58. Ідентифікація заявника, який звернувся за отриманням послуги з формування кваліфікованого сертифіката відкритого ключа, здійснюється відповідно до вимог статті 22 Закону України "Про електронні довірчі послуги".

59. Надавач під час формування та видачі кваліфікованого сертифіката відкритого ключа заявнику здійснює його ідентифікацію відповідно до вимог статті 22 Закону України "Про електронні довірчі послуги" та перевіряє обсяг його повноважень відповідно до Порядку проведення перевірки цивільної правоздатності та дієздатності юридичної особи чи фізичної особи - підприємця під час надання електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 4 квітня 2023 р. № 298.

61. Заявник повинен надати визначену регламентом роботи надавача контактну інформацію, що дає змогу зв’язатися з ним.

62. Реєстрація користувачів може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з регламентом роботи надавача.

63. Центральний засвідчувальний орган надає кваліфіковані електронні довірчі послуги надавачам відповідно до регламенту роботи центрального засвідчувального органу з дотриманням цих вимог.

64. Надавач повинен забезпечити створення можливості для ознайомлення заявників з інформацією про умови отримання кваліфікованої електронної довірчої послуги.

65. До інформації, вільний доступ до якої повинен забезпечити надавач, належать:

1) відомості про надавача;

2) дані про внесення відомостей про надавача до Довірчого списку;

3) кваліфіковані сертифікати відкритих ключів надавача;

4) перелік кваліфікованих електронних довірчих послуг, які надає надавач;

5) дані про засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг;

6) форми документів, на підставі яких надаються кваліфіковані електронні довірчі послуги;

7) реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;

8) відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів користувачами;

9) дані про порядок перевірки чинності кваліфікованого сертифіката відкритого ключа, у тому числі умови перевірки статусу кваліфікованого сертифіката відкритого ключа;

10) перелік актів законодавства у сфері електронних довірчих послуг.

Надавач забезпечує інформування користувачів про умови отримання кваліфікованих електронних довірчих послуг, зокрема шляхом розміщення відповідної інформації на офіційному веб-сайті надавача.

Інформація на офіційному веб-сайті надавача повинна бути доступною для осіб з обмеженими фізичними можливостями.

66. Кваліфіковані електронні довірчі послуги надаються на підставі укладеного між надавачем і заявником договору про надання кваліфікованої електронної довірчої послуги.

Підставою для надання кваліфікованих електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, інших юридичних особах публічного права може бути відповідне рішення.

67. Надавач обліковує та зберігає протягом строків, визначених законодавством у сфері архівної справи, договори про надання кваліфікованих електронних довірчих послуг, а також документи (засвідчені в установленому порядку копії документів), що використовуються під час ідентифікації та перевірки достатності обсягу цивільної правоздатності та дієздатності заявника.

68. Істотними умовами договору про надання кваліфікованої електронної довірчої послуги є:

1) права та обов’язки сторін;

2) умови використання засобів кваліфікованого електронного підпису чи печатки (у разі коли кваліфікована електронна довірча послуга передбачає використання засобів кваліфікованого електронного підпису чи печатки);

3) умови використання заявником особистого ключа (у разі коли кваліфікована електронна довірча послуга передбачає використання особистого ключа);

4) умови публікації кваліфікованого сертифіката відкритого ключа заявника (у разі коли кваліфікована електронна довірча послуга передбачає формування кваліфікованого сертифіката відкритого ключа);

5) строк дії договору;

6) умови оплати;

7) порядок внесення змін до договору;

8) порядок розірвання договору.

69. Договір про надання кваліфікованої електронної довірчої послуги може бути змінено виключно за взаємною згодою сторін.

70. У разі зміни відомостей, що містяться у договорі про надання кваліфікованої електронної довірчої послуги, заявник у триденний строк з дня настання таких змін повідомляє про це надавачеві та подає документи, що підтверджують відповідні зміни.

71. Підставами для розірвання договору про надання кваліфікованої електронної довірчої послуги є:

1) згода сторін;

2) рішення суду про розірвання договору;

3) виключення надавача з Довірчого списку.

72. У разі коли у договорі про надання кваліфікованої електронної довірчої послуги передбачено формування кваліфікованого сертифіката відкритого ключа, розірвання такого договору є підставою для скасування надавачем кваліфікованого сертифіката відкритого ключа, сформованого відповідно до договору.

73. Надавач має право самостійно обирати, які саме стандарти, зазначені у переліку, що додається, будуть ним застосовуватися під час надання кваліфікованих електронних довірчих послуг.

З метою забезпечення інтероперабельності та технологічної нейтральності національних технічних рішень, а також недопущення їх дискримінації Мінцифри разом з Адміністрацією Держспецзв’язку встановлюють вимоги до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-комунікаційних систем під час надання кваліфікованих електронних довірчих послуг.

74. Контроль за наданням кваліфікованих електронних довірчих послуг здійснює Адміністрація Держспецзв’язку.

75. Надавач зобов’язаний щороку до 15 січня подавати до Адміністрації Держспецзв’язку звіт про діяльність за попередній рік, що містить відомості про:

1) кількість укладених договорів про надання електронних довірчих послуг (окремо з фізичними та юридичними особами);

2) кількість сформованих та скасованих кваліфікованих сертифікатів відкритих ключів за звітний період із зазначенням причин скасування (у разі коли надавач забезпечує надання кваліфікованих електронних довірчих послуг, які передбачають обслуговування кваліфікованих сертифікатів відкритих ключів);

3) факти відшкодування шкоди користувачам електронних довірчих послуг та/або третім особам внаслідок неналежного виконання надавачем своїх зобов’язань (у разі наявності);

4) факти участі надавача як позивача, відповідача або третьої сторони у судових справах з питань надання електронних довірчих послуг, предмет розгляду та прийняте рішення (у разі наявності);

5) факти порушення надавачем вимог законодавства у сфері захисту інформації під час надання електронних довірчих послуг, їх причини та заходи, вжиті для усунення таких порушень.

76. Кваліфікована електронна довірча послуга із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток включає вчинення дій, передбачених частиною першою статті 18 Закону України "Про електронні довірчі послуги".

77. Під час надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток надавачем забезпечується:

1) використання підписувачем або створювачем електронної печатки виключно засобу кваліфікованого електронного підпису чи печатки та кваліфікованого сертифіката електронного підпису чи печатки;

2) захист обміну інформацією між підписувачем або створювачем електронної печатки та надавачем засобами електронних комунікаційних мереж загального користування;

3) створення умов для генерації пари ключів підписувача або створювача електронної печатки;

4) допомога під час генерації пари ключів підписувача або створювача електронної печатки у спосіб, що не допускає порушення конфіденційності та цілісності особистого ключа, а також ознайомлення із значенням параметрів особистого ключа та їх копіювання;

5) унікальність пари ключів підписувача або створювача електронної печатки;

6) зберігання особистого ключа підписувача або створювача електронної печатки;

7) захист від доступу сторонніх осіб до параметрів особистого ключа підписувача або створювача електронної печатки під час використання засобу кваліфікованого електронного підпису чи печатки.

78. У разі коли пара ключів була згенерована заявником поза приміщенням надавача та/або за відсутності відповідного персоналу, ідентифікація такого заявника, перевірка достатності обсягу його цивільної правоздатності і дієздатності, формування та видача йому кваліфікованого сертифіката відкритого ключа здійснюється надавачем після перевірки факту володіння заявником особистим ключем, який відповідає відкритому ключу, наданому для формування кваліфікованого сертифіката відкритого ключа.

Перевірка факту володіння заявником особистим ключем здійснюється без розкриття його особистого ключа.

79. Генерацію та/або управління парою ключів від імені підписувача або створювача електронної печатки може здійснювати виключно надавач.

80. Надавач, який здійснює управління парою ключів підписувача або створювача електронної печатки, може здійснювати резервне копіювання особистого ключа підписувача або створювача електронної печатки з метою його зберігання за умови дотримання таких вимог:

1) рівень безпеки резервної копії особистого ключа повинен відповідати рівню безпеки оригінального особистого ключа;

2) кількість резервних копій не повинна перевищувати мінімального значення, необхідного для забезпечення безперервності послуги.

81. Кваліфікований електронний підпис чи печатка повинні відповідати таким вимогам:

1) встановлювати однозначний зв’язок з підписувачем або створювачем електронної печатки;

2) надавати можливість здійснити електронну ідентифікацію підписувача або створювача електронної печатки;

3) забезпечувати одноосібний контроль підписувача або створювача електронної печатки за відповідним особистим ключем;

4) виявляти будь-які зміни пов’язаних електронних даних, на які накладено кваліфікований електронний підпис чи печатку.

82. Перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.

83. У процесі перевірки кваліфікованого електронного підпису чи печатки підтвердження таких підпису чи печатки здійснюється за умови:

1) дотримання вимог, визначених у частині другій статті 18 Закону України "Про електронні довірчі послуги";

2) правильності внесення ідентифікаційних даних особи до відповідного кваліфікованого сертифіката електронного підпису чи печатки підписувача або створювача електронної печатки;

3) встановлення факту, що такі підпис чи печатку створено за допомогою засобу кваліфікованого електронного підпису чи печатки;

4) дотримання вимог, визначених у пункті 81 цих вимог, на момент накладення підпису чи печатки на пов’язані електронні дані.

84. Надання кваліфікованої електронної довірчої послуги із створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга:

1) надається виключно надавачем;

2) відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток, визначеним у пункті 83 цих вимог;

3) дає змогу отримувати результати перевірки із застосуванням кваліфікованого електронного підпису чи печатки надавача автоматизованим способом, який є надійним, ефективним та захищеним.

85. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки включає вчинення дій, передбачених частиною першою статті 20 Закону України "Про електронні довірчі послуги".

86. Формування кваліфікованого сертифіката електронного підпису чи печатки заявника здійснюється надавачем на основі ідентифікаційних даних особи, одержаних від заявника під час його ідентифікації та перевірки достатності обсягу його цивільної правоздатності і дієздатності.

87. Надавач зобов’язаний забезпечити унікальність серійного номера кваліфікованого сертифіката електронного підпису чи печатки заявника щодо інших кваліфікованих сертифікатів електронного підпису чи печатки, сформованих цим самим надавачем.

88. Надавач зобов’язаний зберігати всі сформовані ним кваліфіковані сертифікати електронного підпису чи печатки, а також їх резервні копії.

89. Під час повторного формування кваліфікованого сертифіката електронного підпису чи печатки користувача надавач повинен перевірити актуальність інформації, що надавалася для попереднього формування кваліфікованого сертифіката електронного підпису чи печатки заявника.

90. Кваліфікований сертифікат електронного підпису чи печатки користувача після його формування надавачем повинен бути доступний користувачу, для якого такий сертифікат був сформований.

91. Доступ інших осіб до сформованого кваліфікованого сертифіката електронного підпису чи печатки користувача надається у разі його згоди на публікацію такого сертифіката.

92. У разі зміни відомостей, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, користувач у триденний строк з дня настання таких змін повідомляє про це надавачеві та надає документи, що підтверджують відповідні зміни.

На підставі наданих користувачем документів, що підтверджують зміни відомостей, які містяться у кваліфікованому сертифікаті електронного підпису чи печатки, надавач здійснює повторне формування такого сертифіката та його публікацію у разі згоди користувача.

Повторне формування кваліфікованого сертифіката електронного підпису чи печатки користувача не продовжує строку його дії.

93. Сформований кваліфікований сертифікат електронного підпису чи печатки користувача скасовується або блокується надавачем у разі наявності підстав, передбачених статтею 25 Закону України "Про електронні довірчі послуги".

94. Заява про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки подається користувачем надавачеві в будь-який спосіб, що забезпечує підтвердження особи-користувача.

Під час опрацювання заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки надавачем здійснюється ідентифікація та перевірка достатності обсягу цивільної правоздатності і дієздатності користувача з дотриманням вимог щодо підтвердження особи, встановлених у регламенті роботи надавача.

95. Кваліфікований сертифікат електронного підпису чи печатки користувача вважається скасованим або блокованим з моменту зміни надавачем статусу кваліфікованого сертифіката електронного підпису чи печатки користувача на скасований або блокований.

96. Користувач, статус кваліфікованого сертифіката електронного підпису чи печатки якого було змінено на скасований чи блокований, повинен невідкладно бути поінформований про відповідну зміну статусу.

97. Скасований кваліфікований сертифікат електронного підпису чи печатки поновленню не підлягає.

98. Відомості про кваліфіковані сертифікати електронного підпису чи печатки, сформовані надавачем, їх статус та списки відкликаних сертифікатів містяться у реєстрі чинних, блокованих та скасованих сертифікатів відкритих ключів.

99. Розповсюдження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів здійснюється шляхом публікації повного та часткового списків відкликаних сертифікатів на офіційному веб-сайті надавача та забезпечення створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача в режимі реального часу через електронні комунікаційні мережі загального користування.

Список відкликаних сертифікатів надавача повинен відповідати таким вимогам:

у кожному списку відкликаних сертифікатів зазначається граничний строк його дії до видання нового списку, якщо інше не передбачено регламентом роботи надавача;

новий список відкликаних сертифікатів може бути опубліковано до настання граничного строку його дії до видання наступного списку;

на список відкликаних сертифікатів повинен бути накладений кваліфікований електронний підпис чи печатка надавача.

100. Управління статусом кваліфікованого сертифіката електронного підпису чи печатки та поширення відповідної інформації повинні бути доступні для користувача цілодобово.

101. Заяви про скасування або блокування кваліфікованого сертифіката електронного підпису чи печатки фіксуються та зберігаються надавачем протягом строків, визначених законодавством у сфері архівної справи.

102. Надавач повинен забезпечити цілісність та походження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки.

103. Час, що використовується надавачем в процесі обслуговування кваліфікованих сертифікатів електронного підпису чи печатки користувачів, повинен бути синхронізований із Всесвітнім координованим часом (UTC) з точністю до секунди.

Послуги з постачання передачі сигналів точного часу, синхронізованого з Державним еталоном одиниць часу і частоти, надаються центральним засвідчувальним органом.

104. Формування кваліфікованого сертифіката електронного підпису чи печатки здійснюється надавачем за запитом користувача.

105. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки від центрального засвідчувального органу.

106. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту включає вчинення дій, передбачених частиною першою статті 21 Закону України "Про електронні довірчі послуги".

107. Формування кваліфікованого сертифіката автентифікації веб-сайту здійснюється надавачем за запитом користувача.

108. Кваліфікований сертифікат автентифікації веб-сайту забезпечує:

1) автентифікацію власника веб-сайту;

2) гарантування:

шифрування інформації, обмін якою здійснюється через Інтернет учасником онлайн-операції та веб-сайтом;

належного рівня довіри до власника веб-сайту щодо захисту від шахрайства в Інтернеті;

захисту особистої інформації та персональних даних учасника онлайн-операції під час проведення такої операції.

109. Перевірка кваліфікованого сертифіката автентифікації веб-сайту може проводитися будь-якою особою з метою отримання інформації про власника веб-сайту та чинність кваліфікованого сертифіката автентифікації веб-сайту.

110. Під час перевірки кваліфікованого сертифіката автентифікації веб-сайту особа, що проводить перевірку, вчиняє такі дії:

1) отримує з кваліфікованого сертифіката автентифікації веб-сайту інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити власника веб-сайту та надавача;

2) перевіряє кваліфікований електронний підпис чи печатку, накладений на кваліфікований сертифікат автентифікації веб-сайту за допомогою чинного (на момент формування кваліфікованого сертифіката автентифікації веб-сайту) кваліфікованого сертифіката відкритого ключа надавача.

111. Кваліфікований сертифікат автентифікації веб-сайту вважається чинним у разі відповідності вимогам, установленим частиною першою статті 24 Закону України "Про електронні довірчі послуги".

112. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження чинності кваліфікованого сертифіката автентифікації веб-сайту від центрального засвідчувального органу.

113. Кваліфікована електронна довірча послуга з формування, перевірки та підтвердження кваліфікованої електронної позначки часу включає вчинення дій, передбачених частиною першою статті 26 Закону України "Про електронні довірчі послуги".

114. Формування кваліфікованої електронної позначки часу здійснюється надавачем за запитом користувача.

115. Під час формування кваліфікованої електронної позначки часу користувач та надавач за допомогою засобів кваліфікованого електронного підпису чи печатки вчиняють такі дії:

1) користувач обчислює геш-значення електронних даних, на які необхідно сформувати кваліфіковану електронну позначку часу;

2) користувач формує запит на формування кваліфікованої електронної позначки часу, який містить:

обчислене геш-значення;

об’єктний ідентифікатор політики формування позначки часу (необов’язково);

ідентифікатор алгоритму гешування, що використовувався;

унікальний ідентифікатор запиту (необов’язково);

необов’язкові розширення;

3) користувач передає сформований запит до надавача;

4) надавач перевіряє правильність формату запиту та здійснює його обробку, формує кваліфіковану електронну позначку часу та відповідь, що містить кваліфіковану електронну позначку часу, чи відповідь з інформацією про відмову у формуванні кваліфікованої електронної позначки часу;

5) надавач надсилає користувачеві відповідь, що містить кваліфіковану електронну позначку часу, в якій зазначені такі дані:

об’єктний ідентифікатор політики формування кваліфікованої електронної позначки часу, що була використана;

геш-значення електронних даних, для яких було сформовано кваліфіковану електронну позначку часу;

серійний номер кваліфікованої електронної позначки часу;

час формування кваліфікованої електронної позначки часу;

додаткову інформацію про кваліфіковану електронну позначку часу;

кваліфікований електронний підпис чи печатку надавача, накладені на кваліфіковану електронну позначку часу;

6) користувач після отримання відповіді від надавача вчиняє такі дії:

перевіряє результат обробки запиту;

перевіряє відповідність імені чи найменування суб’єкта, що наклав кваліфікований електронний підпис чи печатку на кваліфіковану електронну позначку часу, імені чи найменуванню надавача;

перевіряє відповідність призначення кваліфікованого сертифіката відкритого ключа надавача (для формування позначки часу);

перевіряє чинність кваліфікованого сертифіката відкритого ключа надавача;

перевіряє кваліфікований електронний підпис чи печатку, що був накладений на кваліфіковану електронну позначку часу;

перевіряє відповідність електронних даних та даних, для яких була сформована кваліфікована електронна позначка часу (шляхом порівняння обчисленого геш-значення електронних даних та геш-значення, що записане у кваліфікованій електронній позначці часу);

додає кваліфіковану електронну позначку часу до електронних даних.

116. Кваліфікована електронна позначка часу повинна забезпечувати:

1) зв’язок дати і часу з електронними даними в такий спосіб, що цілком виключає можливість непомітної зміни електронних даних;

2) точність часу в програмно-технічному комплексі надавача, що синхронізується із Всесвітнім координованим часом (UTC) з точністю до секунди.

117. Перевірка кваліфікованої електронної позначки часу може проводитися будь-якою особою з метою отримання інформації про чинність кваліфікованої електронної позначки часу.

118. Під час перевірки та підтвердження кваліфікованої електронної позначки часу особа, що проводить перевірку, вчиняє такі дії:

1) отримує з кваліфікованої електронної позначки часу інформацію, що містить ідентифікаційні дані особи, які дають змогу однозначно встановити надавача;

2) перевіряє кваліфікований електронний підпис чи печатку, накладений на кваліфіковану електронну позначку часу за допомогою чинного (на момент формування кваліфікованої електронної позначки часу) кваліфікованого сертифіката відкритого ключа надавача;

3) перевіряє відповідність кваліфікованої електронної позначки часу та електронних даних, до яких вона додана (шляхом порівняння обчисленого геш-значення електронних даних та геш-значення, що записане у кваліфікованій електронній позначці часу).

119. Кваліфікована електронна позначка часу вважається недійсною у разі:

1) недотримання вимоги щодо точності часу в програмно-технічному комплексі надавача;

2) використання скасованого або блокованого кваліфікованого сертифіката відкритого ключа надавача на момент формування кваліфікованої електронної позначки часу.

120. Правильність реалізації криптографічних алгоритмів для створення кваліфікованої електронної позначки часу та точність часу в засобі кваліфікованого електронного підпису чи печатки забезпечує протокол фіксування часу.

121. Надавачі отримують кваліфіковану електронну довірчу послугу з формування, перевірки та підтвердження кваліфікованої електронної позначки часу від центрального засвідчувального органу.

122. Механізм синхронізації часу із Всесвітнім координованим часом (UTC) в програмно-технічному комплексі надавача та склад технічного обладнання, що застосовується у процесі синхронізації часу (його загальний опис) встановлюється Порядком синхронізації часу із Всесвітнім координованим часом (UTC).

Порядок синхронізації часу із Всесвітнім координованим часом (UTC) розробляється надавачем та погоджується із центральним засвідчувальним органом.

123. Кваліфікована електронна довірча послуга з реєстрованої електронної доставки повинна відповідати вимогам, передбаченим частиною першою статті 27 Закону України "Про електронні довірчі послуги", та включати такі дії:

1) відправку електронних даних із забезпеченням доказів відправки;

2) отримання електронних даних із забезпеченням доказів отримання.

124. Реєстрована електронна доставка здійснюється надавачем за запитом користувача (відправника та/або отримувача електронних даних).

125. Реєстрована електронна доставка повинна забезпечувати:

1) передачу електронних даних між користувачами (відправником та отримувачем електронних даних);

2) автентифікацію відправника та отримувача електронних даних;

3) конфіденційність електронних даних, що доставляються, і персональних даних відправника та отримувача електронних даних;

4) захист цілісності електронних даних, що доставляються;

5) забезпечення точності дати і часу відправки та отримання електронних даних;

6) можливість підтвердження факту відправки та отримання електронних даних.

126. Перевірка електронних даних, що передаються в процесі реєстрованої електронної доставки, проводиться отримувачем електронних даних.

127. Кваліфікована електронна довірча послуга із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів включає вчинення таких дій:

1) передачу кваліфікованих електронних підписів чи печаток, позначок часу та сформованих відповідних сертифікатів;

2) зберігання кваліфікованих електронних підписів чи печаток, позначок часу та сформованих відповідних сертифікатів.

128. Зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів здійснюється надавачем за запитом користувача.

129. Під час надання кваліфікованої електронної довірчої послуги із зберігання кваліфікованих електронних підписів, печаток, електронних позначок часу та відповідних сертифікатів забезпечується:

1) цілісність всіх збережених об’єктів даних;

2) протоколювання подій на предмет зміни, видалення або додавання об’єктів даних;

3) покладення відповідальності за збереження на одну чи кілька конкретних посадових осіб;

4) проведення перевірок дотримання цих вимог.

130. Засоби кваліфікованого електронного підпису чи печатки, що використовуються під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою та другою статті 19 Закону України "Про електронні довірчі послуги".

131. Для надання кваліфікованих електронних довірчих послуг використовуються засоби кваліфікованого електронного підпису чи печатки, які повинні мати документи про відповідність або позитивний експертний висновок за результатами їх державної експертизи у сфері криптографічного захисту інформації.

132. Надання кваліфікованих електронних довірчих послуг надавачем без чинних документів, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг, забороняється.

133. Контроль за дотриманням вимог до засобів кваліфікованого електронного підпису чи печатки здійснюється Адміністрацією Держспецзв’язку.

134. Кваліфіковані сертифікати відкритих ключів, що формуються надавачами або центральним засвідчувальним органом під час надання кваліфікованих електронних довірчих послуг, повинні відповідати вимогам, установленим частинами першою, другою та третьою статті 23 Закону України "Про електронні довірчі послуги".

135. Надавач або центральний засвідчувальний орган, який видав кваліфікований сертифікат відкритого ключа, забезпечує доступ до інформації про дату та час зміни статусу кваліфікованого сертифіката відкритого ключа.

136. Контроль за дотриманням вимог до кваліфікованих сертифікатів відкритих ключів здійснюється Адміністрацією Держспецзв’язку.

Стандарти, що визначають загальні вимоги до кваліфікованого надавача електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг

ДСТУ ETSI TR 119 400:2017 (ETSI TR 119 400:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова з використання стандартів провайдерами довірчих послуг, які підтримують цифрові підписи та пов’язані з ними послуги", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 4 серпня 2017 р. № 207

ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) "Електронні підписи та інфраструктури (ESI). Загальні вимоги щодо політики для надавачів довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 8 вересня 2022 р. № 185

ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) "Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 16 грудня 2021 р. № 512

ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) "Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 16 грудня 2021 р. № 512

ДСТУ ETSI TS 119 403-3:2021 (ETSI TS 119 403-3 V1.1.1 (2019-03), IDT) "Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 3. Додаткові вимоги до органів оцінювання відповідності, які оцінюють кваліфікованих постачальників довірчих послуг в ЄС", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 16 грудня 2021 р. № 512

ДСТУ ETSI TS 119 441:2019 (ETSI TS 119 441 V1.1.1 (2018-08), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги політики стосовно TSP, що надає послуги щодо перевірення підписів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 грудня 2019 р. № 468

ДСТУ ETSI TS 119 461:2022 (ETSI TS 119 461 V1.1.1 (2021-07), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки компонентів довірчих послуг, що забезпечують ідентифікацію особи суб’єктів довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 8 вересня 2022 р. № 185

ДСТУ ETSI TS 119 511:2019 (ETSI TS 119 511 V1.1.1 (2019-06), IDT) "Електронні підписи та інфраструктури (ESI). Вимоги щодо політики та безпеки для постачальників довірчих послуг, що забезпечують тривале збереження цифрових підписів чи загальних даних, використовуючи методи цифрового підпису", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 грудня 2019 р. № 468

ДСТУ ETSI TS 119 512:2021 (ETSI TS 119 512 V1.1.2 (2020-10), IDT) "Електронні підписи та інфраструктури (ESI). Протоколи для постачальників довірчих послуг, що надають послуги довгострокового зберігання даних", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 16 грудня 2021 р. № 512

Стандарти, що визначають вимоги до Довірчого списку

ДСТУ ETSI TR 119 600:2016 (ETSI TR 119 600:2016, IDT) "Електронні підписи та інфраструктури (ESI). Настанова щодо застосування стандартів для провайдерів переліків стану довірчих послуг", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 27 грудня 2016 р. № 451

ДСТУ ETSI TS 119 612:2016 (ETSI TS 119 612:2016, IDT) "Електронні підписи та інфраструктури. Довірчі списки", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23 вересня 2016 р. № 279