Регламент роботи
Витяг з Регламенту Акредитованого центру сертифікації ключів Інформаційно-довідкового департаменту ДФС
|
Витяг з Регламенту АЦСК ІДД ДФС |  |
Завантажити | | |
Переглянути | |
|
Зміни №1 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
|
Зміни №2 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
|
Зміни №3 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
|
Зміни №4 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
|
Зміни №5 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
|
Зміни №6 до Регламенту АЦСК ІДД ДФС | |
Завантажити | | |
Переглянути | |
5 ІДЕНТИФІКАЦІЯ ТА АВТЕНТИФІКАЦІЯ
- 5.1.Порядок ідентифікації та реєстрації заявників
- 5.2.Ідентифікація та реєстрація юридичної особи
- 5.3.Ідентифікація та реєстрація філій та представництв юридичної особи
- 5.4.Ідентифікація та реєстрація іноземних представництв
- 5.5.Ідентифікація та реєстрація установ
- 5.6.Ідентифікація та реєстрація фізичної особи
- 5.7.Прийняття рішення про відмову у наданні послуг ЕЦП
- 5.8.Порядок повторної реєстрації заявника після закінчення строку обслуговування посилених сертифікатів
- 5.9.Автентифікація підписувача під час звернення щодо блокування, поновлення та скасування посилених сертифікатів
- 5.10.Захист персональних даних підписувачів
6 ПРОЦЕДУРИ ТА МЕХАНІЗМИ ОБСЛУГОВУВАННЯ ПОСИЛЕНИХ СЕРТИФІКАТІВ
- 6.1.Порядок генерації ключів підписувачів
- 6.2.Порядок подання запиту на сертифікацію
- 6.3.Порядок формування посилених сертифікатів та надання їх підписувачам
- 6.4.Порядок повторного формування посиленого сертифіката
- 6.5.Використання посилених сертифікатів та особистого ключа
- 6.6.Підстави та порядок скасування, блокування та поновлення посилених сертифікатів
- 6.6.1.Підстави скасування посилених сертифікатів
- 6.6.2.Обставини, за яких посилений сертифікат повинен бути скасований клієнтом
- 6.6.3.Порядок блокування/скасування посилених сертифікатів
- 6.6.4.Блокування/скасування посиленого сертифіката за заявою в усній формі
- 6.6.5.Блокування/скасування посиленого сертифіката за заявою у письмовій формі
- 6.6.6.Блокування/скасування посиленого сертифіката за електронним запитом
- 6.6.7.Порядок поновлення чинності посилених сертифікатів
- 6.7.Закінчення строку чинності посиленого сертифіката підписувача
- 6.8.Розповсюдження інформації про статус посилених сертифікатів
- 6.9.Порядок надання послуг визначення статусу посиленого сертифіката в інтерактивному режимі (он-лайн перевірки статусу сертифіката)
5. Ідентифікація та автентифікація
5.1. Порядок ідентифікації та реєстрації заявників
Ідентифікація заявника – це встановлення заявника, підписувача (підписувачів), перевірка наданих заявником даних, що включаються у посилений сертифікат, його повноважень, на підставі наданих документів. Для перевірки інформації, наданої заявником, у тому числі відомостей про керівника заявника, його повноважень на представництво юридичної особи та право вчиняти дії від її імені без довіреності, адміністратор реєстрації використовує дані Єдиного державного реєстру юридичних осіб, фізичних осіб – підприємців та громадських формувань (далі – Єдиний державний реєстр).
Реєстрація заявника – внесення інформації про заявника та підписувача (підписувачів) до реєстру підписувачів АЦСК ІДД ДФС. Перед реєстрацією заявник (представник, відповідальна особа) повинен ознайомитись з умовами обслуговування посилених сертифікатів, передбачених Регламентом АЦСК ІДД ДФС.
Адміністратор реєстрації АЦСК ІДД ДФС виконує процедуру ідентифікації особи, яка звернулася до АЦСК ІДД ДФС, шляхом її встановлення за паспортом громадянина України, а за його відсутності паспортом громадянина іншої країни із нотаріально засвідченим перекладом на українську мову, посвідкою на тимчасове/постійне проживання, посвідченням біженця або паспортом громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі.
Відповідальна особа додатково ідентифікується за копією рішення керівника установи про визначення такої відповідальної особи.
За бажанням заявника, він може бути представлений довіреною особою (представником). В такому випадку заявник наділяє представника відповідними повноваженнями (подання до ВПР реєстраційних документів заявника, вчинення необхідних реєстраційних дій, генерація особистих ключів заявника тощо). Якщо реєстраційні документи заявника (реєстраційна картка тощо) підписані безпосередньо представником, в нотаріально посвідченій довіреності повинно бути додатково обумовлено наділення представника повноваженнями укладати від імені заявника договір про надання послуг ЕЦП.
Копії документів та витяги з них, що подаються на реєстрацію, крім нотаріально засвідчених, засвідчуються відповідно до діючого законодавства. Додатково, копії документів (усіх сторінок), оригінали яких було надано для ідентифікації, засвідчуються власноручним підписом адміністратора реєстрації.
Використання факсимільного підпису при завірянні документів не допускається.
Заявник зобов’язаний надати свої контактні дані, в тому числі номер телефону та діючу адресу електронної пошти, що дозволяють зв’язатися з ним.
З метою запобігання доступу сторонніх осіб до ключових даних підписувачів довірена особа (представник) разом з комплектом реєстраційних документів надає до ВПР АЦСК ІДД ДФС конверти з розрахунку один конверт для одного носія особистого ключа підписувача.
До розгляду не приймаються документи/копії документів, які мають підчистки, дописки, закреслені слова, інші незастережні виправлення, написи олівцем або мають пошкодження, внаслідок чого їх текст (фото) неможливо прочитати (розпізнати).
Після позитивної ідентифікації адміністратор реєстрації приймає рішення про реєстрацію підписувача.
Реєстрація здійснюється у присутності заявника (представника) або відповідальної особи та є підставою для генерації ключів, а також формування посиленого сертифіката підписувачу.
5.2. Ідентифікація та реєстрація юридичної особи
Встановлення заявника – юридичної особи здійснюється за установчими документами юридичної особи або копіями таких документів, які нотаріально засвідчені відповідно до законодавства, або іншими відомостями відповідно до Закону України від 15 травня 2003 року №755-IV «Про державну реєстрацію юридичних осіб, фізичних осіб – підприємців та громадських формувань» (у редакції Закону України від 26.11.2015 №835-VIII), які містяться у Єдиному державному реєстрі.
При ідентифікації юридичної особи з’ясовують:
- її повне та скорочене найменування;
- місцезнаходження;
- відомості про органи управління та їх склад;
- дані, що ідентифікують осіб, які мають право розпоряджатися рахунками та майном, їх повноваження;
- ідентифікаційний код згідно з Єдиним державним реєстром.
Документи, необхідні для отримання послуг ЕЦП юридичною особою:
- заповнена та підписана Реєстраційна картка (для юридичної особи) встановленого зразка, у двох примірниках;
- додаток до Реєстраційної картки (в разі одночасного отримання послуг ЕЦП для більш ніж однієї особи), у двох примірниках;
- оригінал статуту юридичної особи (засновницького договору, рішення про створення юридичної особи, яка діє на підставі модельного статуту) або його нотаріально засвідчена копія (надається виключно для ознайомлення);
- копії документів, що підтверджують належність підписувача (окрім керівника) до юридичної особи та його повноваження (наказ про призначення на посаду або трудовий договір);
- копія дозволу на застосування праці іноземців та осіб без громадянства або службової картки (за наявності таких осіб);
- копія паспорта підписувача (копії 1-2 сторінок (3-6 за наявності відміток) або копія паспорта підписувача виготовленого у формі картки, що містить безконтактний електронний носій (копії лицьової та зворотної сторін) або паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, засвідчена підписом власника;
- копія посвідки на постійне (тимчасове) місце проживання або паспорт громадянина іншої країни із нотаріально засвідченим перекладом на українську мову (для іноземних громадян);
- копія документа про зміну прізвища підписувача, виданого відповідним державним органом (якщо в поданих документах є невідповідність прізвища);
- копія картки платника податків, засвідчена підписом власника. За наявності у паспорті громадянина України реєстраційного номера облікової картки платника податків, замість копії картки платника податків, може бути подана копія сторінки паспорта громадянина України з відповідною відміткою, засвідчена підписом власника. Якщо через релігійні переконання фізична особа відмовилась від реєстраційного номеру облікової картки платника податків, додатково подається копія сторінки паспорту з відміткою про таку відмову.
Для отримання послуг ЕЦП управителем майна або відповідальною особою за утримання та внесення податків до бюджету, для подання звітності за договором про спільну діяльність, договором управління майном або угодою про розподіл продукції, окрім документів необхідних для отримання послуг ЕЦП юридичною особою, додатково надається завірена належним чином копія відповідного правочину.
5.3. Ідентифікація та реєстрація філій та представництв юридичної особи
Встановлення заявника здійснюється відповідно до п.5.2. Регламенту.
Документи, необхідні для отримання послуг ЕЦП філіями та представництвами юридичної особи:
- заповнена та підписана Реєстраційна картка (для юридичної особи) встановленого зразка, у двох примірниках;
- додаток до Реєстраційної картки (в разі одночасного отримання послуг ЕЦП для більш ніж однієї особи), у двох примірниках;
- оригінал положення про філію (представництво) або його нотаріально засвідчена копія (надається виключно для ознайомлення);
- документи, що підтверджують повноваження керівника філії (представництва) (копія довіреності на право здійснення повноважень щодо укладення від імені юридичної особи правочинів);
- документи, що підтверджують належність підписувача (окрім керівника) до філії (представництва) та його повноваження (копія наказу про призначення);
- копія дозволу на застосування праці іноземців та осіб без громадянства або службової картки (за наявності таких осіб);
- копія паспорта підписувача (копії 1-2 сторінок (3-6 за наявності відміток) або копія паспорта підписувача виготовленого у формі картки, що містить безконтактний електронний носій (копії лицьової та зворотної сторін) або паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, засвідчена підписом власника;
- копія посвідки на постійне (тимчасове) місце проживання, засвідчена підписом власника, або паспорт громадянина іншої країни із нотаріально засвідченим перекладом на українську мову (для іноземних громадян);
- копія документа про зміну прізвища підписувача, виданого відповідним державним органом (якщо в поданих документах є невідповідність прізвища);
- копія картки платника податків, засвідчена підписом власника. За наявності у паспорті громадянина України реєстраційного номера облікової картки платника податків, замість копії картки платника податків, може бути подана копія сторінки паспорта громадянина України з відповідною відміткою, засвідчена підписом власника. Якщо через релігійні переконання фізична особа відмовилась від реєстраційного номеру облікової картки платника податків, додатково подається копія сторінки паспорту з відміткою про таку відмову.
5.4. Ідентифікація та реєстрація іноземних представництв
Встановлення заявника здійснюється відповідно до п.5.2. Регламенту.
Документи, необхідні для отримання послуг ЕЦП іноземними представництвами:
- заповнена та підписана Реєстраційна картка (для юридичної особи) встановленого зразка, у двох примірниках;
- додаток до Реєстраційної картки (в разі одночасного отримання послуг ЕЦП для більш ніж однієї особи), у двох примірниках;
- копія свідоцтва про реєстрацію, виданого Міністерством економічного розвитку і торгівлі України або Міністерством фінансів України або Міністерством юстиції України;
- копія довіреності на керівника (керуючого) представництва;
- документи, що підтверджують належність підписувача до представництва:
- копія наказу про призначення, виданого керівником юридичної особи (для іноземців);
- копія наказу про призначення, виданого Дирекцією з обслуговування іноземних представництв «Інпредкадри» або управлінням зовнішніх зносин та зовнішньоекономічної діяльності облдержадміністрацій, або підприємствами, визначеними обласними державними адміністраціями (для громадян України, які працюють в іноземних представництвах).
- копія паспорта підписувача (копії 1-2 сторінок (3-6 за наявності відміток) або копія паспорта підписувача виготовленого у формі картки, що містить безконтактний електронний носій (копії лицьової та зворотної сторін) або паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, засвідчена підписом власника;
- копія посвідки на постійне (тимчасове) місце проживання, засвідчена підписом власника, або паспорт громадянина іншої країни із нотаріально засвідченим перекладом на українську мову (для іноземних громадян);
- копія документа про зміну прізвища підписувача, виданого відповідним державним органом (якщо в поданих документах є невідповідність прізвища);
- копія картки платника податків, засвідчена підписом власника. За наявності у паспорті громадянина України реєстраційного номера облікової картки платника податків, замість копії картки платника податків, може бути подана копія сторінки паспорта громадянина України з відповідною відміткою, засвідчена підписом власника. Якщо через релігійні переконання фізична особа відмовилась від реєстраційного номеру облікової картки платника податків, додатково подається копія сторінки паспорту з відміткою про таку відмову.
5.5. Ідентифікація та реєстрація установ
Встановлення заявника здійснюється відповідно до п.5.2. Регламенту.
Документи, необхідні для отримання послуг електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності (далі – установа):
- заповнена та підписана Реєстраційна картка (для юридичної особи) встановленого зразка, у двох примірниках;
- додаток до Реєстраційної картки (в разі одночасного отримання послуг ЕЦП для більш ніж однієї особи), у двох примірниках;
- оригінал статуту юридичної особи (положення) або його нотаріально засвідчена копія (надається виключно для ознайомлення);
- копія рішення керівника установи про визначення відповідальної особи/підрозділу в установі;
- копія дозволу на застосування праці іноземців та осіб без громадянства або службової картки (за наявності таких осіб);
- копія паспорта підписувача (копії 1-2 сторінок (3-6 за наявності відміток) або копія паспорта підписувача виготовленого у формі картки, що містить безконтактний електронний носій (копії лицьової та зворотної сторін) або паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, засвідчена підписом власника;
- копія посвідки на постійне (тимчасове) місце проживання, засвідчена підписом власника, або паспорт громадянина іншої країни із нотаріально засвідченим перекладом на українську мову (для іноземних громадян);
- копія документа про зміну прізвища підписувача, виданого відповідним державним органом (якщо в поданих документах є невідповідність прізвища);
- копія картки платника податків, засвідчена підписом власника. За наявності у паспорті громадянина України реєстраційного номера облікової картки платника податків, замість копії картки платника податків, може бути подана копія сторінки паспорта громадянина України з відповідною відміткою, засвідчена підписом власника. Якщо через релігійні переконання фізична особа відмовилась від реєстраційного номеру облікової картки платника податків, додатково подається копія сторінки паспорту з відміткою про таку відмову.
АЦСК ІДД ДФС розглядає підписання Реєстраційної картки (для юридичної особи) (у тому числі додаток до Реєстраційної картки) керівником, як надання відповідним підписувачам права на застосування ЕЦП в установі та підтвердження їх належності до установи.
5.6. Ідентифікація та реєстрація фізичної особи
Встановлення фізичної особи здійснюється за паспортом громадянина України (паспортом громадянина іншої країни із нотаріально засвідченим перекладом на українську мову, посвідки на тимчасове/постійне проживання, посвідчення біженця або паспортом громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі).
Документи, необхідні для отримання послуг ЕЦП фізичною особою:
- заповнена та підписана Реєстраційна картка (для фізичної особи) встановленого зразка, у двох примірниках;
- копія паспорта підписувача (копії 1-2 сторінок (3-6 за наявності відміток) та сторінка з відміткою про реєстрацію місця проживання) або копія паспорта підписувача виготовленого у формі картки, що містить безконтактний електронний носій (копії лицьового та зворотного боку та копія паперового витягу з Єдиного державного демографічного реєстру про адресу реєстрації місця проживання, або копія Довідки про реєстрацію місця проживання фізичної особи), або паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, засвідчена підписом власника;
- копія посвідки на постійне (тимчасове) місце проживання, засвідчена підписом власника, або паспорт громадянина іншої країни із нотаріально засвідченим перекладом на українську мову (для іноземних громадян);
- копія картки платника податків, засвідчена підписом власника. За наявності у паспорті громадянина України реєстраційного номера облікової картки платника податків, замість копії картки платника податків, може бути подана копія сторінки паспорта громадянина України з відповідною відміткою, засвідчена підписом власника. Якщо через релігійні переконання фізична особа відмовилась від реєстраційного номеру облікової картки платника податків, додатково подається копія сторінки паспорту з відміткою про таку відмову.
5.7. Прийняття рішення про відмову у наданні послуг ЕЦП
Адміністратор реєстрації приймає рішення про відмову в реєстрації у разі:
- відсутності необхідних для ідентифікації та реєстрації документів;
- відсутності у заявника/відповідальної особи документів, які засвідчують її особу та повноваження;
- подання неналежно засвідчених копій документів;
- подання документів/копій документів, які мають підчистки, дописки, закреслені слова, інші незастережні виправлення, написи олівцем або мають пошкодження, внаслідок чого їх текст (фото) неможливо прочитати (розпізнати);
- невідповідності даних, що визначені в поданих документах, фактичним даним заявника (підписувача);
- ненадання контактного номеру телефону та/або діючої електронної адреси;
- ненадання достатньої кількості конвертів для носіїв ключової інформації підписувачів (у разі звернення довіреної особи (представника);
- ненадання запитів на формування посилених сертифікатів відповідальною особою;
- відсутності носіїв для запису ключової інформації у підписувача на момент реєстрації;
- з інших обґрунтованих підстав.
У випадку відмови в реєстрації один примірник реєстраційної картки з додатками та позначкою адміністратора реєстрації про відмову із зазначенням підстав повертається заявнику, а другий з такою ж позначкою залишається у ВПР.
АЦСК ІДД ДФС має право відмовити в реєстрації у разі, якщо підписувач є ув’язненим або засудженим та утримується в слідчому ізоляторі або відбуває покарання в установах виконання покарань.
5.8. Порядок повторної реєстрації заявника після закінчення строку обслуговування посилених сертифікатів
Процедура повторної реєстрації заявника після закінчення строку обслуговування посилених сертифікатів здійснюється відповідно до первинної процедури реєстрації заявника.
5.9. Автентифікація підписувача під час звернення щодо блокування, поновлення та скасування посилених сертифікатів
В залежності від порядку звернення щодо блокування, поновлення та скасування посилених сертифікатів передбачені різні форми автентифікації підписувача та перевірки законності такого звернення:
- у разі письмового звернення заявника, його законність встановлюється за власноручним підписом заявника;
- у разі звернення підписувача шляхом направлення запиту на блокування/скасування посиленого сертифіката в електронному вигляді, законність звернення встановлюється шляхом перевірки ЕЦП на запиті за допомогою чинного посиленого сертифіката підписувача;
- у разі звернення щодо блокування/скасування посиленого сертифіката по телефону, законність звернення встановлюється за ключовою фразою голосової автентифікації, що вказується підписувачем під час реєстрації.
5.10. Захист персональних даних підписувачів
Забезпечується шляхом вжиття:
- організаційних заходів щодо обліку та зберігання особових справ клієнтів, зокрема формування особових справ клієнтів та їх облік, обмежений доступ обслуговуючого персоналу до приміщення (шаф), де зберігаються особові справи клієнтів. За збереження особових справ клієнтів відповідають адміністратори реєстрації підрозділу АЦСК ІДД ДФС, в якому ці особові справи були сформовані;
- організаційно-технічних та технічних заходів реалізованих комплексною системою захисту інформації автоматизованої системи АЦСК ІДД ДФС (далі – КСЗІ), у тому числі: використанням надійних засобів ЕЦП, веденням журналів роботи системи у захищеному вигляді, розмежування та контролю інформаційних потоків між внутрішньою локальною мережею АЦСК ІДД ДФС та підсистемою відкритого доступу, використанням антивірусних засобів, міжмережних екранів тощо.
Захист персональних даних підписувачів здійснюється відповідно до законодавства у сфері захисту персональних даних.
6. Процедури та механізми обслуговування посилених сертифікатів
6.1. Порядок генерації ключів підписувачів
Відкритий та особистий ключі підписувача можуть бути згенеровані:
- безпосередньо в установі (для посадових осіб органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності);
- на станції генерації ключів в АЦСК ІДД ДФС.
Для генерації відкритих та особистого ключів підписувача безпосередньо в установі застосовуються надійні засоби ЕЦП. При цьому генерація здійснюється з використанням технічних засобів заявника. Згенерований особистий ключ підписувача захищається паролем та записується на носій ключової інформації. Відповідальність за забезпечення конфіденційності та цілісності особистого ключа несе підписувач.
Довіряння повноважень з генерації ключів посадовими особами органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності забороняється.
Надійний засіб ЕЦП за допомогою відповідного особистого ключа створює самопідписані запити на формування посилених сертифікатів підпису та шифрування, які містять відкриті ключі підписувача та додаткову інформацію для формування посилених сертифікатів у АЦСК ІДД ДФС.
Запити на формування посилених сертифікатів підпису та шифрування зберігаються підписувачем у форматах: «ПІБ EU-XXXXXXXX.p10» та «ПІБ EU-KEP-XXXXXXXX.p10» відповідно (для електронної печатки замість «ПІБ» зазначається «електронна печатка та ЄДРПОУ юридичної особи»). Розширення файлу запиту (.p10) повинно залишатися без змін.
Наприклад:
Петренко Петро Васильович EU-6E50VH92.p10;
Петренко Петро Васильович EU-KEP-3R15GT23.p10, де:
- «Петренко Петро Васильович» – прізвище, ім’я по батькові підписувача;
- «EU-6E50VH92.p10» – унікальне ім’я файлу запиту для формування посиленого сертифіката підпису, що створюється за замовчуванням;
- «EU-KEP-3R15GT23.p10» – унікальне ім’я файлу запиту для формування посиленого сертифіката шифрування, що створюється за замовчуванням.
Передача до АЦСК ІДД ДФС сформованих підписувачем запитів здійснюється на носії інформації особисто підписувачем або відповідальною особою після процедури реєстрації заявника.
У разі генерації відкритих та особистого ключа підписувача в АЦСК ІДД ДФС ключі генеруються ним особисто або його представником на станції генерації ключів, що входить до складу програмно-технічного комплексу АЦСК ІДД ДФС. У разі генерації ключів підписувача представником адміністратор реєстрації у його присутності вилучає носій з ключовою інформацією зі станції генерації ключів, запечатує його в конверт та скріплює власним підписом з прикладенням печатки ВПР АЦСК ІДД ДФС. На конверті обов’язково зазначається ПІБ підписувача та застереження «Увага! У цьому конверті міститься особистий ключ ЕЦП. Відкрити цей конверт має право лише власник особистого ключа, ПІБ якого зазначені на конверті.».
Особистий ключ підписувача записується на носій ключової інформації та залишається у нього, а сформовані запити на формування посилених сертифікатів передаються через службовий носій інформації на робочу станцію адміністратора реєстрації.
Особисті ключі підписувачів та паролі захисту до них в АЦСК ІДД ДФС не зберігаються.
Строк дії особистого ключа підписувача становить не більше двох (2) років. Початком строку дії особистого ключа вважається дата та час формування посиленого сертифіката, що містить відкритий ключ відповідний до особистого.
6.2. Порядок подання запиту на сертифікацію
Для формування посилених сертифікатів використовуються запити на формування посилених сертифікатів підпису та шифрування, які створюються в процесі генерації особистого та відкритих ключів.
Підтвердження володіння підписувачем відповідним особистим ключем та його відповідність відкритим ключам здійснюється адміністратором реєстрації без розкриття особистого ключа підписувача, шляхом перевірки ЕЦП на запиті за допомогою відкритого ключа, що міститься у запиті.
Якщо генерація особистих та відкритих ключів була проведена за межами АЦСК ІДД ДФС, запити на сертифікацію подаються адміністратору реєстрації відповідальною особою, яка пройшла процедуру ідентифікації та реєстрації.
Процедура подання запитів на сертифікацію для підписувачів, які мають чинний посилений сертифікат ідентична процедурі подання запитів на сертифікацію для нового підписувача.
6.3. Порядок формування посилених сертифікатів та надання їх підписувачам
Після ідентифікації та реєстрації заявника відповідно до п.5 Регламенту та генерації ключів підписувача, адміністратор реєстрації виконує процедуру перевірки унікальності відкритих ключів підписувача в реєстрі посилених сертифікатів АЦСК ІДД ДФС, включає дані про обмеження сфери використання ЕЦП, інші дані на вимогу заявника та надсилає електронні запити у захищеному вигляді до АЦСК ІДД ДФС для формування посилених сертифікатів. Адміністратор сертифікації здійснює контроль за формуванням посилених сертифікатів.
Строк обробки запиту на сертифікацію становить не більше двох (2) годин.
Сформовані посилені сертифікати вносяться до реєстру посилених сертифікатів АЦСК ІДД ДФС на інформаційному ресурсі АЦСК ІДД ДФС.
Адміністратор реєстрації, за бажанням клієнта, записує сформовані посилені сертифікати на окремий електронний носій інформації клієнта. Виготовлення посилених сертифікатів на паперових носіях здійснюється на вимогу клієнта у двох примірниках та засвідчується власноручним підписом клієнта, адміністратора реєстрації з прикладенням печатки АЦСК ІДД ДФС (ВПР).
По завершенню процедури формування посилених сертифікатів клієнту надаються:
- посилені сертифікати в електронному вигляді, за бажанням клієнта, записані на окремий електронний носій інформації, за умови надання такого носія;
- надійні засоби ЕЦП (розміщені на інформаційному ресурсі АЦСК ІДД ДФС);
- посилені сертифікати в роздрукованому вигляді (на вимогу клієнта).
Посилені сертифікати підписувача, сформовані АЦСК ІДД ДФС чинні не більше ніж два роки.
Після отримання посилених сертифікатів клієнт повинен перевірити достовірність відомостей, викладених у ньому. При виявлені недостовірних даних або помилок клієнт повинен повідомити АЦСК ІДД ДФС (ВПР) в порядку, визначеному для скасування посиленого сертифіката. Після скасування сертифіката та виправлення реєстраційних даних формується новий посилений сертифікат.
У разі формування нових посилених сертифікатів, заявнику (підписувачу) необхідно попередньо скасувати діючі посилені сертифікати.
6.4. Порядок повторного формування посиленого сертифіката
Повторне формування посиленого сертифіката полягає у формуванні нового посиленого сертифіката у разі передчасного (протягом строку обслуговування) скасування чинного посиленого сертифіката через компрометацію особистого ключа або зміну відомостей про підписувача зазначених у посиленому сертифікаті.
При повторному формуванні посиленого сертифіката адміністратор реєстрації повинен здійснити перевірку стосовно того, що інформація, яка надавалася раніше заявником під час реєстрації, дійсна.
При виникненні необхідності зміни даних, зазначених у посиленому сертифікаті, АЦСК ІДД ДФС може здійснити переформування посиленого сертифіката підписувачу із використанням попередньо засвідченого відкритого ключа підписувача у разі, якщо відповідний йому особистий ключ не був скомпрометований. При цьому не повинні бути порушені вимоги пункту 5.2 Правил, а час чинності особистого ключа та відповідного йому відкритого ключа не може перевищувати двох років.
6.5. Використання посилених сертифікатів та особистого ключа
Права та обов’язки підписувача (заявника)
Підписувач (заявник) зобов’язаний:
- ознайомитись та дотримуватись умов надання послуг ЕЦП, визначених цим Регламентом та відповідними нормативними документами;
- надавати повну та дійсну інформацію під час реєстрації, необхідну для його ідентифікації та формування посилених сертифікатів підписувача;
- зберігати у таємниці особистий ключ ЕЦП та вживати всіх можливих заходів для запобігання його втрати, розкриття, зміни назви, зміни формату чи несанкціонованого використання;
- не розголошувати іншим особам пароль захисту особистого ключа та ключову фразу голосової автентифікації;
- не розголошувати іншим особам пароль захисту захищеного носія ключової інформації, на якому знаходиться особистий ключ ЕЦП;
- використовувати особистий ключ виключно для мети, визначеної у посиленому сертифікаті та додержуватися інших обмежень щодо сфери використання посиленого сертифіката;
- використовувати надійні засоби ЕЦП для генерації особистих та відкритих ключів, формування та перевірки ЕЦП;
- негайно інформувати АЦСК ІДД ДФС про наступні події, що трапилися до закінчення строку чинності посиленого сертифіката: компрометацію особистого ключа, компрометацію паролю захисту особистого ключа, виявлені неточності або зміну даних, зазначених у посиленому сертифікаті;
- не використовувати особистий ключ у разі його компрометації;
- не використовувати особистий ключ, відповідний до посиленого сертифіката, заява на скасування чи блокування якого подана до АЦСК ІДД ДФС, протягом часу з моменту подання заяви і до моменту офіційного повідомлення про скасування посиленого сертифіката;
- не використовувати для накладання ЕЦП особистий ключ, відповідний до посиленого сертифіката, який скасований або блокований.
Якщо заявник та підписувач є різними суб’єктами, заявник повинен зобов’язати підписувача виконувати вимоги Регламенту.
Підписувач (заявник) має право:
- своєчасно отримувати послуги ЕЦП;
- цілодобового вільного доступу з використанням телекомунікаційних мереж загального користування до посилених сертифікатів інших підписувачів, даних про статус посилених сертифікатів, посиленого сертифіката АЦСК ІДД ДФС, нормативних документів з питань надання послуг ЕЦП;
- одержувати посилені сертифікати АЦСК ІДД ДФС;
- одержувати списки відкликаних сертифікатів, сформовані АЦСК ІДД ДФС;
- застосовувати посилений сертифікат АЦСК ІДД ДФС для перевірки посилених сертифікатів, сформованих АЦСК ІДД ДФС;
- застосовувати списки відкликаних сертифікатів, сформовані АЦСК ІДД ДФС, для перевірки статусу власних посилених сертифікатів та посилених сертифікатів інших підписувачів;
- ознайомлюватись з інформацією щодо діяльності АЦСК ІДД ДФС та надання послуг ЕЦП;
- подавати заяви та скарги;
- вимагати скасування, блокування або поновлення свого блокованого посиленого сертифіката відповідно до вимог Регламенту;
- вимагати від АЦСК ІДД ДФС усунення порушень умов Регламенту та договору про надання послуг ЕЦП;
- вимагати від АЦСК ІДД ДФС виконання вимог захисту персональних даних підписувача;
- оскаржити дії чи бездіяльність АЦСК ІДД ДФС у судовому порядку.
Користувач має право:
- цілодобового вільного доступу з використанням телекомунікаційних мереж загального користування до посилених сертифікатів інших підписувачів, даних про статус посилених сертифікатів, посиленого сертифіката АЦСК ІДД ДФС, нормативних документів з питань надання послуг ЕЦП;
- одержувати посилені сертифікати АЦСК ІДД ДФС;
- одержувати списки відкликаних сертифікатів, сформовані АЦСК ІДД ДФС;
- ознайомлюватись з інформацією щодо діяльності АЦСК ІДД ДФС та надання послуг ЕЦП;
- використовувати надійні засоби ЕЦП;
- отримання консультацій з питань ЕЦП від АЦСК ІДД ДФС.
Користувач зобов’язаний:
- використовувати надійні засоби ЕЦП під час перевірки статусу посиленого сертифіката;
- здійснювати перевірку чинності сертифіката з використанням інформації про статус сертифіката;
- враховувати усі визначені у сертифікаті вимоги щодо його використання.
Користувач під час використання посиленого сертифіката несе відповідальність згідно з чинним законодавством.
6.6. Підстави та порядок скасування, блокування та поновлення посилених сертифікатів
6.6.1. Підстави скасування посилених сертифікатів
Скасування посиленого сертифіката – це дострокове припинення чинності посиленого сертифіката. Скасовані посилені сертифікати поновленню не підлягають. АЦСК ІДД ДФС негайно скасовує сформований посилений сертифікат підписувача у разі:
- закінчення строку чинності сертифіката ключа;
- набрання законної сили рішенням суду про скасування посиленого сертифіката;
- смерті підписувача або оголошення його померлим за рішенням суду;
- визнання підписувача недієздатним за рішенням суду;
- припинення діяльності клієнта (юридичної особи або фізичної особи – підприємця);
- компрометації особистого ключа підписувача;
- розірвання підписувачем трудового договору з клієнтом (юридичною особою або фізичною особою – підприємцем);
- надання клієнтом недостовірних даних;
- не поновлення клієнтом заблокованого сертифіката протягом 30 календарних днів;
- припинення (розірвання) договору про надання послуг ЕЦП з клієнтом;
- за заявою клієнта або його уповноваженого представника.
6.6.2. Обставини, за яких посилений сертифікат повинен бути скасований клієнтом
Клієнт зобов’язаний невідкладно звернутися до АЦСК ІДД ДФС за скасуванням посиленого сертифіката у разі:
- компрометації особистого ключа підписувача (факт або обґрунтована підозра того, що особистий ключ став відомий іншим особам, втрата можливості подальшого використання особистого ключа із будь-яких обставин, зокрема, втрата або пошкодження носія ключової інформації тощо);
- зміни відомостей, зазначених у посиленому сертифікаті;
- виявлення помилок у реквізитах посиленого сертифіката тощо.
Документи, що були підставою для скасування, блокування або поновлення посиленого сертифіката, фіксуються та зберігаються в АЦСК ІДД ДФС.
6.6.3. Порядок блокування/скасування посилених сертифікатів
Під блокуванням посиленого сертифіката розуміється тимчасове припинення чинності посиленого сертифіката.
Після блокування посиленого сертифіката, клієнт може протягом тридцяти календарних днів поновити чинність посиленого сертифіката. Блокований посилений сертифікат буде автоматично скасований АЦСК ІДД ДФС, якщо протягом зазначеного строку клієнт не поновить його чинність.
У разі не повідомлення заявником про зміну даних, зазначених у чинних посилених сертифікатах (п. 6.5. Регламенту), при виявленні АЦСК ІДД ДФС невідповідності даних посилених сертифікатів інформації з Єдиного державного реєстру, останній має право блокувати відповідні посилені сертифікати з повідомленням заявника засобами телекомунікаційного зв’язку.
Під скасуванням посиленого сертифіката розуміється припинення чинності посиленого сертифіката.
Блокування/скасування посиленого сертифіката здійснюється на підставі заяви клієнта: в усній, письмовій чи електронній формі (за електронним запитом).
6.6.4. Блокування/скасування посиленого сертифіката за заявою в усній формі
Заява на блокування чи скасування посиленого сертифіката в усній формі подається клієнтом (підписувачем) до АЦСК ІДД ДФС засобами телефонного зв’язку за номером, який опублікований АЦСК ІДД ДФС на власному інформаційному ресурсі, при цьому клієнт (підписувач) повинен повідомити адміністратору реєстрації наступну інформацію:
- ідентифікаційні дані власника посиленого сертифіката;
- ключову фразу голосової автентифікації.
Заява в усній формі приймається тільки у випадку позитивної автентифікації (збігу голосової фрази та ідентифікаційних даних підписувача з інформацією в реєстрі підписувачів).
Усна заява може бути подана протягом робочого дня відокремленого пункту реєстрації. Обробка усної заяви на блокування посиленого сертифіката та інформування його власника здійснюється протягом тридцяти хвилин з моменту подання заяви.
6.6.5. Блокування/скасування посиленого сертифіката за заявою у письмовій формі
Письмова заява подається до АЦСК ІДД ДФС (ВПР) за встановленою формою.
Подання заяви про зміну статусу посиленого сертифіката відкритого ключа з метою блокування/скасування посиленого сертифіката здійснюється тільки протягом робочого дня АЦСК ІДД ДФС. У разі, неможливості подання заяви особисто клієнтом, повноваження на блокування/скасування посиленого сертифіката можуть бути надані довіреній особі.
Обробка такої заяви та інформування клієнта повинні бути здійснені протягом двох годин з моменту отримання заяви.
Часом блокування/скасування посиленого сертифіката вважається час зміни його статусу в реєстрі сертифікатів АЦСК ІДД ДФС.
6.6.6. Блокування/скасування посиленого сертифіката за електронним запитом
Електронний запит на блокування/скасування посиленого сертифіката передається до ПТК АЦСК ІДД ДФС у формі вкладення у вигляді HTTP-запиту. Електронний запит може бути поданий цілодобово.
Електронний запит формується підписувачем за допомогою надійних засобів ЕЦП, які надаються АЦСК ІДД ДФС.
Електронний запит на блокування/скасування посиленого сертифіката підписувача засвідчується ЕЦП, накладеним за допомогою його особистого ключа.
Обробка електронного запиту та інформування підписувача про блокування/скасування посиленого сертифіката здійснюється в режимі реального часу.
6.6.7. Порядок поновлення чинності посилених сертифікатів
Поновлення чинності посиленого сертифіката можливе лише для заблокованих посилених сертифікатів, термін блокування яких не скінчився.
Для здійснення поновлення чинності посиленого сертифіката, заявник подає до АЦСК ІДД ДФС або ВПР, письмову заяву встановленого зразка.
Подання заяви на поновлення чинності посиленого сертифіката здійснюється тільки протягом робочого дня АЦСК ІДД ДФС. У разі, неможливості подання заяви особисто підписувачем, він може надати довіреній особі повноваження для поновлення чинності його посиленого сертифіката.
Обробка письмової заяви на поновлення чинності посиленого сертифіката та інформування заявника повинні бути здійснені протягом двох годин з моменту подання заяви.
Часом поновлення чинності посиленого сертифіката вважається час зміни його статусу у реєстрі посилених сертифікатів АЦСК ІДД ДФС.
6.7. Закінчення строку чинності посиленого сертифіката підписувача
Строк дії особистого та відкритого ключа дорівнює строку чинності відповідного посиленого сертифіката.
Після закінчення строку чинності посиленого сертифіката, він вилучається з інформаційного ресурсу АЦСК ІДД ДФС та переміщується до архіву.
АЦСК ІДД ДФС зберігає посилений сертифікат та пов’язані з ним списки відкликаних сертифікатів безстроково. За запитом користувачів, АЦСК ІДД ДФС надає доступ до необхідного сертифіката та пов’язаних з ним списків відкликаних сертифікатів з архівних записів АЦСК ІДД ДФС.
6.8. Розповсюдження інформації про статус посилених сертифікатів
Для розповсюдження інформації про статус посилених сертифікатів підписувачів використовується механізм списку відкликаних сертифікатів та механізм визначення статусу посиленого сертифіката в режимі реального часу за допомогою OCSP протоколу.
У разі скасування (блокування, поновлення) посиленого сертифіката, оновлений список відкликаних сертифікатів випускається та публікується не пізніше двох годин після отримання запиту на відкликання посиленого сертифіката.
АЦСК ІДД ДФС надає всім користувачам послугу інтерактивного визначення статусу посиленого сертифіката. Послуга надається шляхом відправлення запиту за допомогою протоколу HTTP на OCSP-сервер АЦСК ІДД ДФС.
Якщо запит сформовано вірно, OCSP – сервер повертає відповідь на запит з інформацією про статус сертифіката.
6.9. Порядок надання послуг визначення статусу посиленого сертифіката в інтерактивному режимі (он-лайн перевірки статусу сертифіката)
Служба інтерактивного визначення статусу посиленого сертифіката (далі – OCSP сервер) – сервісна служба АЦСК ІДД ДФС, яка за запитами користувачів визначає статус посилених сертифікатів та надсилає відповідь, де зазначається статус сертифіката, який перевіряється, на даний момент.
Вимоги до протоколу визначення статусу сертифіката засновані на міжнародному стандарті RFC 2560 «Internet X.509 Public Key Infrastructure Online Certificate Status Protocol – OCSP».
Передача запиту на перевірку статусу сертифіката відбувається за допомогою методу GET або POST протоколу HTTP. Для передачі запиту на формування статусу сертифіката та отримання відповіді застосовується транспортний протокол HTTP.
Звичайно, статус посиленого сертифіката визначається за присутністю інформації про нього у списках CRL, які формуються із заданою періодичністю. Служба OCSP дозволяє отримати інформацію про стан посиленого сертифіката безпосередньо у будь-який момент часу, навіть якщо запису про зміну стану сертифіката в CRL списках ще немає.
Запит на інтерактивну перевірку статусу посиленого сертифіката виконується ПЗ підписувача АЦСК ІДД ДФС за протоколом OCSP, та представляється у вигляді повідомлення «OCSPRequest». Відповідь на інтерактивну перевірку статусу посиленого сертифіката надається у вигляді повідомлення «OCSPResponse». Формування та додержання вимог протоколу та аналіз одержаного відгуку цілком покладається на надійні засоби ЕЦП підписувача.
Служба OCSP надає послуги в режимі трансакції, тобто кожному запиту відповідає один і лише один відгук, ініціатором транзакції виступає підписувач (програмне забезпечення підписувача). Трансакція служби OCSP починається з підготовки запиту у визначеному форматі клієнтським програмним забезпеченням, яке надсилає його до служби OCSP.
Якщо відповідь отримана від OCSP-сервера відповідає п.2.14 вимог до протоколу визначення статусу посиленого сертифіката, затвердженого наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації від 20.08.2012 №1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису» (із змінами), а OCSPResponseStatus дорівнює нулю, результат отриманого стану чинності посиленого сертифіката вважається достовірним і може бути використаний в подальшій роботі.