Регламент роботи
Витяг з Регламенту Кваліфікованого надавача електронних довірчих послуг Інформаційно-довідкового департаменту ДПС
5 ІДЕНТИФІКАЦІЯ ТА АВТЕНТИФІКАЦІЯ
6 ПОЛІТИКА СЕРТИФІКАТА ТА ПОЛОЖЕННЯ СЕРТИФІКАЦІЙНИХ ПРАКТИК
5. ІДЕНТИФІКАЦІЯ
Реєстрація – внесення інформації про заявника до реєстру користувачів Надавача. Перед реєстрацією заявник повинен ознайомитись з умовами обслуговування кваліфікованих сертифікатів, передбачених Регламентом Надавача. Формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються. Ідентифікація особи, яка звертається за отриманням послуги формування кваліфікованого сертифіката електронного підпису чи печатки, здійснюється за умови її особистої присутності за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи з використанням сервісу перевірки чинності документів "Перевірка за базою недійсних документів". Допускається ідентифікація особи Надавачем за ідентифікаційними даними, що містяться у раніше сформованому ним кваліфікованому сертифікаті відкритого ключа, за умови чинності цього сертифіката (при повторному (дистанційному) формуванні сертифікатів за електронним запитом). Відповідальна особа додатково надає засвідчені відповідно до діючого законодавства копію рішення керівника установи про визначення такої відповідальної особи та оригінал паспорта громадянина України або іншого документа, який унеможливлює виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи (надається у разі звернення відповідальної особи для подання заяви про зміну статусу кваліфікованого сертифіката відкритих ключів (скасування, блокування або поновлення) та/або отримання (формування) технологічних сертифікатів). Для подання Надавачу інформації, необхідної для отримання ЕДП, установа може використовувати систему електронної взаємодії органів виконавчої влади у разі: – використання такої системи Надавачем; – дотримання вимог щодо захисту інформації в такій системі установою та Надавачем. Копії документів та витяги з них, що подаються на реєстрацію, крім нотаріально засвідчених, засвідчуються відповідно до діючого законодавства. Додатково, копії документів (усіх сторінок), оригінали яких було надано для ідентифікації, засвідчуються власноручним підписом адміністратора реєстрації. Реєстрація заявника можлива лише за умови надання оригіналу (для ознайомлення) паспорта громадянина України (паспорта громадянина України для виїзду за кордон з відміткою про постійне місце проживання в іноземній державі, посвідки на постійне (тимчасове) місце проживання, посвідчення біженця) та надання копії даного документу, засвідченої відповідно до діючого законодавства. Використання факсимільного відтворення підпису при засвідченні документів не допускається. Заявник зобов’язаний надати свої контактні дані, в тому числі номер телефону та діючу адресу електронної пошти, що дозволяють зв’язатися з ним. До розгляду не приймаються документи/копії документів, які мають підчистки, дописки, закреслені слова, інші незастережні виправлення, написи олівцем або мають пошкодження, внаслідок чого їх текст (фото) неможливо прочитати (розпізнати). Після позитивної ідентифікації адміністратор реєстрації приймає рішення про реєстрацію заявника. Реєстрація здійснюється за особистої присутності заявника та є підставою для генерації ключів заявником або прийняття від нього запитів на сертифікацію, а також формування відповідних кваліфікованих сертифікатів відкритих ключів.
При ідентифікації юридичної особи з’ясовують:
При ідентифікації фізичної особи з’ясовують:
Перелік документів, необхідних для отримання кваліфікованих сертифікатів електронного підпису чи печатки юридичними та фізичними особами, а також особливості отримання ЕДП різними категоріями осіб визначається розпорядчим документом Надавача та публікується на офіційному інформаційному ресурсі Надавача.
У разі відмови в реєстрації, на вимогу заявника, один примірник реєстраційної картки з додатками та позначкою адміністратора реєстрації про відмову із зазначенням підстав повертається заявнику, а другий з такою ж позначкою залишається у ВПР. Додатково, адміністратор реєстрації може долучити копію документу, на підставі якого було відмовлено у реєстрації.
В залежності від порядку звернення щодо блокування, поновлення та скасування кваліфікованих сертифікатів передбачені різні форми автентифікації користувача та перевірки законності такого звернення:
Забезпечується шляхом вжиття:
6. ПОЛІТИКА СЕРТИФІКАТА ТА ПОЛОЖЕННЯ СЕРТИФІКАЦІЙНИХ ПРАКТИК
Відкритий та особистий ключі заявника можуть бути згенеровані:
Для надання кваліфікованих електронних довірчих послуг використовуються засоби кваліфікованого електронного підпису чи печатки, які повинні мати документи про відповідність або позитивний експертний висновок за результатами їх державної експертизи у сфері криптографічного захисту інформації. Для генерації відкритого та особистого ключів на стаціонарному робочому місці або на власному портативному обчислювальному пристрої заявника застосовуються засоби кваліфікованого електронного підпису чи печатки. При цьому генерація здійснюється з використанням технічних засобів заявника. Згенерований особистий ключ користувача захищається паролем на захищеному носії особистих ключів. Відповідальність за забезпечення конфіденційності та цілісності особистого ключа несе користувач. Засіб кваліфікованого електронного підпису чи печатки за допомогою відповідного особистого ключа створює самопідписані запити на формування кваліфікованих сертифікатів підпису та шифрування, які містять відкриті ключі користувача та додаткову інформацію для формування кваліфікованих сертифікатів у Надавача. Запити на формування кваліфікованих сертифікатів підпису та шифрування зберігаються користувачем у форматах: «ПІБ EU-XXXXXXXX.p10» та «ПІБ EU-KEP-XXXXXXXX.p10» відповідно (для електронної печатки замість «ПІБ» зазначається «найменування печатки та ЄДРПОУ юридичної особи»). Розширення файлу запиту (.p10) повинно залишатися без змін. Наприклад: Петренко Петро Васильович EU-6E50VH92.p10; Петренко Петро Васильович EU-KEP-3R15GT23.p10, де:
При формуванні кваліфікованих сертифікатів електронних печаток для використання їх у програмних реєстраторах розрахункових операцій (далі – ПРРО) фізичним особам-підприємцям або юридичним особам, проставляється ознака «для РРО № Х», де Х – номер електронної печатки. Передача до ВПР сформованих користувачем запитів здійснюється засобами електронної пошти чи на носієві інформації особисто користувачем або відповідальною особою. У разі генерації відкритого та особистого ключів користувача у ВПР ключі генеруються ним особисто на станції генерації ключів, що входить до складу ПТК Надавача. Особистий ключ користувача генерується на захищений носій особистого ключа та залишається у нього, а сформовані запити на формування кваліфікованих сертифікатів передаються через службовий носій інформації на робочу станцію адміністратора реєстрації. Особисті ключі користувачів та паролі захисту до них у Надавача не зберігаються. Строк дії особистого ключа користувача становить не більше двох (2) років. Початком строку дії особистого ключа вважається дата та час формування кваліфікованого сертифіката, що містить відкритий ключ відповідний до особистого.
Для формування кваліфікованих сертифікатів використовуються запити на формування кваліфікованих сертифікатів підпису та шифрування, які створюються в процесі генерації особистого та відкритого ключів. Підтвердження володіння користувачем відповідним особистим ключем та його відповідність відкритим ключам здійснюється адміністратором реєстрації без розкриття особистого ключа користувача, шляхом перевірки кваліфікованого або удосконаленого електронного підпису чи печатки на запиті за допомогою відкритого ключа, що міститься у запиті. Якщо генерація особистих та відкритих ключів була проведена за межами приміщення Надавача, запити на сертифікацію подаються адміністратору реєстрації засобами електронної пошти чи на носієві інформації користувачем особисто або відповідальною особою.
Після ідентифікації та реєстрації заявника відповідно до розділу 5 Регламенту та генерації ключів користувача, адміністратор реєстрації виконує процедуру перевірки унікальності відкритих ключів користувача в реєстрі сертифікатів Надавача, включає дані про обмеження сфери використання, інші дані на вимогу заявника та надсилає електронні запити у захищеному вигляді до Надавача для формування кваліфікованих сертифікатів. Адміністратор сертифікації здійснює контроль за формуванням кваліфікованих сертифікатів. Строк обробки запиту на сертифікацію становить не більше двох (2) годин. Сформовані кваліфіковані сертифікати вносяться до реєстру сертифікатів Надавача на офіційному інформаційному ресурсі Надавача. Адміністратор реєстрації, за бажанням заявника, записує сформовані кваліфіковані сертифікати на окремий електронний носій інформації заявника. Виготовлення кваліфікованих сертифікатів на паперових носіях здійснюється на вимогу заявника у двох примірниках та засвідчується власноручним підписом заявника, адміністратора реєстрації з прикладенням печатки Надавача (ВПР). По завершенню процедури формування кваліфікованих сертифікатів заявнику надаються:
Кваліфіковані сертифікати користувача, сформовані Надавачем, чинні не більше ніж два роки. Після отримання кваліфікованих сертифікатів користувач повинен перевірити достовірність відомостей, викладених у них. При виявлені недостовірних даних або помилок користувач повинен повідомити Надавача в порядку, визначеному для скасування кваліфікованих сертифікатів. Після скасування сертифікатів та виправлення реєстраційних даних формуються нові кваліфіковані сертифікати. У разі формування нових кваліфікованих сертифікатів, користувачу необхідно попередньо скасувати діючі кваліфіковані сертифікати.
За наявності технічної можливості Надавач може надавати послугу повторного формування кваліфікованого сертифіката, яка полягає у формуванні нового кваліфікованого сертифіката для заявника, який є власником чинного кваліфікованого сертифіката сформованого Надавачем. Скористатися даною послугою зможуть лише ті користувачі, які мають:
Повторне формування кваліфікованого сертифіката передбачає формування нового сертифіката на новий строк (до 2 років) до закінчення чинності попередніх сертифікатів. Таке формування виконується виключно на підставі відповідної електронної заявки, яка містить запит на формування нового сертифіката і підписана кваліфікованим або удосконаленим електронним підписом, що відповідає чинному кваліфікованому сертифікату користувача. Реквізити користувача, що вносяться до нового сертифіката, імпортуються з попереднього сертифіката користувача. Автентифікація заявника виконується шляхом перевірки кваліфікованого або удосконаленого електронного підпису чи печатки користувача на електронній заявці. Заявник шляхом підписання електронної заявки засвідчує, що його реєстраційні дані залишаються незмінними та підписує договір про надання ЕДП на строк чинності нового кваліфікованого сертифіката. Після успішного формування нового кваліфікованого сертифіката, попередній скасовується автоматично. У разі необхідності зміни реквізитів зазначених у чинному кваліфікованому сертифікаті електронного підпису чи печатки, користувачу необхідно звернутись до ВПР та надати комплект реєстраційних документів передбачених розділом 5 цього Регламенту для отримання кваліфікованого сертифіката електронного підпису чи печатки. Перед формуванням нового кваліфікованого сертифіката, попередній, який містить неактуальну інформацію, користувачу необхідно скасувати.
За наявності технічної можливості Надавач може надавати послугу формування кваліфікованого сертифіката електронної печатки для ПРРО, яка полягає у формуванні нового кваліфікованого сертифіката для заявника, який є власником чинного кваліфікованого сертифіката сформованого Надавачем. Скористатися даною послугою зможуть лише ті користувачі (представник юридичної особи або фізична особа – підприємець), які мають:
Формування кваліфікованого сертифіката електронної печатки для ПРРО передбачає формування нового сертифіката на строк до 2 років. Таке формування виконується виключно на підставі відповідної електронної заявки, яка містить запит на формування кваліфікованого сертифіката електронної печатки для ПРРО і підписана кваліфікованим або удосконаленим електронним підписом, що відповідає чинному кваліфікованому сертифікату користувача (представника юридичної особи, фізичної особи – підприємця). Реквізити електронної печатки для ПРРО, що вносяться до нового сертифіката, імпортуються з сертифіката користувача (представника юридичної особи, фізичної особи – підприємця) з одночасним зазначенням номеру даної печатки. Автентифікація заявника виконується шляхом перевірки кваліфікованого або удосконаленого електронного підпису користувача (представника юридичної особи, фізичної особи – підприємця) на електронній заявці. Заявник шляхом підписання електронної заявки засвідчує, що його реєстраційні дані залишаються незмінними та підписує договір про надання ЕДП на строк чинності нового кваліфікованого сертифіката електронної печатки для ПРРО. У разі необхідності зміни реквізитів зазначених у чинному кваліфікованому сертифікаті електронної печатки для ПРРО, користувачу (представнику юридичної особи, фізичній особі – підприємцю) необхідно звернутись до ВПР та надати комплект реєстраційних документів передбачених розділом 5 цього Регламенту для отримання кваліфікованого сертифіката електронного підпису чи печатки. Перед формуванням нового кваліфікованого сертифіката, попередній, який містить неактуальну інформацію, користувачу (представнику юридичної особи, фізичній особі – підприємцю) необхідно скасувати. Вимоги щодо зберігання особистих ключів електронної печатки для ПРРО визначені у пункті 6.6 Регламенту.
Користувач зобов’язаний:
Користувач має право:
Надавач не пізніше ніж протягом двох годин скасовує сформований кваліфікований сертифікат користувача у разі:
Після блокування кваліфікованого сертифіката, користувач може протягом тридцяти календарних днів поновити чинність кваліфікованого сертифіката. Блокований кваліфікований сертифікат буде автоматично скасований Надавачем, якщо протягом зазначеного строку користувач не поновить його чинність. Документи, що були підставою для блокування кваліфікованого сертифіката, фіксуються та зберігаються Надавачем. Користувач, статус кваліфікованого сертифіката електронного підпису чи печатки якого було змінено на скасований чи блокований, повинен невідкладно бути поінформований про відповідну зміну статусу. Інформування про зміну статусу кваліфікованого сертифіката електронного підпису чи печатки здійснюється:
Заява в усній формі приймається тільки у випадку позитивної автентифікації (збігу голосової фрази та ідентифікаційних даних користувача з інформацією в реєстрі користувачів). Усна заява може бути подана цілодобово. Обробка усної заяви на блокування кваліфікованого сертифіката та інформування його власника здійснюється протягом тридцяти хвилин з моменту подання заяви.
Подання заяви про зміну статусу кваліфікованого сертифіката відкритого ключа з метою блокування/скасування кваліфікованого сертифіката здійснюється тільки протягом робочого дня Надавача. Додатково надається засвідчена власником копія паспорта громадянина України або іншого документа, який унеможливлює виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи. Обробка такої заяви та інформування користувача повинні бути здійснені протягом двох годин з моменту отримання заяви. Часом блокування/скасування кваліфікованого сертифіката вважається час зміни його статусу в реєстрі сертифікатів.
Електронний запит на блокування/скасування кваліфікованого сертифіката передається до ПТК Надавача у формі вкладення у вигляді HTTPS-запиту. Електронний запит може бути поданий цілодобово. Електронний запит формується користувачем за допомогою засобів кваліфікованого електронного підпису чи печатки, які надаються Надавачем. Електронний запит на блокування/скасування кваліфікованого сертифіката користувача засвідчується кваліфікованим або удосконаленим електронним підписом, накладеним за допомогою його особистого ключа. Обробка електронного запиту та інформування користувача про блокування/скасування кваліфікованого сертифіката здійснюється в режимі реального часу.
Поновлення чинності кваліфікованого сертифіката можливе лише для заблокованих кваліфікованих сертифікатів, термін блокування яких не закінчився.
Поновлення кваліфікованого сертифіката здійснюється на підставі заяви користувача в усній чи письмовій формі. Письмова заява подається до ВПР за встановленою формою. Подання заяви про зміну статусу кваліфікованого сертифіката відкритого ключа з метою поновлення кваліфікованого сертифіката здійснюється тільки протягом робочого дня Надавача. Обробка такої заяви та інформування користувача повинні бути здійснені протягом двох годин з моменту отримання заяви. Заява на поновлення кваліфікованого сертифіката в усній формі подається користувачем до Надавача засобами телефонного зв’язку за номером, який опублікований Надавачем на власному офіційному інформаційному ресурсі, при цьому користувач повинен повідомити адміністратору реєстрації наступну інформацію:
Заява в усній формі приймається тільки у випадку позитивної автентифікації (збігу голосової фрази та ідентифікаційних даних користувача з інформацією в реєстрі користувачів). Усна заява на поновлення заблокованого кваліфікованого сертифіката може бути подана тільки в неробочий час Надавача. Обробка усної заяви на поновлення кваліфікованого сертифіката та інформування його власника здійснюється протягом тридцяти хвилин з моменту подання заяви. Кваліфікований сертифікат відкритого ключа, який був заблокований, відновлює свою чинність з моменту його поновлення, при цьому термін дії поновленого сертифіката не повинен перевищувати терміну дії сертифіката до моменту блокування. Кваліфікований сертифікат відкритого ключа вважається поновленим з моменту зміни Надавачем статусу кваліфікованого сертифіката відкритого ключа на поновлений. Документи, що були підставою поновлення кваліфікованого сертифіката, фіксуються та зберігаються Надавачем.
Після закінчення строку чинності кваліфікованого сертифіката, він вилучається з офіційного інформаційного ресурсу Надавача та переміщується до архіву. Надавач зберігає кваліфікований сертифікат та пов’язані з ним списки відкликаних сертифікатів безстроково. За запитом користувачів Надавач надає доступ до необхідного сертифіката та пов’язаних з ним списків відкликаних сертифікатів з архівних записів Надавача.
У разі скасування (блокування, поновлення) кваліфікованого сертифіката, оновлений список відкликаних сертифікатів випускається та публікується не пізніше двох годин після отримання запиту на відкликання кваліфікованого сертифіката. Надавач надає всім користувачам послугу інтерактивного визначення статусу кваліфікованого сертифіката. Послуга надається шляхом відправлення запиту за допомогою протоколу HTTPS на OCSP-сервер Надавача. Якщо запит сформовано вірно, OCSP-сервер повертає відповідь на запит з інформацією про статус сертифіката.
Служба інтерактивного визначення статусу кваліфікованого сертифіката (далі – OCSP сервер) – сервісна служба Надавача, яка за запитами користувачів визначає статус кваліфікованих сертифікатів та надсилає відповідь, де зазначається статус сертифіката, який перевіряється, на даний момент. Вимоги до протоколу визначення статусу сертифіката засновані на міжнародному стандарті RFC 2560 «X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP». Передача запиту на перевірку статусу сертифіката відбувається за допомогою методу GET або POST протоколу HTTPS. Для передачі запиту на формування статусу сертифіката та отримання відповіді застосовується транспортний протокол HTTPS. Зазвичай, статус кваліфікованого сертифіката визначається за присутністю інформації про нього у списках CRL, які формуються із заданою періодичністю. Служба OCSP дозволяє отримати інформацію про стан кваліфікованого сертифіката безпосередньо у будь-який момент часу, навіть якщо запису про зміну статусу сертифіката в CRL списках ще немає. Запит на інтерактивну перевірку статусу кваліфікованого сертифіката виконується ПЗ користувача Надавача за протоколом OCSP, та представляється у вигляді повідомлення «OCSPRequest». Відповідь на інтерактивну перевірку статусу кваліфікованого сертифіката надається у вигляді повідомлення «OCSPResponse». Формування та додержання вимог протоколу та аналіз одержаного відгуку цілком покладається на засоби кваліфікованого електронного підпису чи печатки користувача. Служба OCSP надає послуги в режимі транзакції, тобто кожному запиту відповідає один і лише один відгук, ініціатором транзакції виступає користувач (програмне забезпечення користувача). Транзакція служби OCSP починається з підготовки запиту у визначеному форматі клієнтським програмним забезпеченням, яке надсилає його до служби OCSP. Якщо відповідь отримана від OCSP-сервера відповідає вимогам стандартів, які наведені у переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, який є додатком до вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 7 листопада 2018 р. №992. |