16/2001. (IX. 1.) MeHVM rendelet
az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről
Az elektronikus aláírásról szóló 2001. évi XXXV. törvény (a továbbiakban: Eat.) 27. § (2) bekezdésének a) pontja alapján, az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről a következőket rendelem el:
1. §
A rendelet hatálya kiterjed a belföldi lakóhelyű vagy belföldön tartózkodási hellyel rendelkező természetes személyekre, illetve belföldi székhelyű (telephelyű) jogi személyekre vagy jogi személyiség nélküli szervezetekre (a továbbiakban: szolgáltató), melyek fokozott biztonságú vagy minősített - az Eat. 6. § (1) bekezdése szerinti, elektronikus aláírással kapcsolatos - szolgáltatást (a továbbiakban: szolgáltatás) nyújtanak vagy a Hírközlési Főfelügyelethez (a továbbiakban: Felügyelet) fokozott biztonságú szolgáltatás nyújtására irányuló bejelentést tesznek, illetve minősítési eljárás lefolytatása iránti kérelmet nyújtanak be.
2. §
E rendelet alkalmazásában
a) bizalmi munkakör az alább felsorolt munkakörök egyike:
1. biztonsági tisztviselő: a szolgáltatás biztonságáért általánosan felelős személy;
2. rendszeradminisztrátor: az informatikai rendszer telepítését, konfigurálását, karbantartását a regisztráció, a tanúsítványok előállítása, az aláíráslétrehozó eszközök szolgáltatása és a tanúsítványok visszavonása, felfüggesztése céljából végző személy;
3. rendszerüzemeltető: az informatikai rendszer folyamatos üzemeltetését; mentését és helyreállítását végző személy;
4. rendszervizsgáló: a szolgáltató naplózott, illetve archivált adatállományát kezelő személy;
b) igénylő: a minősített tanúsítvány iránti igényt benyújtó személy;
c) informatikai rendszer: a szolgáltató által a szolgáltatói kulcspár kezeléséhez, az aláírás-létrehozó adat előállításához, a tanúsítványok kibocsátásához, a kibocsátott tanúsítványt tartalmazó nyilvántartáshoz, a visszavonási nyilvántartásokhoz és a visszavonás kezelési szolgáltatáshoz, valamint e tevékenységek informatikai védelméhez használt, az Eat. 3. számú mellékletének f) pontja szerinti megbízható rendszerek és termékek;
d) rendkívüli üzemeltetési helyzet: olyan, a szolgáltató üzemmenetében zavart okozó rendkívüli helyzet, amikor a szolgáltató rendes üzemmenetének folytatására ideiglenesen vagy véglegesen nincsen lehetőség;
e) kriptográfiai kulcs: olyan kriptográfiai transzformációt vezérlő egyedi jelsorozat, amelynek ismerete a rejtjelezéshez vagy a visszaállításhoz, különösen az elektronikus aláírás előállításához vagy ellenőrzéséhez szükséges;
f) szolgáltatói kulcspár: a szolgáltatói magánkulcs és a szolgáltatói nyilvános kulcs;
g) szolgáltatói magánkulcs: olyan kriptográfiai magánkulcs, amelyet a hitelesítés-szolgáltató vagy az időbélyegzést nyújtó szolgáltató saját elektronikus aláírási szolgáltatásának igazolására, így különösen a tanúsítvány kibocsátására, a visszavonási nyilvántartásokra, az időbélyegzésre, a naplózáshoz, az archiváláshoz használ;
h) szolgáltatói nyilvános kulcs: olyan kriptográfiai nyilvános kulcs, amelyet a szolgáltatói magánkulcs használatával létrehozott elektronikus aláírás ellenőrzésére használnak;
i) tanúsítvány kibocsátása: a tanúsítvány átadása az aláírónak, valamint a szolgáltató nyilvántartásában a tanúsítvány elérhetővé tétele az aláíró által meghatározott kör részére;
j) visszavonás kezelése: az Eat. 14. §-ban meghatározott esetekben a kibocsátott tanúsítványok visszavonására és felfüggesztésére vonatkozó eljárások lefolytatása;
k) visszavonási nyilvántartások: nyilvántartások a felfüggesztett, illetőleg a visszavont tanúsítványokról, amelyek tartalmazzák legalább a felfüggesztés vagy visszavonás tényét, és a felfüggesztés vagy visszavonás időpontját.
I. Fejezet
A SZOLGÁLTATÓKRA VONATKOZÓ KÖZÖS KÖVETELMÉNYEK
3. §
(1) A fokozott biztonságú szolgáltatónak (beleértve a minősített szolgáltatót is) tevékenységének bejelentése előtt szolgáltatási szabályzatot kell készítenie.
(2) A szolgáltatási szabályzatot a szolgáltatási tevékenység megkezdésével egyidejűleg nyilvánosságra kell hozni, és azt az ügyfélforgalom számára nyitva álló helyiségben, valamint interneten elérhetővé kell tenni.
(3) A fokozott biztonságú, illetve minősített szolgáltatás igénybevevőjét a szolgáltatási szerződés megkötését megelőzően tájékoztatni kell a szolgáltatási szabályzat tartalmáról és a szolgáltatási szabályzat elérhetőségéről.
4. §
A szolgáltatási szabályzatnak legalább az 1. számú mellékletben meghatározottakat kell tartalmaznia.
5. §
A szolgáltatási szabályzat módosítása esetén a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól szóló kormányrendeletben e tekintetben előírt eljárást kell alkalmazni.
6. §
(1) A szolgáltató az elektronikus aláírás felhasználásával elkövetett bűncselekmények felderítése céljából, illetőleg nemzetbiztonsági érdekből az Eat.-ben meghatározott esetekben és adatokra vonatkozóan a nyomozó hatóságnak és a nemzetbiztonsági szolgálatoknak adatokat továbbít.
(2) A szolgáltató az (1) bekezdésben meghatározott kötelezettségeknek haladéktalanul köteles eleget tenni, és az adatok továbbítását nem kötheti egyéb feltételekhez, így különösen az adatszolgáltatás költségeiben való megállapodáshoz vagy a költségek előlegezéséhez.
A hitelesítés-szolgáltató tevékenységének befejezése
7. §
A hitelesítés-szolgáltatónak tevékenysége befejezésekor az informatikai rendszerében foglalt adatairól teljes körű, minősített időbélyegzővel ellátott mentést kell készítenie.
Pénzügyi követelmények
8. §
A szolgáltató a szolgáltatási tevékenységének megszűnésével kapcsolatos költségek biztosítása és a megbízhatóság érdekében köteles a 9-11. §-ban meghatározott követelmények legalább egyikének megfelelni.
9. §
(1) A minősített szolgáltató legalább huszonötmillió, a fokozott biztonságú szolgáltató legalább hárommillió forint összegű, feltétel nélküli és visszavonhatatlan bankgaranciával rendelkezik.
(2) Az (1) bekezdésben meghatározott bankgaranciának legalább az alábbiakat kell tartalmaznia:
a) a garanciavállaló megnevezését, bankszámlaszámát;
b) a szolgáltató (megbízó) nevét, székhelyét, bankszámlaszámát;
c) annak a tevékenységnek (célnak) a megnevezését, amellyel kapcsolatban a garancianyilatkozatot kiadták;
d) a bankgarancia összegét számmal és betűvel;
e) a bankgarancia kezdő és végső időpontját, a garancia lejártát, mely a végső időpontot követő harminc nap. A garanciavállaló arra vonatkozó nyilatkozatát, hogy a lejáraton belül benyújtott és a bankgarancia kezdő és végső időpontja között keletkezett fizetési kötelezettségről szóló igénybejelentéseket fogadja el;
f) a kedvezményezettként a Felügyelet megnevezését;
g) a garanciavállaló feltétel nélküli kötelezettségvállalását, arra vonatkozóan, hogy amennyiben a szolgáltató a Felügyeletnek az Eat. 16. § (4) bekezdése szerinti feladatai ellátása miatt felmerült költségeit nem fizeti ki a Felügyelet erre irányuló felszólításától számított 15 napon belül, a garanciavállaló a Felügyelet első írásbeli felszólítására, az alapjogviszony vizsgálata nélkül, a felszólítás kézhezvételétől számított három banki munkanapon belül a felszólításban megjelölt kincstári számlára megfizeti a szolgáltató lejárt fizetési kötelezettségét. A felszólításnak tartalmaznia kell a szolgáltató nevét és címét, a fizetési kötelezettség alapján fizetendő összeget, az előírt és a nem teljesített fizetési határidőt.
(3) A minősítési kérelemhez mellékelt, illetve a fokozott biztonságú szolgáltató esetén a tevékenység megkezdését megelőzően benyújtott bankgarancia kezdő időpontja a szolgáltató nyilvántartásba vételének napja, illetve amennyiben a nyilvántartásba vétel iránti bejelentéstől számított 30 napon belül a fokozott biztonságú szolgáltatót a Felügyelet sem nyilvántartásába nem vette, sem a nyilvántartásba vételt meg nem tagadta, a nyilvántartásba vétel iránti bejelentéstől számított 30. nap. A bankgaranciának legalább a kezdő időponttól számított két évig érvényesnek kell lennie. A bankgaranciában a garanciavállalónak vállalnia kell, hogy a bankgarancia érvényességének lejárta előtt három hónappal értesítést küld a Felügyeletnek, amely értesítés tartalmazza a szolgáltató nevét és székhelyét, valamint a bankgarancia lejártának idejét.
(4) A szolgáltató köteles a bankgarancia lejártát megelőző második hónap végéig igazolni a Felügyeletnek, hogy a bankgaranciát meghosszabbította vagy más pénzügyi intézménnyel az itt meghatározott követelményeknek megfelelő új szerződést kötött.
(5) A garanciavállaló jogosult a garancia összegének módosítására, illetve a lejárat meghosszabbítására. Ilyen esetben a garanciavállalás folyamatossága érdekében, a módosításnak tartalmaznia kell a garanciavállaló kötelezettség vállalását arra, hogy az előző garancia érvényességi ideje alatt keletkező fizetési kötelezettségekről szóló igénybejelentéseket harminc napon belül elfogadja.
(6) A bankgaranciában a garanciavállalónak vállalnia kell, hogy garanciavállalási kötelezettségének határidő előtti visszavonásáról hitelt érdemlő módon értesíti a kedvezményezett hatóságot. A visszavonás az értesítés kedvezményezett által, tértivevényes levélpostai küldeményként visszaigazolt tudomásra jutásától számított 30. napon léphet csak hatályba. A garanciavállaló a garanciavállalási kötelezettség alól a visszavonás hatálybalépésétől számított 30. napon mentesülhet.
10. §
(1) A szolgáltató a Felügyelet mint jogosult javára, az Eat. 16. § (4) bekezdése szerinti költségek megfizetésének biztosítására pénzügyi intézménynél óvadékként letétet helyez el. A letét összege minősített szolgáltató esetén legalább huszonötmillió, fokozott biztonságú szolgáltató esetén legalább hárommillió forint.
(2) A Felügyelet az (1) bekezdésben meghatározott óvadékból akkor kereshet kielégítést, ha a szolgáltató a Felügyeletnek az Eat. 16. § (4) bekezdése szerinti feladatai ellátása miatt felmerült költségeit a Felügyelet erre irányuló felszólításától számított 15 napon belül nem fizette ki.
(3) Az óvadék a szolgáltatónak akkor jár vissza, ha a szolgáltató a Felügyeletnek az Eat. 16. § (4) bekezdése szerinti feladatai ellátása miatt felmerült költségeit kifizette, vagy ilyen költségek nem merültek fel, vagy a Felügyelet az említett költségeit az óvadékból kielégítette. A költségek kifizetéséről, a költségek felmerülésének hiányáról, illetve a kielégítés megtörténtéről a Felügyelet értesíti a pénzügyi intézményt.
11. §
Az Eat. 16. § (4) bekezdése szerinti költségek megfizetéséért egy, minősített szolgáltató esetén legalább 500 000 000 forint, fokozott biztonságú szolgáltató esetén legalább 100 000 000 forint jegyzett tőkéjű gazdasági társaság készfizető kezességet vállal. A kezességvállalás mértéke minősített szolgáltató esetén legalább huszonötmillió, fokozott biztonságú szolgáltató esetén legalább hárommillió forintig terjed.
II. Fejezet
A MINŐSÍTETT SZOLGÁLTATÓKRA VONATKOZÓ KÜLÖNÖS KÖVETELMÉNYEK
1. Általános követelmények
12. §
A minősített szolgáltató szolgáltatási szabályzatának a 2. számú mellékletben meghatározottakat is tartalmaznia kell.
13. §
A minősített szolgáltató a tevékenységével kapcsolatos panaszokat köteles a panasz bejelentésétől számított 30 napon belül kivizsgálni, és annak eredményéről a bejelentőt értesíteni.
Szolgáltatások rendelkezésre állásának biztosítása
14. §
A minősített szolgáltatónak biztosítania kell a visszavonási nyilvántartások, a kibocsátott tanúsítványokat tartalmazó nyilvántartás és a visszavonás kezelési szolgáltatás folyamatos rendelkezésre állását.
Felelősségbiztosítás
15. §
(1) A minősített szolgáltatónak a megbízhatóság biztosítása érdekében felelősségbiztosítással kell rendelkeznie.
(2) A felelősségbiztosítási szerződésnek ki kell terjednie az alábbi, a szolgáltató által a szolgáltatások nyújtásával összefüggésben okozott károkra:
a) a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott elektronikus dokumentummal szerződésen kívül okozott károkra;
b) a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott elektronikus dokumentummal szerződésszegéssel okozott károkra;
c) az Eat. 16. § (4) bekezdésében foglaltak megszegésével a Felügyeletnek okozott károkra.
(3) A felelősségbiztosítási szerződésnek egy biztosítási esemény vonatkozásában káreseményenként legalább ötvenmillió forint összeghatárig kell fedezetet biztosítania az összes károsultnak okozott károkra. Több azonos okból bekövetkezett, időben összefüggő káresemény egy biztosítási eseménynek minősül.
(4) A felelősségbiztosításnak a (3) bekezdésben meghatározott összeg erejéig fedezetet kell nyújtania a károsultnak a szolgáltató károkozó magatartásával összefüggésben keletkező teljes kárára, függetlenül attól, hogy a kárt szerződésszegéssel vagy szerződésen kívül okozták.
(5) Ha egy biztosítási eseménnyel kapcsolatban több jogosult megalapozott kártérítési igénye meghaladja a károkra biztosítási eseményenként a felelősségbiztosítási szerződésben meghatározott összeget, akkor a kártérítési igények megtérítése az összes kártérítési igénynek a felelősségbiztosítási szerződésben meghatározott összeghez viszonyított arányában történik.
2. Biztonsági célú követelmények
Személyzeti biztonsági követelmények
16. §
(1) A minősített szolgáltatónál bizalmi munkakört csak olyan személyek tölthetnek be, akiknek a bizalmi munkakör betöltéséhez szükséges szakértelmét a minősített szolgáltató szakmai gyakorlattal, végzettséggel vagy szakképesítéssel igazolni tudja.
(2) Az informatikai rendszerért általánosan felelős munkakört olyan személynek kell betöltenie, aki szakirányú felsőfokú végzettséggel vagy felsőfokú szakképesítéssel és legalább három év, az informatikai biztonsággal összefüggésben szerzett szakmai gyakorlattal rendelkezik, vagy aki szakirányú középfokú végzettséggel vagy szakképesítéssel, és legalább öt év, az informatikai biztonsággal összefüggésben szerzett szakmai gyakorlattal rendelkezik.
(3) E rendelet alkalmazásában szakirányú felsőfokú végzettség a matematikusi vagy fizikusi egyetemi végzettség vagy a műszaki tudományterületre tartozó mérnöki szakon szerzett főiskolai vagy egyetemi végzettség. Szakirányú középfokú végzettség bármely műszaki szakközépiskolai végzettség. Szakirányú szakképesítés bármely, az OKJ szerinti informatikai, számítástechnikai vagy híradástechnikai szakképesítés.
17. §
(1) A minősített szolgáltatónál egy személy többféle bizalmi munkakört nem tölthet be.
(2) A biztonsági tisztviselők a tanúsítványok előállítását, kibocsátását, felfüggesztését és visszavonását nem végezhetik.
18. §
(1) A minősített szolgáltatónak biztosítania kell, hogy az informatikai rendszer és a fizikai, környezeti biztonsági rendszerrel összefüggő egyes tevékenységek végzése során naplózva legyen, mely személyek végezték az adott tevékenységet.
(2) A bizalmi munkakört betöltő személynek munkaviszonyban kell állnia a minősített szolgáltatóval.
(3) A minősített szolgáltatónak a szolgáltatási szabályzatban nevesítenie kell a bizalmi munkaköröket.
A szolgáltatói kulcspár kezelése
19. §
(1) A szolgáltatói magánkulcs létrehozását, használatát, mentését és helyreállítását fizikailag védett környezetben, legalább két bizalmi munkakört betöltő, a létrehozást, mentést vagy helyreállítást ellenőrző személy együttes részvételével, más személyek jelenlétét kizárva kell végezni.
(2) A szolgáltatói magánkulcsot biztonságos módon kell tárolni, és meg kell akadályozni, hogy a szolgáltatói magánkulcshoz jogosulatlan személyek hozzáférhessenek, vagy a kulcsot arra jogosulatlan személyek használhassák.
(3) Amennyiben a minősített szolgáltató a szolgáltatói magánkulcsot többé nem kívánja használni, azt olyan módon kell megsemmisítenie vagy archiválnia, hogy a kulcs további használata lehetetlenné váljon.
(4) A tanúsítványok előállításához, a kibocsátott tanúsítványt tartalmazó nyilvántartásokhoz, valamint a visszavonási nyilvántartáshoz használt szolgáltatói magánkulcsokat csak fizikailag védett környezetben lehet felhasználni. Az ilyen rendeltetési célú szolgáltatói magánkulcsokat csak az adott kulcsra meghatározott rendeltetési célból lehet felhasználni. Az ilyen célra használt kulcsokat csak a (3) bekezdésben meghatározott célból lehet archiválni.
20. §
Rendkívüli üzemeltetési helyzetnek minősül az is, ha a minősített szolgáltató szolgáltatói magánkulcsa olyan személy birtokába kerül, aki a szolgáltatói magánkulcs birtokolására nincsen feljogosítva, illetve ha a fenti esemény megtörténte alappal feltételezhető, vagy annak közvetlen veszélye fennáll.
21. §
A szolgáltatónak folyamatosan biztosítania kell, hogy a szolgáltatói nyilvános kulcsát bárki elérhesse. Ennek érdekében a szolgáltatói nyilvános kulcsot interneten elérhetővé kell tennie.
Üzemeltetési és hozzáférési biztonság
22. §
(1) A szolgáltatások nyújtásához biztosítani kell a megbízható üzemeltetést.
(2) Az informatikai rendszer minden felhasználójának személy szerint azonosítottnak kell lennie, kivéve azt a felhasználót, aki kizárólag a szolgáltatót terhelő nyilvánosságra hozatali kötelezettségek körébe eső nyilvántartásokhoz csak olvasási jogosultsággal fér hozzá.
(3) A hozzáférési jogosultságok megadásával, módosításával és visszavonásával kapcsolatos minden tevékenységet legalább két bizalmi munkakört betöltő személy részvételével, más személyek jelenlétét kizárva lehet végrehajtani.
Fizikai és környezeti biztonság
23. §
(1) A tanúsítványok előállításával, kibocsátásával, a visszavonás kezelésével, valamint a visszavonási nyilvántartással összefüggésben használt elektronikus aláírási termékeket, illetve azokat a helyiségeket, amelyekben a minősített szolgáltató ilyen termékeket helyez el, a jogosulatlan hozzáféréstől fizikailag is védeni kell, a jogosulatlan személyek bejutását kizárva.
(2) Meg kell akadályozni, hogy az (1) bekezdésben említett helyiségekbe olyan személyek jussanak be, akik erre nem jogosultak. A belépésre jogosultak belépésének időpontját, tartózkodásának célját, időtartamát, kilépésének időpontját naplóban kell rögzíteni.
Elektronikus aláírási termékekre vonatkozó biztonság
24. §
(1) A minősített szolgáltatónak a szolgáltatások nyújtásához használt elektronikus aláírási termékeit elkülönítetten kell kezelnie és működtetnie az egyéb tevékenységeihez használt termékektől. Elkülönítve kell kezelnie továbbá a minősített szolgáltatások nyújtásához használt elektronikus aláírási termékeit a nem minősített szolgáltatásokhoz használt elektronikus aláírási termékektől. Az egyéb tevékenységeihez használt termékek nem befolyásolhatják az elektronikus aláírási termékek megbízható üzemeltetését.
(2) A szolgáltatások nyújtásához használt valamennyi elektronikus aláírási terméket a szolgáltatási szabályzatban meghatározott kockázatelemzések alapján biztonsági osztályokba kell sorolni, és ezekről nyilvántartást kell vezetni.
(3) Mielőtt a szolgáltató a szolgáltatás nyújtásához használt elektronikus aláírási termékeket a saját maga által végzett szolgáltatásnyújtáson kívüli célokra kívánja felhasználni, meg kell bizonyosodnia arról, hogy a termékek nem tartalmaznak olyan adatokat, amelyek az elektronikus aláírással kapcsolatos szolgáltatásokhoz fűződnek, valamint arról, hogy az ilyen adatok visszaállítására nincsen lehetősége. E vizsgálatokat, illetve a vizsgálatok eredménye alapján végrehajtott intézkedéseket naplózni kell.
A folyamatos üzemmenet biztosítása
25. §
(1) A minősített szolgáltatónak a rendkívüli üzemeltetési helyzetek esetére olyan eljárást kell kidolgoznia, amely lehetővé teszi a megbízható üzemmenet mielőbbi helyreállítását.
(2) A rendkívüli üzemeltetési helyzet bekövetkezése esetén a visszavonási nyilvántartások megbízható üzemeltetésének helyreállítása minden más szolgáltatás vagy tevékenység helyreállítását meg kell hogy előzze.
(3) Rendkívüli üzemeltetési helyzet bekövetkezése esetén a szolgáltató köteles haladéktalanul értesíteni a Felügyeletet a rendkívüli üzemeltetési helyzet bekövetkezéséről, annak hatásáról, várható időtartamáról, a rendkívüli üzemeltetési helyzet elhárítása érdekében tett és tervezett intézkedésekről, valamint a rendkívüli üzemeltetési helyzet megszűnéséről. A minősített szolgáltató köteles a rendkívüli üzemeltetési helyzetről és annak hatásáról közvetlenül értesíteni a szolgáltatást igénybe vevő mindazon személyeket, akiket a rendkívüli üzemeltetési helyzet érint, valamint az erről szóló tájékoztatást az interneten elérhetővé tenni.
26. §
(1) Az üzemmenet folytonossága és az adatvesztés elkerülése végett a minősített szolgáltatónak mentéseket kell végeznie, és biztosítania kell, hogy szükség esetén az informatikai rendszer egészét helyre tudja állítani.
(2) A mentéseket védeni kell a módosítások ellen, illetve az ellen, hogy jogosulatlan személyek a mentett adatállományhoz hozzáférhessenek.
Naplózás
27. §
A minősített szolgáltatónak minden, a szolgáltatás nyújtásával vagy az informatikai rendszerével kapcsolatos eseményt naplóznia kell. A naplózott adatállománynak a szolgáltatás nyújtásának teljes folyamatát át kell fognia, és lehetővé kell tennie, hogy a megbízhatóság megítélhetőségéhez szükséges mértékben minden, a szolgáltatás nyújtásával kapcsolatos eseményt rekonstruálni lehessen.
28. §
(1) A naplózott adatállománynak tartalmaznia kell a naplózott esemény bekövetkeztének dátumát és pontos idejét, az esemény követhetőségéhez, rekonstruálásához szükséges adatokat, az esemény kiváltásában közreműködő felhasználó vagy más személy nevét.
(2) A naplózott adatállomány minden bejegyzését védeni kell a módosítástól, illetve biztosítani kell, hogy a napló tartalmához csak arra feljogosított személyek férhessenek hozzá.
(3) A napló kezelését olyan módon kell megoldani, hogy kizárható legyen a napló megsemmisítése, a napló bejegyzéseinek törlése, a bejegyzések sorrendjének bármilyen módon történő megváltoztatása. A naplóról rendszeresen mentést kell készíteni.
Archiválás
29. §
A minősített szolgáltató az Eat. 9. § (7) bekezdése szerinti adatokat az ott előírt határidőig, az azon kívüli naplózott adatokat a keletkezésüktől, a szolgáltatási szabályzatot és annak módosításait pedig hatályon kívül helyezésétől számított tíz évig köteles megőrizni.
30. §
Az archivált adatállomány minden bejegyzését védeni kell a módosítástól, illetve biztosítani kell azt, hogy az adatállomány tartalmához jogosulatlan személyek ne férhessenek hozzá. Az elektronikus formában tárolt archivált adatállományt minősített aláírással és időbélyegzővel kell ellátni.
31. §
A minősített szolgáltató köteles biztosítani, hogy mindaddig, amíg az adatokat őrzi, az adatok az arra jogosult személyek számára hozzáférhetőek és értelmezhetőek legyenek.
Időszinkronizáció
32. §
A minősített szolgáltató a kibocsátott tanúsítványt tartalmazó nyilvántartásban, valamint a visszavonási nyilvántartásban, a naplókban feltüntetett időt olyan gyakorisággal szinkronizálja a szolgáltatási szabályzatban megjelölt referencia időforráshoz, hogy a saját idő és a referencia időforrás közti eltérés ne haladja meg az egy másodpercet.
3. Az egyes szolgáltatási tevékenységekre vonatkozó követelmények
Az igénylő regisztrációja
33. §
(1) Az elektronikus aláírással kapcsolatos szolgáltatások iránti igényt a szolgáltatási szabályzat által meghatározott esetekben az igénylő minősített aláírással ellátott elektronikus okirat formájában is benyújthatja.
(2) A minősített szolgáltató a minősített tanúsítvány kiállítása előtt megállapítja az igénylő személyazonosságát, valamint mindazon adatok hitelességét, amelyeket a minősített tanúsítványában feltüntet.
A szerződéskötést megelőző tájékoztatási kötelezettség
34. §
(1) A minősített hitelesítés-szolgáltató a szolgáltatás igénybevételére vonatkozó szerződés megkötését megelőzően köteles a tanúsítvány kibocsátását kérő személyt az alábbiakról tájékoztatni:
a) az aláírás-létrehozó adat használatával kapcsolatosan szükséges biztonsági intézkedésekről;
b) az aláírás-létrehozó eszköz használatáról, amennyiben a tanúsítvány kibocsátását kérő ezt a hitelesítés-szolgáltatótól szerzi be;
c) az aláíró és az aláírást ellenőrizni kívánó felek felelősségéről, kötelezettségeiről;
d) a tanúsítványok visszavonásának, felfüggesztésének lehetőségéről;
e) a tanúsítványok kibocsátásának körülményeiről;
f) a tanúsítvány érvényességéről, érvényességi idejének lejártáról;
g) a szolgáltatási szabályzat tartalmáról és elérhetőségéről;
h) a tanúsítvánnyal kapcsolatos, a tanúsítványban meghatározott tárgybeli, időbeli, földrajzi vagy egyéb korlátozásokról;
i) a szolgáltatói nyilvános kulcsról, valamint annak elérhetőségéről;
j) a szolgáltatási díjról.
(2) A minősített hitelesítés-szolgáltató köteles az (1) bekezdésben megadott tájékoztatást a szerződéskötéssel egyidejűleg a tanúsítvány kibocsátását kérő számára írásban és elektronikus formában is átadni, elektronikus formában mellékelve a szolgáltatási szabályzatot is.
A tanúsítvány érvényessége és kibocsátása
35. §
(1) A minősített tanúsítvány érvényességi ideje nem haladhatja meg a tanúsított aláírás-ellenőrző adathoz kapcsolható aláírás-létrehozó eszközzel összefüggésben meghatározott érvényességi időt, de legfeljebb a kibocsátástól számított két évet.
(2) A minősített hitelesítés-szolgáltató a kibocsátott minősített tanúsítvány felhasználását korlátozhatja a tanúsítványban meghatározott tárgybeli, időbeli, földrajzi vagy egyéb korlátok szerint, amennyiben a korlátozás a tanúsítványból egyértelműen kitűnik. A korlátozásról és ennek következményeiről a minősített hitelesítés-szolgáltató köteles az aláírót megfelelően tájékoztatni.
(3) A minősített tanúsítványnak tartalmaznia kell azt az időtartamot, ameddig a hitelesítés-szolgáltató az Eat. 9. § (7) bekezdése szerinti feladatot a tanúsítvány vonatkozásában ellátja.
A tanúsítványok visszavonása és felfüggesztése
36. §
A minősített hitelesítés-szolgáltató visszavonási kérelem esetén csak azt követően vonhatja vissza, illetve függesztheti fel a tanúsítványt, hogy a kérelmező visszavonási vagy felfüggesztési jogosultságáról meggyőződött.
37. §
(1) A minősített hitelesítés-szolgáltató köteles a benyújtott visszavonási vagy felfüggesztési kérelmeket haladéktalanul, minden más típusú tevékenysége (pl. tanúsítvány előállítás, kibocsátás) elé helyezve feldolgozni, és az arra jogosult által benyújtott kérelmeket teljesíteni.
(2) Amennyiben a minősített hitelesítés-szolgáltató az Eat. 14. § (1), (2) bekezdés b), c) pontjaiban meghatározott valamely körülményről tudomást szerez, haladéktalanul köteles intézkedni a tanúsítvány felfüggesztéséről vagy visszavonásáról.
A visszavonási nyilvántartások
38. §
(1) A tanúsítványok visszavonásának vagy felfüggesztésének a visszavont, illetőleg felfüggesztett tanúsítványok nyilvántartásában a visszavonási vagy felfüggesztési kérelmek teljesítésével egyidejűleg meg kell jelennie.
(2) A minősített hitelesítés-szolgáltatónak biztosítania kell, hogy a visszavont, illetőleg felfüggesztett tanúsítványok nyilvántartásában szereplő adatokat szükség esetén, így különösen a hitelesítés-szolgáltatói tevékenység befejezése esetén az arra jogosult harmadik személyek értelmezhessék.
39. §
(1) Az aláírás-létrehozó adat létrehozását fizikailag védett környezetben kell végezni, kizárólag bizalmi munkakört betöltő személyek részvételével.
(2) A minősített szolgáltató az aláírás-létrehozó adatot csak a szolgáltatást igénybe vevő személy aláírás-létrehozó eszközében tárolhatja. Amennyiben az aláírás-létrehozó adatot az aláírás-létrehozó eszközön kívül hozzák létre, az aláírás-létrehozó adat aláírás-létrehozó eszközön kívüli másolatát azonnal törölni kell, amint az aláírás-létrehozó adat az aláírás-létrehozó eszközbe kerül. Az aláírás-létrehozó adat másolatát olyan módon kell törölni, hogy az aláírás-létrehozó adat további használata lehetetlenné váljon.
(3) A minősített szolgáltatónak biztosítania kell, hogy az aláírás-létrehozó adathoz mások ne férhessenek hozzá.
(4) A minősített szolgáltató az aláírás-létrehozó eszközhasználatához szükséges, az aláíró hozzáférési jogosultságát ellenőrző adatot (pl. PIN-kódot) csak abból a célból rögzítheti, hogy azt a szolgáltatást igénybe vevő személy számára - másolat megőrzése nélkül - átadhassa.
(5) A minősített szolgáltató az aláírás-létrehozó eszközt, valamint az aláíró hozzáférési jogosultságát ellenőrző adatot csak közvetlenül az azt igénylő személynek adhatja át. A minősített szolgáltatónak azt is naplóznia kell, hogy az aláírás-létrehozó adatot mikor adta át az azt igénylő személynek.
III. Fejezet
ZÁRÓ RENDELKEZÉSEK
40. §
(1) E rendeletben foglalt követelmények teljesítése érdekében a Miniszterelnöki Hivatalt vezető miniszter irányelvet bocsát ki. Amennyiben egy szolgáltató az irányelvben foglalt szabványoknak és egyéb műszaki előírásoknak eleget tesz, akkor a Felügyelet a szolgáltatót köteles az e rendeletben foglalt követelményeknek megfelelő szolgáltatónak tekinteni.
(2) Az irányelv az elektronikus aláírással kapcsolatos szolgáltatásokra, illetve ezek szolgáltatóira vonatkozó ajánlásokat tartalmazza.
(3) Az irányelvet a Miniszterelnöki Hivatalt vezető miniszter a Magyar Közlönyben is közzéteszi.
41. §
A Miniszterelnöki Hivatalt vezető miniszter 2001. december 31-től kezdődően évente megvizsgálja, hogy a rendelet hatálybalépése óta történtek-e olyan műszaki változások, amelyek szükségessé teszik a rendelet módosítását. A Miniszterelnöki Hivatalt vezető miniszter haladéktalanul megvizsgálja a rendelet módosításának szükségességét, amennyiben a nyilvános kulcsú infrastruktúrától lényegesen eltérő, új műszaki megoldások jelentek meg az elektronikus aláírással kapcsolatos szolgáltatások piacán.
42. §
Ez a rendelet a Magyar Köztársaság és az Európai Közösségek és azok tagállamai között társulás létesítéséről szóló, Brüsszelben, 1991. december 16-án aláírt Európai Megállapodás tárgykörében, a megállapodást kihirdető 1994. évi I. törvény 3. §-ával összhangban, az elektronikus aláírásról szóló 2001. évi XXXV. törvénnyel együtt az Európai Parlament és a Tanács az elektronikus aláírások közösségi programjáról szóló 1999/93/EK irányelvével összeegyeztethető szabályozást tartalmaz.
43. §
Ez a rendelet 2001. szeptember 1-jén lép hatályba.
Dr. Stumpf István s. k.,
a Miniszterelnöki Hivatalt vezető miniszter
1. számú melléklet a 16/2001. (IX. 1.) MeHVM rendelethez
A Felügyeletnél bejelentésre kötelezett, elektronikus aláírással kapcsolatos szolgáltatást nyújtó szolgáltató szolgáltatási szabályzatának az alábbiakat kell tartalmaznia:
a) a szolgáltató székhelyének, telephelyének postacímét és telefonszámát, illetve a szolgáltató elérhetőségének egyéb távközlési azonosítóját;
b) a szolgáltató cégjegyzékszámát, illetve a szolgáltató egyéni vállalkozó vállalkozói igazolványának számát;
c) a szolgáltató fokozott biztonságú szolgáltatókénti, illetve minősített szolgáltatókénti nyilvántartásba vételének napját a Felügyelet erről szóló határozata szerint, e határozat közlése előtt a nyilvántartásba vétel meg nem történtének feltüntetését;
d) a szolgáltatási szabályzat változatának azonosítóját (verziószámát);
e) a szolgáltatási szabályzat hatálybalépését és hatályának a megszűnését;
f) a szolgáltató által az elektronikus aláírás, illetve az időbélyegző előállításához használt elektronikus aláírási termékek megnevezését, valamint a szolgáltató nyilatkozatát arról, hogy ezek az elektronikus aláírási termékek rendelkeznek a Felügyelet által nyilvántartásba vett, tanúsításra jogosult szervezetek által kiadott igazolással;
g) utalást arra, hogy a szolgáltató a Felügyelet általi minősítésen kívüli önkéntes minősítési (akkreditációs) eljárásban minősítve lett-e;
h) a szolgáltató tevékenységével kapcsolatos kifogások és panaszok bejelentésének helyét és módját, a szolgáltatói ügyfélszolgálat és az illetékes fogyasztóvédelmi felügyelőség elérhetőségét;
i) a szolgáltató által vállalt egyes nyitvatartási és rendelkezésre állási időket (a továbbiakban: rendelkezésre állási idők): a kibocsátott tanúsítványt tartalmazó nyilvántartás, valamint a visszavonási nyilvántartás, és a visszavonás kezelési szolgáltatások rendelkezésre állási idejét;
j) tájékoztatást a szolgáltató által nyújtott szolgáltatásokról és azok felhasználásának módjáról;
k) tájékoztatást a szolgáltató által kibocsátott tanúsítványtípusokról és az azok alapján kiadott tanúsítványok joghatásairól, a tanúsítványok felhasználásának feltételeiről, az aláíró és az ellenőrző feleket terhelő kötelezettségekről;
l) tájékoztatást a tanúsítvány érvényességének lejárta előtti visszavonásának jogkövetkezményeiről;
m) adatkezelési szabályzatot, amely összefoglaló jellegű tájékoztatást ad a szolgáltató által kezelt adatok fajtájáról, az adatkezelés céljáról, a továbbított adatok fajtájáról, címzettjéről, az adattovábbítás jogalapjáról, valamint az egyes adatfajták törlési határidejéről.
2. számú melléklet a 16/2001. (IX. 1.) MeHVM rendelethez
A minősített szolgáltató, illetve a minősítést kérelmező szolgáltatási szabályzatának az 1. számú mellékletben foglalt előírásokon kívül az alábbiakat is tartalmaznia kell, a tanúsítványtípusonkénti eltéréseket feltüntetve:
a) annak a leírását, hogy a szolgáltató miként biztosítja a szolgáltatási szabályzatban előírt folyamatos rendelkezésre állást;
b) annak a leírását, hogy ha a szolgáltató a hitelesítésszolgáltatói tevékenységét befejezi, milyen módon fog megfelelni az Eat. 16. §-ában foglalt előírásoknak;
c) annak a leírását, hogy a szolgáltató
ca) milyen módon felel meg az üzemeltetési és hozzáférési biztonsági követelményeknek,
cb) milyen termékeket használ a szolgáltatás nyújtásához, illetve ahhoz, hogy az üzemeltetési és hozzáférési biztonsági követelményeknek megfeleljen,
cc) miként kívánja az üzemeltetés során előforduló hibákat, így különösen a karbantartási és telepítési hibákat elkerülni,
cd) az üzemeltetés ellenőrzéséhez milyen eljárásokat alkalmaz,
ce) miként teljesíti az e rendelet 30. §-ában foglalt megőrzési kötelezettségét;
d) annak a leírását, hogy az informatikai rendszer felhasználóinak milyen hozzáférési jogosultsággal kell rendelkezniük ahhoz, hogy az informatikai rendszerben bizonyos tevékenységeket elvégezhessenek;
e) a rendkívüli üzemeltetési helyzet esetén követendő eljárás leírását;
f) annak a leírását, hogy az igénylő milyen esetben nyújthatja be igénylését minősített aláírással ellátott elektronikus okirat formájában;
g) annak a leírását, hogy a szolgáltató az igénylő visszavonási vagy felfüggesztési jogosultságáról milyen módon győződik meg;
h) annak a leírását, hogy milyen feltételei vannak a visszavonási, illetve felfüggesztési kérelem benyújtásának;
i) annak a leírását, hogy a szolgáltató milyen eljárási rend szerint teljesíti a visszavonás kezelési szolgáltatások iránti kérelmeket;
j) a tanúsítványok kibocsátása, valamint a visszavonás kezelési- és aláírás-létrehozási szolgáltatások kapcsán alkalmazott adatformátumokat, azaz a szolgáltatói magán-és nyilvános kulcs és az aláírás-létrehozó adat formátumát, a kibocsátott tanúsítványok formátumát, a visszavonási és felfüggesztési kérelem formátumát;
k) a kibocsátott tanúsítványok leghosszabb érvényességi idejét;
l) a hitelesítés-szolgáltató által kibocsátott egyes tanúsítványtípusokhoz a Felügyelet által rendelt azonosítót;
m) a szolgáltatói magánkulcsok létrehozásának módját és a kulcsok létrehozásának eljárási rendjét;
n) az aláírás-létrehozó adatok létrehozásának módját, és adatok létrehozásának eljárási rendjét;
o) a szolgáltató által alkalmazni kívánt referencia időforrások megnevezését, azok pontosságát és az időszinkronizáció menetének ismertetését;
p) a bizalmi munkakörök nevesítését és leírását.