Rządowy projekt ustawy o podpisach elektronicznych

4) Specyfikacja techniczna ETSI TS 101 456 Electronic Signatures and Infrastructures
(ESI); Policy Requirements for certification authorities issuing qualified certificates,
wydana przez ETSI (European Telecommunications Standards Institute);
5) Specyfikacja techniczna ETSI TS 102 176-1 Electronic Signatures and Infrastructures
(ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash
functions and asymmetric algorithms, wydana przez ETSI (European
Telecommunications Standards Institute);
6) Specyfikacja techniczna ETSI TS 102 023 Electronic Signatures and Infrastructures
(ESI); Policy requirements for time-stamping authorities, wydana przez ETSI
(European Telecommunications Standards Institute);
7) Specyfikacja techniczna ETSI TS 102 176-1 Electronic Signatures and Infrastructures
(ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash
functions and asymmetric algorithms, wydana przez ETSI (European
Telecommunications Standards Institute);
8) Polska Norma PN-ISO 1540815408 - Information technology - Security techniques -
Evaluation criteria for IT security, wydana przez International Organization for
Standardization;
9) Dokument EA-4/02 Wyrażanie niepewności pomiaru przy wzorcowaniu, wydany
przez Główny Urząd Miar.


§ 6. 1. W Polskim Komitecie Normalizacyjnym są udostępniane następujące normy
międzynarodowe:
1) norma ISO/IEC 8824 - Information technology - Open Systems Interconnection -
Specification of Abstract Syntax Notation One (ASN.1), wydana przez
International Organization for Standardization;
2) norma ISO/IEC 15946-2 - Information technology - Security techniques -
Cryptographic techniques based on elliptic curves - Part 2: Digital signatures, do
wydania przez International Organization for Standardization;
3) norma ISO/IEC 9594-8 - Information technology - Open Systems Interconnection
- The Directory: Authentication framework;
4) norma ISO/IEC 15408 - Information technology - Security techniques -
Evaluation criteria for IT security, wydana przez International Organization for
Standardization;
5) norma PN-ISO/IEC 9834 - Technika informatyczna - Współdziałanie systemów
otwartych - Procedury organów rejestracji OSI;
6) norma PN-EN 45014 - Ogólne kryteria deklaracji zgodności składanej przez
dostawcę;
7) norma ISO 3166 - Codes for the representation of countries and their
subdivisions;
8) norma ISO/IEC 4217 - Codes for representation of currencies and funds.
2. W siedzibie ministerstwa obsługującego ministra właściwego do spraw gospodarki
udostępniane są pozostałe międzynarodowe normy, standardy, zalecenia, raporty
i specyfikacje techniczne.

§ 7.  Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.

Minister
Gospodarki
11_17zb
- 3 -
Projekt

ROZPORZĄDZENIE
MINISTRA GOSPODARKI1)

z dnia …………….

w sprawie wymagań technicznych i organizacyjnych, które musz spełniać podmioty
świadcz ce usługi certyfikacyjne w zakresie pieczęci elektronicznej, certyfikatów
atrybutów i potwierdzania ważności certyfikatów2)

Na podstawie art. 13 ustawy z dnia ………………… o podpisach elektronicznych
(Dz. U. Nr ..., poz. ...) zarządza się, co następuje:

§ 1. 1. Rozporządzenie określa wymagania techniczne i organizacyjne, które muszą
spełniać podmioty świadczące usługi certyfikacyjne w zakresie pieczęci elektronicznej,
certyfikatów atrybutów i potwierdzania ważności certyfikatów, uwzględniając konieczność
zapewnienia ochrony interesów odbiorców usług certyfikacyjnych.
2.Wymagania określone w niniejszym rozporządzeniu nie dotyczą usług zadeklarowanych
publicznie jako testowe oraz usług świadczonych na mocy umowy, w której wszystkie strony
zgodziły się na niestosowanie wymagań niniejszego rozporządzenia.

§ 2. Użyte w rozporządzeniu określenia oznaczają:
1) pieczęć elektroniczna – dane w postaci elektronicznej, przyporządkowane danemu
podmiotowi w taki sposób, że możliwa jest jego identyfikacja, dołączone do innych
danych lub z nimi logicznie powiązane tak, że każda późniejsza zmiana tych danych
jest wykrywalna;
2) usługa składania pieczęci elektronicznej - usługa certyfikacyjna w zakresie pieczęci
elektronicznej polegająca na wytworzeniu pieczęci elektronicznej;
3) certyfikat atrybutów – zaświadczenie elektroniczne powiązane z certyfikatem
służącym do weryfikacji podpisu elektronicznego określające uprawnienia i cechy
osoby lub podmiotu wskazanego w certyfikacie, w szczególności umocowanie
podpisującego do działania w imieniu innych osób fizycznych, prawnych lub
jednostek organizacyjnych nieposiadających osobowości prawnej;
4) potwierdzenie ważności certyfikatu - usługa, która stwierdza w szczególności ważność
lub zawieszenie certyfikatu w czasie jej wykonania oraz zawiera informację o czasie
jej wykonania i jest opatrzona zaawansowanym podpisem elektronicznym podmiotu
świadczącego tę usługę;
5) technologia tworzenia pieczęci elektronicznej wykorzystująca certyfikat – technologia
pieczęci elektronicznej, w której pieczęć weryfikowana jest przy pomocy certyfikatu
wystawionego przez zaufaną stronę trzecią.

§ 3. Podmiot świadczący usługi certyfikacyjne w zakresie pieczęci elektronicznej:
                                                           
1) Minister Gospodarki kieruje działem administracji rządowej – gospodarka, na podstawie § 1 ust. 2
rozporządzenia Prezesa Rady Ministrów z dnia 16 listopada 2007 r. w sprawie szczegółowego zakresu
działania Ministra Gospodarki (Dz. U. Nr 216, poz. 1593).
2) Niniejsze rozporządzenie zostało notyfikowane Komisji Europejskiej w dniu … 2010 r., pod numerem …,
zgodnie z § 4 rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania
krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. Nr 239 , poz. 2039 oraz z 2004 r. Nr 65 ,
poz. 597), które wdraża postanowienia dyrektywy 98/34/WE z dnia 22 czerwca 1998 r. ustanawiającej
procedurę udzielania informacji w zakresie norm i przepisów technicznych (Dz. Urz. WE L 204 z
21.07.1998, z poźn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 20, str. 337).
1) publikuje politykę certyfikacji dla usługi;
2) spełnia minimalne warunki techniczne i organizacyjne o których mowa w §5 w
przypadku świadczenia usług opartych o zaawansowany podpis elektroniczny;
3) spełnia minimalne warunki techniczne i organizacyjne wymienione w §6 w przypadku
świadczenia usług nie wykorzystujących zaawansowanego podpisu elektronicznego.

§ 4. Polityka certyfikacji dla usługi składania pieczęci elektronicznej zawiera informacje
dotyczące:
1) podmiotu świadczącego usługę składania pieczęci elektronicznej;
2) zakresu stosowania i rodzajów zobowiązań związanych ze złożeniem pieczęci
elektronicznej;
3) warunków świadczenia usługi, w tym wymagań bezpieczeństwa deklarowanych dla
usługi;
4) obowiązków usługobiorcy;
5) dopuszczalnych formatów podpisu;
6) obowiązkowych struktur podpisu;
7) sposobów weryfikacji pieczęci.

§ 5. Podmiot świadczący usługi certyfikacyjne w zakresie pieczęci elektronicznej opartej
o technologię pieczęci elektronicznej wykorzystującą certyfikaty spełnia poniższe minimalne
warunki techniczne i organizacyjne:
1) stosuje certyfikat wydany w oparciu o politykę certyfikacji typu LCP NCP lub NCP+
zgodną ze specyfikacją techniczną ETSI TS 102 042 Policy requirements for
certification authorities issuing public key certificates;
2) może w certyfikacie pieczęci elektronicznej wykorzystywać atrybut id-at-role o
zawartości zapisanej zgodnie z §7 pkt 5;
3) certyfikat, o którym mowa w pkt 1 zawiera wskazanie na listę certyfikatów
unieważnionych, lub usługę potwierdzania ważności, umożliwiające weryfikację jego
ważności;
4) używa do składania pieczęci elektronicznej jednego z formatów opisanych w:
a) specyfikacji technicznej ETSI TS 101 733 CMS Advanced Electronic Signatures
(CAdES),
b) specyfikacji technicznej ETSI TS 101 903 XML Advanced Electronic Signatures
(XAdES),
c) specyfikacji technicznej ETSI TS 101 778 PDF Advanced Electronic Signature
Profiles;
5) udostępnia usługę składania pieczęci elektronicznej lub publiczną aplikację do
składania pieczęci elektronicznej;
6) usługa składania pieczęci elektronicznej:
a) zapewnia poufność danych do składania pieczęci elektronicznej poprzez
zastosowanie urządzenia lub oprogramowania spełniającego warunki dla
przechowywania kluczy urzędu CA, wymienione w specyfikacji technicznej TS
102 042,
b) zapewnia
środki przeciwdziałające fałszowaniu pieczęci elektronicznej

wymienione w załączniku nr 1,
c) w przypadku realizacji usług składania pieczęci elektronicznej w imieniu
podmiotu usługodawca:
- podpisuje z usługobiorcą umowę regulującą świadczenie usług,
- zapewnia, że dostęp do usługi jest ograniczony wyłącznie dla
uprawnionych podmiotów,
- dołącza dane umożliwiające identyfikację podmiotu w imieniu którego
składana jest pieczęć elektroniczna, w sposób gwarantujący ich
- 2 -
integralność o ile certyfikat służący do weryfikacji pieczęci
elektronicznej nie zawiera danych identyfikujących ten podmiot.

§ 6. Podmiot świadczący usługi certyfikacyjne w zakresie pieczęci elektronicznej opartej
o inne technologie pieczęci elektronicznej niż wykorzystujące certyfikat:
1) wydaje pieczęć zawierającą identyfikator umożliwiający zlokalizowanie w systemie
teleinformatycznym następujących informacji:
a) czasu złożenia pieczęci,
b) treści pieczętowanych danych lub danych umożliwiających weryfikację
integralności i autentyczności pieczętowanych danych,
c) danych umożliwiających identyfikację podmiotu który złożył pieczęć oraz
podmiotu w imieniu którego została złożona pieczęć;
2) udostępnia usługę składania pieczęci elektronicznej spełniającą następujące
wymagania:
a) zapewnia środki przeciwdziałające fałszowaniu pieczęci elektronicznej wskazane
w załączniku nr 1,
b)
w przypadku realizacji usług składania pieczęci elektronicznej w imieniu
podmiotu usługodawca:
- podpisuje z usługobiorcą umowę regulującą świadczenie usług,
- uwierzytelnia dostęp do usługi;
3) udostępnia usługę weryfikacji pieczęci elektronicznej spełniającą następujące
warunki:
a) po przekazaniu identyfikatora wymienionego w §6 pkt 1 udostępnia dane
wymienione w tym punkcie,
b) zapewnia środki przeciwdziałania fałszowaniu pieczęci elektronicznej wymienione
w załączniku nr 1;
4) wizualizuje pieczęć elektroniczną w sposób określony w załączniku nr 2.

§ 7. Podmiot świadczący usługi certyfikacyjne w zakresie certyfikatów atrybutów:
1) spełnia wymagania określone w specyfikacji technicznej ETSI TS 102 158 Policy
requirements for Certification Service Providers issuing attribute certificates usable
with Qualified certificates dotyczące certyfikatów atrybutu;
2) wydaje certyfikaty atrybutów zgodne z zaleceniami określonymi w raporcie
technicznym ETSI TR 102 044 Requirements for role and attribute certificates;
3) wydaje certyfikaty atrybutu zgodnie z formatem opisanym w dokumencie ISO/IEC
Information Technology - open systems interconnection - the directory: Public key
and attribute certificate frameworks;
4) wydaje certyfikaty atrybutu zawierające co najmniej:
a) jedno z rozszerzeń umożliwiających identyfikację usługi weryfikacji certyfikatu:
id-ce-cRLDistributionPoints, id-ce-authorityInfoAccess wymienionych w
dokumencie RFC 5755 "An Internet Attributte Certificate Profile for
Authorization" wydanym przez IETF (Internet Engineering Task Force),
b) wymagane elementy wymienione w specyfikacji technicznej ETSI TS 102 158;
5) w przypadku wykorzystania atrybutu id-at-role w polu:
a) roleName umieszcza nazwę w formacie: "<nazwa roli>: <identyfikator_roli>",
gdzie <nazwa_roli> oznacza nazwę roli a <identyfikator_roli> oznacza
identyfikator roli zgodnie ze standardem ISCO-88 (COM) International Standard
Classification of Occupations,
b) roleAuthority umieszcza wartość kodowaną jako directoryString zawierającą pole
serialNumber o zawartości w formie: "<ID><identyfikator>", gdzie <ID>
oznacza jedną z wartości : VAT, REGON, KRS, <identyfikator> oznacza wartość
odpowiednio NIP, REGON, albo KRS podmiotu związanego z rolą,
- 3 -
c) w przypadku braku odpowiedniego określenia roli w standardzie ISCO-88(COM)
w polu roleAuthority umieszcza się nazwę roli, bez podawania identyfikatora;
6) w przypadku wykorzystania atrybutu id-at-clearance opisanego w dokumencie RFC
5755 "An Internet Attributte Certificate Profile for Authorization" w polu classList dla
poszczególnych poziomów dopuszczenia podaje się odpowiedni poziom klasyfikacji
zgodnie z ustawą z dnia 5 sierpnia 2010 o ochronie informacji niejawnych:
a) topSecret (5) - dla poziomu ściśle tajne,
b) secret (4) - dla poziomu tajne,
c) confidential (3) - dla poziomu poufne,
d) restricted (2) - dla poziomu zastrzeżone,
e) unclassified (1) - w przypadku braku przynależności do żadnego z wymienionych
poziomów,
f) unmarked (0) - bez określenia poziomu.

§ 8. 1. Podmiot świadczący usługi certyfikacyjne w zakresie potwierdzania ważności
certyfikatów:
1) publikuje politykę certyfikacji zawierającą informacje dotyczące:
a) podmiotu świadczącego usługę potwierdzania ważności certyfikatu,
b) zakresu stosowania i rodzajów zobowiązań związanych z potwierdzeniem
ważności certyfikatu,
c) warunków świadczenia usługi, w tym wymagań bezpieczeństwa deklarowanych
dla usługi,
d) obowiązków usługobiorcy;
2) świadczy usługę zgodnie ze specyfikacją RFC 2560 X.509 Internet Public Key
Infrastructure Online Certificate Status Protocol - OCSP;
3) spełnia wymagania bezpieczeństwa wymienione w załączniku nr 1;
4) zapewnia poufność danych do potwierdzania ważności certyfikatu poprzez
zastosowanie urządzenia lub oprogramowania spełniającego warunki dla
przechowywania kluczy urzędu CA wydającego certyfikat dla usługi, wymienione
w specyfikacji technicznej ETSI TS 102 042.
2. W przypadku podmiotów świadczących usługę wydawania certyfikatów których
ważność jest potwierdzana w ramach usługi, podmiot może stosować wymagania wynikające
z polityki certyfikacji odnoszącej się do usługi wydawania certyfikatów, o ile jej wymagania
obejmują usługę potwierdzania ważności certyfikatów.

§ 9. Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.




Minister Gospodarki




- 4 -