Nalaganje dokumenta...
Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje
OBJAVLJENO V: Uradni list RS 77-3563/2000, stran 9457 DATUM OBJAVE: 25.8.2000
VELJAVNOST: od 26.8.2000 do 30.6.2016 / UPORABA: od 26.8.2000 do 30.6.2016
RS 77-3563/2000
Verzija
4 / 4
Čistopis se uporablja od 1.7.2016 do nadaljnjega. Status čistopisa na današnji dan, 9.3.2026: NEAKTUALEN.
3563. Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje
Na podlagi 32., 33., 34., 37., 38. in 50. člena zakona o elektronskem poslovanju in elektronskem podpisu (Uradni list RS, št. 57/00) izdaja Vlada Republike Slovenije
U R E D B O
o pogojih za elektronsko poslovanje in elektronsko podpisovanje
o pogojih za elektronsko poslovanje in elektronsko podpisovanje
1. Splošne določbe
1. člen
Ta uredba določa:
-
merila, ki se uporabljajo za presojanje izpolnjevanja zahtev za delovanje overiteljev, ki izdajajo kvalificirana potrdila,
-
podrobnejšo vsebino notranjih pravil overiteljev, ki izdajajo kvalificirana potrdila,
-
podrobnejše tehnične pogoje za elektronsko podpisovanje in preverjanje varnih elektronskih podpisov,
-
časovno veljavnost kvalificiranih potrdil,
-
podrobnejše pogoje glede uporabe varnih časovnih žigov,
-
vrsto in uporabo označbe akreditiranih overiteljev,
-
pogoje za elektronsko poslovanje v javni upravi.
2. člen
Ne glede na določbe drugih členov te uredbe, strojna in programska oprema ter postopki izpolnjujejo merila in pogoje po tej uredbi, če so v skladu s standardi, merili ali pogoji, ki so splošno priznani v Evropski uniji in objavljeni v Uradnem listu Evropskih skupnosti.
2. Splošno o varovanju infrastrukture overitelja
3. člen
Overiteljevi prostori in infrastruktura morajo biti v skladu s pravili stroke ustrezno elektronsko in fizično varovani pred nepooblaščenimi vdori.
4. člen
(1)
Overitelj mora opravljati redne varnostne preglede svoje infrastrukture vsak delovni dan. Če zagotavlja svoje storitve 24 ur na dan 365 dni na leto, pa vsak dan. Overitelj mora v dnevnik vpisovati vse svoje ugotovitve in posege.
(2)
Pri tem mora preveriti, ali je njegova infrastruktura varna in ali vsi varnostni sistemi nemoteno delujejo in ali je v vmesnem času prišlo do vdora ali poskusa vdora nepooblaščenih oseb do overiteljeve opreme ali podatkov.
5. člen
S podatki za elektronsko podpisovanje overitelja morata upravljati vsaj dva overiteljeva zaposlena hkrati. V ta namen mora overitelj zagotoviti, da nihče ne more imeti sam vseh potrebnih podatkov in orodij, s katerimi je možen dostop do opreme, kjer so shranjeni podatki za elektronsko podpisovanje overitelja.
6. člen
Overitelj mora zagotoviti varno shranjevanje najmanj dveh varnostnih kopij in drugih medijev za prenos podatkov na tak način, da se prepreči izguba podatkov ali uporaba podatkov s strani nepooblaščenih oseb. Varnostne kopije morajo biti shranjene ločeno od overiteljevega informacijskega sistema za upravljanje kvalificiranih potrdil na drugi varni lokaciji. Overitelj mora v dnevnik zapisovati podatke o shranjevanju varnostnih kopij.
7. člen
Overitelj mora svoje podatke za elektronsko podpisovanje kvalificiranih potrdil uporabljati in varovati kot dober strokovnjak ter jih fizično in elektronsko varovati v skladu z uveljavljenimi pravili stroke, da se onemogoči fizični ali elektronski vdor oziroma nepooblaščen dostop do teh podatkov.
8. člen
Overitelj mora voditi enega ali več ločenih dnevnikov v pisni obliki, kamor morajo biti vpisani vsi podatki predpisani s to uredbo in drugi podatki o postopkih in posegih v infrastrukturo, ki vplivajo na zanesljivost delovanja overitelja. Dnevnik mora biti dostopen in hranjen za dobo vsaj 5 let.
9. člen
(1)
Overitelj mora sestaviti poseben zapisnik o vseh začetnih avtorizacijah in vseh postopkih, uporabljenih pri vzpostavitvi svojega informacijskega sistema za upravljanje kvalificiranih potrdil. Zapisnik mora biti podpisan s strani vseh udeleženih v teh postopkih in trajno shranjen.
(2)
Če pride kasneje do sprememb v avtorizacijah ali do pomembnih sprememb nastavitev informacijskega sistema za upravljanje kvalificiranih potrdil, ki so bile opravljene ob vzpostavitvi sistema, morajo biti vse omenjene spremembe dokumentirane v zapisniku.
3. Fizično varovanje infrastrukture overitelja
10. člen
Overitelj mora zagotavljati ustrezno fizično varovanje svoje strojne opreme in nadzor fizičnega dostopa do svojega informacijskega sistema za upravljanje kvalificiranih potrdil. V dnevnik mora ažurno zapisovati vse fizične dostope do tega informacijskega sistema.
11. člen
(1)
Za fizični dostop do informacijskega sistema overitelja za upravljanje kvalificiranih potrdil se zahteva sočasna prisotnost vsaj dveh oseb, ki imata dovoljenje za dostop do tega sistema.
(2)
Vstop v overiteljeve prostore, kjer se nahaja informacijski sistem overitelja za upravljanje kvalificiranih potrdil, mora biti omejen zgolj na osebe, ki v teh prostorih opravljajo svoja dela in naloge za overitelja. Dostop mora biti v skladu s pisnim seznamom oseb, ki imajo dovoljen reden vstop v posamezne prostore. Osebe, ki nimajo dovoljenega rednega vstopa, morajo biti vpisane na poseben seznam s strani oseb, ki imajo dovoljenje za reden vstop in morajo biti ves čas v spremstvu oseb z rednim vstopom.
4. Elektronsko varovanje infrastrukture overitelja
12. člen
(1)
Overiteljeva informacijsko telekomunikacijska infrastruktura, ki je povezana v drugo informacijsko telekomunikacijsko omrežje, mora biti varovana z zanesljivimi varnostnimi mehanizmi (sistem za preprečevanje in odkrivanje vdorov, požarna pregrada in podobno), ki preprečujejo nedovoljene dostope prek tega omrežja in omejujejo dostop samo po protokolih, ki so nujno potrebni za upravljanje s kvalificiranimi potrdili, vsi drugi protokoli pa morajo biti onemogočeni.
(2)
Če je sistem zasnovan tako, da obstaja komunikacija preko drugega omrežja do overiteljevega sistema za upravljanje kvalificiranih potrdil, mora le-ta potekati po šifrirani poti.
13. člen
Informacijski sistem overitelja za upravljanje kvalificiranih potrdil mora biti sestavljen zgolj iz strojne in programske opreme, ki je potrebna za upravljanje kvalificiranih potrdil.
14. člen
Po poteku veljavnosti overiteljevih podatkov za elektronsko podpisovanje, ki niso nujno potrebni za preverjanje podatkov za nazaj, mora overitelj vse izvode varno in zanesljivo uničiti.
15. člen
Podatki overitelja, ki vplivajo na zanesljivost in varnost delovanja overitelja, ne smejo zapustiti sistema na nenadzorovani način, ki lahko ogrozi delovanje v skladu z veljavnimi predpisi in notranjimi pravili overitelja. Po poteku uporabe morajo biti nosilci podatkov odstranjeni ter nato varno in zanesljivo uničeni.
16. člen
(1)
Overiteljev informacijski sistem za upravljanje kvalificiranih potrdil mora imeti vgrajene zadostne varnostne mehanizme, ki preprečujejo zlorabo s strani zaposlenih in omogočajo jasno ločitev nalog na področja iz 21. člena te uredbe.