12.09.2016 |
Legislativa
Izvor: Službeni glasnik Republike Srpske
Pravilnik o izdavanju kvalificiranih elektronskih certifikata
Ovim pravilnikom propisuju se postupak izdavanja dozvole i upisa u Registar certifikacionih tijela za izdavanje kvalificiranih elektronskih certifikata, sadržaj i način vođenja Registra, obrasci zahtjeva za izdavanje dozvole i potrebnih priloga uz zahtjev, kao i obrasci zahtjeva za upis promjena i potrebnih priloga.
Na osnovu člana 23. stav 4. Zakona o elektronskom potpisu Republike Srpske ("Službeni glasnik Republike Srpske", broj 106/15) i člana 82. stav 2. Zakona o republičkoj upravi ("Službeni glasnik Republike Srpske", br. 118/08, 11/09, 74/10, 86/10, 24/12, 121/12 i 15/16), ministar nauke i tehnologije, 18. jula 2016. godine, donosi
PRAVILNIK
O POSTUPKU IZDAVANJA DOZVOLE I UPISA U REGISTAR CERTIFIKACIONIH TIJELA ZA IZDAVANJE KVALIFICIRANIH ELEKTRONSKIH CERTIFIKATA
Član 1.
Ovim pravilnikom propisuju se postupak izdavanja dozvole i upisa u Registar certifikacionih tijela za izdavanje kvalificiranih elektronskih certifikata (u daljem tekstu: Registar), sadržaj i način vođenja Registra, obrasci zahtjeva za izdavanje dozvole i potrebnih priloga uz zahtjev, kao i obrasci zahtjeva za upis promjena i potrebnih priloga.
Član 2.
(1) Certifikaciono tijelo koje izdaje kvalificirane elektronske certifikate (u daljem tekstu: Kvalificirano certifikaciono tijelo) u svrhu obavljanja usluga izdavanja kvalificiranih certifikata podnosi Ministarstvu nauke i tehnologije (u daljem tekstu: Ministarstvo) zahtjev za upis u Registar.
(2) Zahtjev se podnosi na obrascu, koji se nalazi se u Prilogu 1. ovog pravilnika i čini njegov sastavni dio.
(3) Zahtjev se može podnijeti i elektronskim putem kroz stukturirani obrazac, koji se nalazi na internet stranici Ministarstva.
Član 3.
Kvalificirano certifikaciono tijelo uz zahtjev za upis u Registar treba da priloži:
(2) opće podatke o certifikacionom tijelu kojima se bliže opisuje dosadašnja djelatnost, reference, tržišna snaga i kvalitet djelovanja (engl. Quality of Service),
(3) opće podatke o odgovornom licu / ovlaštenom predstavniku, a koji se odnose na stručnu spremu, specijalnost u struci, iskustvo u struci, reference,
(4) dopunske podatke o vlasniku - suvlasnicima koji se odnose na stručnu spremu, specijalnost u struci, iskustvo u struci, reference i
(5) dokaze o ispunjavanju općih uvjeta sadržanih u članu 19. ovog pravilnika i uvjeta sadržanih u članu 21. Zakona o elektronskom potpisu (u daljem tekstu: Zakon), te uvjeta sadržanih u Pravilniku o posebnim uvjetima koje moraju da ispunjavaju certifikaciona tijela.
Član 4.
U svrhu dokazivanja uvjeta iz člana 3. ovog pravilnika podnosilac zahtjeva mora priložiti sljedeće:
(1) izvod iz sudskog registra, odnosno registra organa lokalne samouprave,
(2) bilans uspjeha i bilans stanja za pravna lica, odnosno prijava poreza na dohodak za fizička lica - preduzetnike za prethodne tri godine i protekli period u godini u kojoj se predaje zahtjev,
(3) dokument o unutrašnjoj organizaciji certifikacionog tijela, politici poslovanja i vlasničkim odnosima,
(4) opća pravila pružanja usluga certifikacije (engl. Certifficate Policy i Certification Practice Statement),
(5) opis sistema fizičke i tehničke zaštite uređaja, opreme i podataka, koji će podnosilac zahtjeva urediti svojim internim pravilnikom o provođenju zaštite sistema certifikacije u skladu sa čl. 19. i 21. Zakona i podzakonskim aktima,
(6) opis sigurnosnih rješenja zaštite od neovlaštenog pristupa informacijama,
(7) popis lica koja izvršavaju stručno-tehničke i organizacione, te upravljačke poslove u sistemu usluga certifikacije sa podacima i dokazima o stručnoj spremi, specijalističkim znanjima i potrebnim iskustvom (diplome, certifikati, potvrde),
5) kopiju polise obaveznog osiguranja od odgovornosti za štetu u iznosu propisanom Pravilnikom o posebnim uvjetima koje moraju da ispunjavaju certifikaciona tijela.
Član 5.
(1) Odmah nakon prijema zahtjeva za upis u Registar ministar nauke i tehnologije (u daljem tekstu: ministar) rješenjem imenuje Komisiju za provjeru ispunjenosti uvjeta za obavljanje usluga izdavanja kvalificiranih elektronskih certifikata (u daljem tekstu: Komisija), čiji je zadatak da provjeri ispunjenost uvjeta kvalificiranog certifikacionog tijela koje podnosi zahtjev.
(2) U Komisiju, koja ima tri člana, imenuju se stručnja¬ci iz oblasti informacionih tehnologija koji imaju iskustvo u oblasti primjene elektronskog potpisa i drugih usluga povjerenja i koji poznaju sistem infrastrukture javnog ključa.
Član 6.
Sve informacije koje se smatraju povjerljivim, a do kojih članovi Komisije dođu u svom radu, ne smiju biti saopćene trećim licima niti na neki drugi način biti raspoložive trećim licima.
Član 7.
(1) Provjera ispunjenosti uvjeta vrši se na osnovu uvida u dokumentaciju priloženu uz zahtjev te neposrednim razgo¬vorom s odgovornim licima ili ovlaštenim predstavnikom podnosioca zahtjeva.
(2) Po potrebi, Komisija može izvršiti neposredni uvid u ispunjenost uvjeta na lokaciji podnosioca zahtjeva.
(3) Predstavnik certifikacionog tijela koje je podnijelo zahtjev mora omogućiti članovima Komisije pristup svim informacijama koje su neophodne za kvalitetnu provjeru ispunjenosti uvjeta certifikacinog tijela, kao i saradnju sa licima zaposlenim u certifikacionom tijelu u cilju što bolje provjere ispunjenosti uvjeta.
(4) U slučaju podnošenja zahtjeva kojem nedostaje neki podatak ili neki od dokumenata iz člana 4. ovog pravilnika, Ministarstvo će pozvati podnosioca zahtjeva da dopuni zahtjev u roku od osam dana.
(5) Ukoliko podnosilac ne dopuni zahtjev u ostavljenom roku, zahtjev se odbacuje.
Član 8.
Provjera ispunjenosti uvjeta obuhvaća:
provjeru općih pravila pružanja usluga certifikacije: CP - Certificate Policy i CPS - Certification Practice Statement i njihove usklađenosti sa Zakonom i podzakonskim aktima,
provjeru internih pravila rada i njihove usklađenosti sa Zakonom i podzakonskim aktima,
atestiranje i certifikaciju tehničkih i sigurnosnih komponenti koje koristi certifikaciono tijelo za generisanje asimetričnih ključeva i izdavanje certifikata i kvalificiranih certifikata.
Član 9.
2. Provjera ispunjenosti kriterija operativnog rada certifikacionog tijela obuhvaća provjere sljedećih procedura:
(1) proceduru registracije korisnika kome se izdaje certifikat,
(2) proceduru pripreme zahtjeva za izdavanje certifikata u registracionom autoritetu,
(3) proceduru dostavljanja zahtjeva do certifikacionog tijela,
(4) proceduru generisanja certifikata,
(5) korištenje sigurnih sistema za čuvanje podataka za generisanje kvalificiranog elektronskog potpisa i drugih usluga povjerenja,
(6) korištenje sigurnih hardverskih sredstava za formiranje kvalificiranog elektronskog potpisa i drugih usluga povjerenja (hardverski moduli zaštite [HSM - engl. Hardware Security Module]),
(7) proceduru dostavljanja certifikata, uređaja za generisanje elektronskog potpisa i drugih usluga povjerenja i identifikacionih podataka korisnicima,
(8) proceduru opoziva certifikata,
(9) proceduru obnavljanja certifikata,
(10) proceduru suspenzije certifikata (ako je provedena),
(11) način objave liste opozvanih i suspendovanih certifikata,
(12) sisteme fizičke kontrole pristupa u prostorije certifikacionog tijela,
(13) sisteme logičke kontrole pristupa računarskim resursima certifikacionog tijela,
(14) sistem za javnu objavu osnovnih informacija o pružanju usluga certifikacije, kao i CP - Certificate Policy i CPS - Certification Practice Statement.
3. Provjera tehničkih i sigurnosnih komponenti koje koristi certifikaciono tijelo obuhvaća:
(1) realizaciju sistemskih zahtjeva sigurnosti,
(2) izdavanje (digitalno potpisivanje) elektronskih certifikata i kvalificiranih elektronskih certifikata primjenom kvalificiranog elektronskog potpisa i drugih usluga povjerenja,
(3) sigurno generisanje ključeva certifikacionog tijela.
Član 10.
(1) Nakon izvršene provjere ispunjenosti uvjeta, Komisija sačinjava zapisnik sa preporukom, u kojem konstatira da li certifikaciono tijelo koje je podnijelo zahtjev za upis u Registar ispunjava uvjete predviđene Zakonom i podzakonskim aktima i koji se dostavlja ministru.
(2) Ministar odbija zahtjev za upis u Registar ukoliko, u skladu sa zapisnikom koji je dostavila Komisija, certifikaciono tijelo ne ispunjava uvjete predviđene Zakonom i podzakonskim aktima.
(3) Ukoliko su ispunjeni uvjeti, ministar izdaje dozvolu za rad certifikacionom tijelu koje izdaje kvalificirane elekronske certifikate.
(4) Dozvola se izdaje u roku od 30 dana od dana podnošenja urednog zahtjeva.
Član 11.
(1) Cerifikaciono tijelo upisano u Registar mora sve promjene koje su nastale nakon upisa u Registar prijaviti Mini¬starstvu na za to predviđenom obrascu, koji se nalazi u Prilogu 2. ovog pravilnika i čini njegov sastavni dio.
(2) Izmjena i dopuna podataka upisanih u Registar moraju biti sačinjene na način da se prethodni podaci u Registru ne brišu, nego se označavaju kao arhivski podaci s naznača vanjem datuma do kada su važili.
(3) Ministarstvo može, u slučajevima kada zaključi da su nastupile veće promjene u sistemu, formirati komisiju za ponovnu provjeru ispunjenosti uvjeta za obavljanje usluga izdavanja kvalificiranih elektronskih certifikata.
Član 12.
(1) Danom izdavanja dozvole kvalificirano certifikaciono tijelo se upisuje u Registar i može obavljati usluge certifikacije.
(2) Kvalificirano certifikaciono tijelo može činjenicu iz stava 1. ovog člana iskazati u kvalificiranim certifikatima, koje izdaje u okviru obavljanja usluga certifikacije.
(3) Kvalificirano certifikaciono tijelo koje je rješenjem brisano iz Registra mora trenutno u svojim certifikatima ukloniti podatke kojima iskazuje povezanost s Registrom.
Član 13.
Ministarstvo briše iz Registra upisano certifikaciono tijeo:
(2) ako certifikaciono tijelo podnese prijavu za brisanje iz Registra,
(3) ukoliko Ministarstvo na osnovu podnesene prijave o izmjenama i dopunama podataka zaključi da certifikaciono tijelo više ne ispunjava uvjete iz čl. 19. i 21. Zakona,
(4) na zahtjev inspektora, u slučaju opoziva svih certifikata, odnosno prestanka rada certifikacionog tijela.
Član 14.
Registar sadrži sljedeće osnovne podatke o kvalificira¬nim certifikacionim tijelima:
(1) broj upisa u Registar (sadrži oznaku Registra, redni broj upisa u knjigu dopunjen danom upisa u obliku: oznaka Registra-godina-mjesec-dan-redni broj),
(2) naziv kvalificiranog certifikacionog tijela,
(3) jedinstveni identifikacioni broj (JIB),
(4) matični broj i naziv osnovnog suda gdje je upisan u sudski registar,
(5) broj bankovnog računa i ime poslovne banke u kojoj vodi poslovni račun,
(6) ime i prezime ovlaštenih lica koja zastupaju kvalificirano certifikaciono tijelo,
(7) adresa (sjedišta),
(8) osnovna djelatnost,
(9) elektronska adresa,
(10) telefonski i telefaks brojevi,
(11) ime, adresa / elektronska adresa i telefonski brojevi službe za odnose sa strankama i
(12) dan izdavanja dozvole.
Član 15.
(1) Registar je javan i vodi se na jednom od jezika konstituirajućih naroda u Republici Srpskoj.
(2) Registar se vodi i u elektronskom obliku, na internet stranici Ministarstva, uz tehnološko rješenje kojim se osigurava pristup sadržaju Registra u bilo koje vrijeme i sa bilo kojeg mjesta uz primjenu dostupnih računarskih programa i opreme, odnosno raspoloživom i u javnosti najprihvatljivijom tehnologijom.
(3) Ministarstvo može tehničke i informatičke poslove održavanja elektronskog registra ugovorom povjeriti pravnom licu koje ispunjava uvjete propisane Zakonom o elektronskom potpisu i podzakonskim aktima.
Član 16.
Stupanjem na snagu ovog pravilnika prestaje važiti Pravilnik o sadržaju i načinu vođenja Registra certifikacionih tijela za izdavanje kvalificiranih elektronskih certifikata ("Službeni glasnik Republike Srpske", broj 127/11).
Član 17.
Ovaj pravilnik stupa na snagu osmog dana od dana objave u "Službenom glasniku Republike Srpske".
Broj: 19/6-040/014-16/16
18. jula 2016. godine
Banja Luka
Ministar,
Dr. Jasmin Komić, s.r.
*Pri preuzimanju teksta s portala Akta.ba potrebno je navesti izvor i linkovati tekst.
Dojavi vijest na viber +387 60 331 55 03 ili na mail urednik@akta.ba.
