Noteikumu konsolidētā versija

22-TA-3706
Noteikumi par kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja un tā sniegtā pakalpojuma tehniskajām un organizatoriskajām prasībām
I.Vispārīgie jautājumi
1.
Noteikumi nosaka:
1.1.
tehniskās un organizatoriskās prasības, kādām atbilst:
1.1.1.
kvalificēts un kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs;
1.1.2.
autentifikācija;
1.1.3.
elektroniskās identifikācijas līdzeklis;
1.2.
kārtību, kādā tiek nodrošināta kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas līdzekļa darbības izbeigšana;
1.3.
kārtību, kādā veicama droša elektroniskās identifikācijas pārbaude;
1.4.
kārtību, kādā veicama autentifikācijas apliecinājuma un ar neveiksmīgiem autentifikācijas mēģinājumiem saistītas informācijas izsniegšana un glabāšana;
1.5.
elektroniskās identifikācijas pakalpojuma sniegšanas informācijas sistēmu, iekārtu un procedūru drošības pārbaudes kārtību un termiņus.
2.
Noteikumos lietoti šādi termini:
2.1.
abpusējā atpazīšana – process, kura laikā fiziskā persona un kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs gūst pārliecību viens par otra identitāti, izmantojot abpusēji saskaņotu elektroniskās identifikācijas elementu kopumu;
2.2.
drošs datu pārraides kanāls – informācijas apmaiņas veids, kas aizsargāts pret datu noplūšanu un izmainīšanu to pārraides laikā;
2.3.
elektroniskās identifikācijas līdzekļa darbības izbeigšana – darbību kopums, ko veic kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs Fizisko personu elektroniskās identifikācijas likuma 6. panta otrajā daļā minētajos gadījumos, lai neatgriezeniski izbeigtu elektroniskās identifikācijas līdzekļa darbību;
2.4.
elektroniskās identifikācijas shēma – elektroniskās identifikācijas procesu kopums, kurā elektroniskās identifikācijas līdzekļus izsniedz fiziskām personām;
2.5.
elements – materiāla vai nemateriāla elektroniskās identifikācijas līdzekļa sastāvdaļa, ko elektroniskās identifikācijas procesā var izmantot vienu vai vairākas reizes;
2.6.
fiziskās personas datu iekļaušana elektroniskās identifikācijas shēmā – fiziskās personas kļūšana par konkrēta elektroniskās identifikācijas pakalpojuma saņēmēju.
II.Tehniskās un organizatoriskās prasības, kādām atbilst kvalificēts un kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs
3.
Kvalificēts un kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs atbilst šādām tehniskajām un organizatoriskajām prasībām:
3.1.
nodrošina, ka elektroniskās identifikācijas pakalpojuma – autentifikācijas, elektroniskās identifikācijas līdzekļa darbības izbeigšanas – pieejamība, ciktāl tā ir atkarīga no kvalificēta vai kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja, kalendāra mēnesī darbdienu laikā no plkst. 9.00 līdz 18.00 Latvijas laika zonā ir vismaz 99,5 %, pārējā laikā – vismaz 97 %;
3.2.
saglabā informāciju par to, kurai fiziskajai personai un kurā laikā izbeigta elektroniskās identifikācijas līdzekļa darbība. Informāciju glabā 10 gadus pēc elektroniskās identifikācijas līdzekļa darbības izbeigšanas;
3.3.
visu diennakti nodrošina iespēju nekavējoties izbeigt elektroniskās identifikācijas līdzekļa darbību;
3.4.
kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs vai Fizisko personu elektroniskās identifikācijas likuma 5. panta piektajā daļā noteiktā juridiskā vai fiziskā persona pirms fiziskās personas datu iekļaušanas elektroniskās identifikācijas shēmā klātienē pārliecinās par fiziskās personas identitāti atbilstoši normatīvo aktu prasībām;
3.5.
kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs vai Fizisko personu elektroniskās identifikācijas likuma 5. panta piektajā daļā noteiktā juridiskā vai fiziskā persona nodrošina, ka fiziskā persona atbilstoši normatīvo aktu prasībām ir iepazinusies ar elektroniskās identifikācijas līdzekļa lietošanas nosacījumiem;
3.6.
nodrošina, ka elektroniskās identifikācijas pakalpojuma sniegšanas informācijas sistēmu, iekārtu un procedūru drošības aprakstā (turpmāk – drošības apraksts) norādītā informācija (izņemot informāciju par darbības nepārtrauktības plānu, par darbības izbeigšanas plānu, par personu, kas atbildīga par informācijas sistēmu resursu, tehnisko resursu un drošības pārvaldību, par iekšējo procedūru aprakstu par informācijas sistēmu drošības nodrošināšanu, par iekārtu drošības pasākumiem, kurus ievēro elektroniskās identifikācijas pakalpojuma sniedzējs, iekārtu ražotājs un piegādātājs, par elektroniskās identifikācijas procesā izmantoto iekārtu aizsardzības un ekspluatācijas kārtību, par pirmreizējo fiziskās personas identitātes pārbaudi, par elektroniskās identifikācijas līdzekļu uzglabāšanu, par datu pārvaldību, par nodrošināto autentifikāciju un par elektroniskās identifikācijas līdzekļu inventarizāciju un izsniegšanu, kā arī informāciju par to, kā atjaunojamas elektroniskās identifikācijas laikā izmantotās informācijas sistēmas un iekārtas) ir publiski pieejama;
3.7.
nodrošina, ka elektroniskās identifikācijas līdzeklis, kura darbība ir izbeigta, atkārtoti nav izmantojams;
3.8.
regulāri analizē pārbaudes pierakstus, lai minimizētu elektroniskās identifikācijas līdzekļa neautorizētas lietošanas riskus;
3.9.
elektroniskās identifikācijas līdzekli, kas nav personalizēts, glabā slēgtā veidā un tam regulāri veic inventarizāciju, inventarizācijas rezultātus fiksē.
4.
Kvalificēts elektroniskās identifikācijas pakalpojuma sniedzējs elektroniskās identifikācijas shēmā izmantotos tehniskos resursus, programmatūras un cilvēkresursus izvieto un elektroniskās identifikācijas shēmā iekļautos fiziskās personas datus un neizmantotos identifikācijas līdzekļus glabā Eiropas Savienības vai Eiropas Ekonomikas zonas valstu jurisdikcijā esošajā teritorijā.
5.
Kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs elektroniskās identifikācijas shēmā izmantotos tehniskos resursus, programmatūras un cilvēkresursus izvieto un elektroniskās identifikācijas shēmā iekļautos fiziskās personas datus un neizmantotos identifikācijas līdzekļus glabā Latvijas Republikas jurisdikcijā esošajā teritorijā.
III.Tehniskās un organizatoriskās prasības, kādām atbilst autentifikācija un elektroniskās identifikācijas līdzeklis
6.
Kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja autentifikācija atbilst šādām prasībām:
6.1.
to veic, izmantojot vismaz divus dažādus elementus;
6.2.
katra autentifikācijas sesija ir šifrēta un satur unikālu, vienu reizi izmantojamu parametru;
6.3.
katra fiziskās personas ievadītā parole tiek aizstāta ar unikālu simbolu virkni;
6.4.
autentifikācijā izmanto abpusēju atpazīšanu;
6.5.
visiem autentifikācijas laikā veidotajiem paziņojumiem un notikumiem, kas redzami fiziskajai personai, ir pievienota nepārprotama norāde uz kvalificēta vai kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja logo;
6.6.
visiem autentifikācijas laikā veidotajiem pārbaudes pierakstiem ir pievienots neviltojams laika marķējums;
6.7.
autentificējamās fiziskās personas valdījumā ir vismaz viens elements no vairāku elementu autentifikācijas.
7.
Kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja elektroniskās identifikācijas līdzeklis atbilst šādām prasībām:
7.1.
tas dzīves cikla laikā ir piesaistīts noteiktai fiziskajai personai;
7.2.
to padara nelietojamu Fizisko personu elektroniskās identifikācijas likuma 6. panta otrajā daļā minētajos gadījumos vai gadījumos, ja tas nonācis ārpus fiziskās personas valdījuma;
7.3.
to aktivizē pirms pirmās lietošanas reizes.
7.1
Papildus šo noteikumu 7. punktā norādītajām prasībām kvalificēts elektroniskās identifikācijas līdzeklis atbilst Komisijas 2015. gada 8. septembra Īstenošanas regulas (ES) 2015/1502, kas saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū 8. panta 3. punktu nosaka elektroniskās identifikācijas līdzekļu uzticamības līmeņu minimālās tehniskās specifikācijas un procedūras (turpmāk – īstenošanas regula Nr. 2015/1502), tehniskajām prasībām, kas noteiktas elektroniskās identifikācijas līdzekļiem ar vismaz būtisku uzticamības līmeni. Minētās prasības ir piemērojamas tiktāl, ciktāl šajos noteikumos nav noteiktas stingrākas prasības.
8.
Papildus šo noteikumu 7. punktā norādītajām prasībām kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja elektroniskās identifikācijas līdzeklis atbilst šādām prasībām:
8.1.
informāciju, ko tas satur, glabā aizsargātā tehniskā modulī, kas atbilst Eiropas Parlamenta un Padomes 2014. gada 23. jūlija Regulas (ES) Nr. 910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK, sadarbības tīkla ekspertu izstrādātajām vadlīnijām;
8.2.
to aktivizē kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja noteiktā laikposmā saskaņā ar kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja elektroniskās identifikācijas līdzekļa aktivizēšanas aprakstu;
8.3.
materiālie elementi ir marķēti un aprīkoti ar pretviltošanas apzīmējumiem (piemēram, hologrammām vai uzlīmēm);
8.4.
tas ir aprīkots ar unikālu kārtas numuru.
8.5.
kvalificēts paaugstinātās drošības elektroniskās identifikācijas līdzeklis atbilst īstenošanas regulas Nr. 2015/1502 tehniskajām prasībām, kas noteiktas elektroniskās identifikācijas līdzekļiem ar augstu uzticamības līmeni. Minētās prasības ir piemērojamas tiktāl, ciktāl šajos noteikumos nav noteiktas stingrākas prasības.
9.
Derīguma termiņš elektroniskās identifikācijas līdzekļa elementam, kurš satur fiziskas personas datus, ir:
9.1.
ne vairāk kā trīs gadi kvalificēta elektroniskās identifikācijas pakalpojuma sniedzēja izsniegtam elektroniskās identifikācijas līdzeklim;
9.2.
ne vairāk kā pieci gadi kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja izsniegtam elektroniskās identifikācijas līdzeklim.
IV.Kārtība, kādā tiek nodrošināta kvalificēta un kvalificēta paaugstinātas drošības elektroniskās identifikācijas līdzekļa darbības izbeigšana, un kārtība, kādā veicama droša elektroniskās identifikācijas pārbaude
10.
Kvalificēts un kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs, izbeidzot elektroniskās identifikācijas līdzekļa darbību, nodrošina šādu prasību izpildi:
10.1.
ievēro šo noteikumu 3.2. apakšpunktā minēto prasību;
10.2.
veic pasākumus, lai nodrošinātu, ka izbeigtā elektroniskās identifikācijas līdzekļa darbība nav atjaunojama;
10.3.
ja iespējams, dzēš elektroniskās identifikācijas līdzeklī esošos datus;
10.4.
ja elektroniskās identifikācijas elementu, kas satur personas datus, atdod atpakaļ kvalificētam vai kvalificētam paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējam, attiecīgo elementu padara nelietojamu.
11.
Droša elektroniskās identifikācijas pārbaude uzskatāma par notikušu, ja izpildīti šādi nosacījumi:
11.1.
fiziskā persona ir identificēta, izmantojot kvalificētu vai kvalificētu paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja izsniegtu elektroniskās identifikācijas līdzekli;
11.2.
elektroniskā identifikācija notikusi saskaņā ar kvalificēta vai kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja darbību reglamentējošos dokumentos norādīto informāciju un normatīvo aktu prasībām;
11.3.
kvalificēts elektroniskās identifikācijas pakalpojuma sniedzējs ir pārbaudījis fiziskās personas elektroniskās identifikācijas līdzekli un elementus, tostarp atbilstību šo noteikumu 3.2. apakšpunktā minētajām prasībām, informāciju atjaunojot vismaz reizi diennaktī, un guvis apstiprinājumu, ka elektroniskās identifikācijas līdzeklis ir derīgs;
11.4.
kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs ir pārbaudījis fiziskās personas elektroniskās identifikācijas līdzekli un elementus, tostarp atbilstību šo noteikumu 3.2. apakšpunktā minētajām prasībām, informāciju atjaunojot nekavējoties, un guvis apstiprinājumu, ka elektroniskās identifikācijas līdzeklis ir derīgs.
V.Kārtība, kādā veicama autentifikācijas apliecinājuma un ar neveiksmīgiem autentifikācijas mēģinājumiem saistītas informācijas izsniegšana un glabāšana
12.
Kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs pēc elektroniskā pakalpojuma sniedzēja pieprasījuma izsniedz autentifikācijas apliecinājumu, izmantojot drošu datu pārraides kanālu.
13.
Ja iespējams, kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs par neveiksmīgas autentifikācijas mēģinājumiem saglabā šādu informāciju:
13.1.
norādi par izmantotā elektroniskās identifikācijas pakalpojuma drošības līmeni;
13.2.
tās fiziskās personas datus, kura veikusi neveiksmīgu autentifikācijas mēģinājumu;
13.3.
autentifikācijas mēģinājuma datumu un laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti;
13.4.
interneta protokola adresi, no kuras veikts neveiksmīgais autentifikācijas mēģinājums;
13.5.
pārlūka nosaukumu un versijas identifikācijas datus;
13.6.
elektroniskā pakalpojuma nosaukumu, kuram fiziskā persona veikusi neveiksmīgu autentifikācijas mēģinājumu;
13.7.
sesijas identifikatoru.
14.
Kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs, glabājot autentifikācijas apliecinājumus un informāciju par neveiksmīgas autentifikācijas mēģinājumiem, nodrošina:
14.1.
šīs informācijas integritāti;
14.2.
pasākumus, lai izvairītos no informācijas nonākšanas trešo personu rīcībā;
14.3.
šīs informācijas neatgriezenisku dzēšanu pēc noteiktā glabāšanas termiņa beigām.
VI.Elektroniskās identifikācijas pakalpojuma sniegšanas informācijas sistēmu, iekārtu un procedūru drošības pārbaudes kārtība un termiņi
15.
Eksperts, kurš iekļauts uzraudzības iestādes apstiprinātajā ekspertu sarakstā (turpmāk – eksperts), pārbauda, vai elektroniskās identifikācijas pakalpojuma sniedzējs pirms reģistrēšanās reģistrā un kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs atbilst Fizisko personu elektroniskās identifikācijas likumā noteiktajām prasībām.
16.
Eksperts veic elektroniskās identifikācijas pakalpojuma sniedzēja un kvalificēta vai kvalificēta paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzēja drošības pārbaudi ne vēlāk kā četru mēnešu laikā pēc vienošanās par drošības pārbaudes veikšanu.
17.
Eksperts sagatavo drošības pārbaudes atzinumu latviešu valodā un iesniedz to elektroniskās identifikācijas pakalpojuma sniedzējam un kvalificētam vai kvalificētam paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējam. Ja drošības pārbaudes atzinums sākotnēji sagatavots svešvalodā, to iesniedz elektroniskās identifikācijas pakalpojuma sniedzējam un kvalificētam vai kvalificētam paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējam kopā ar drošības pārbaudes atzinumu latviešu valodā.
18.
Drošības pārbaudes izmaksas sedz elektroniskās identifikācijas pakalpojuma sniedzējs vai kvalificēts vai kvalificēts paaugstinātas drošības elektroniskās identifikācijas pakalpojuma sniedzējs.
19.
Noteikumi stājas spēkā 2018. gada 1. janvārī.