Uredba o bližem uređenju uslova koje moraju da ispune šeme elektronske identifikacije za određene nivoe pouzdanosti

Na osnovu člana 18. stav 2. Zakona o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju („Službeni glasnik RS”, broj 94/17) i člana 42. stav 1. Zakona o Vladi („Službeni glasnik RS”, br. 55/05, 71/05 ( ispravka, 101/07, 65/08, 16/11, 68/12 ( US, 72/12, 7/14 ( US, 44/14 i 30/18 ( dr. zakon),

Vlada donosi

U R E D B U

O BLIŽEM UREĐENJU USLOVA KOJE MORAJU DA ISPUNE ŠEME ELEKTRONSKE IDENTIFIKACIJE ZA ODREĐENE NIVOE POUZDANOSTI

Predmet uredbe

Član 1.

Ovom uredbom bliže se uređuju uslovi koje moraju da ispune šeme elektronske identifikacije za određene nivoe pouzdanosti.

Svi pojmovi koji se koriste u ovoj uredbi u muškom rodu, obuhvataju iste pojmove u ženskom rodu.

Elektronska identifikacija

Član 2.

Elektronska identifikacija je postupak korišćenja ličnih identifikacionih podataka u elektronskom obliku koji jednoznačno određuju pravno lice, fizičko lice ili fizičko lice u svojstvu registrovanog subjekta.

  Kada registrovana šema elektronske identifikacije ispunjava uslove za viši nivo pouzdanosti šeme elektronske identifikacije, u tom slučaju se smatra da ispunjava i uslove za niže nivoe pouzdanosti.

Zahtev za izdavanje sredstva elektronske identifikacije

Član 3.

Zahtev za izdavanje sredstva elektronske identifikacije podnosi se pružaocu usluge elektronske identifikacije.

Prilikom podnošenja zahteva za izdavanje sredstva elektronske identifikacije, pružalac usluge elektronske identifikacije je u obavezi da podnosioca zahteva upozna sa:

1) načinom upotrebe sredstva elektronske identifikacije;

2) propisima i pravilima koji se odnose na korišćenje usluge elektronske identifikacije;

3) informacijama o nivou pouzdanosti šeme elektronske identifikacije za koju se podnosi zahtev;

4) rizicima od eventualne zloupotrebe odnosno neistinitog predstavljanja;

5) merama koje podnosilac zahteva treba da preduzme radi bezbednog korišćenja sredstva elektronske identifikacije.

Pružalac elektronske identifikacije dužan je da pribavi saglasnost korisnika za obradu podataka o ličnosti u okviru pružanja usluge elektronske identifikacije i u svemu postupa saglasno zakonu kojim se uređuje zaštita podataka o ličnosti.

Provera identiteta za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti

Član 4.

Za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:

1) lične karte ili druge javne isprave sa fotografijom;

2) javne isprave koja služi kao sredstvo identifikacije na daljinu;

3) sredstva identifikacije koje je izdato u okviru registrovane šeme istog ili višeg nivoa pouzdanosti.

U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica uz dostavljanje dokaza o ovlašćenju.

Dokaz iz stava 1. tačka 1) i stava 2. ovog člana podnosilac zahteva dostavlja elektronskim putem pružaocu usluge.

Izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti može se vršiti uz fizičko prisustvo podnosioca zahteva, ukoliko je to predviđeno internim aktima pružaoca usluge elektronske identifikacije.

Provera identiteta za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti

Član 5.

Za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:

1) lične karte ili putne isprave uz fizičko prisustvo podnosioca zahteva;

2) javne isprave koja služi kao sredstvo identifikacije na daljinu;

3) sredstva identifikacije koje je izdato u okviru registrovane šeme istog ili višeg nivoa pouzdanosti.

U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica, shodnom primenom stava 1. ovog člana, uz dostavljanje dokaza o ovlašćenju.

Ukoliko se provera identiteta podnosioca vrši na osnovu dokumenta iz stava 1. tačka 1) ovog člana pružalac elektronske identifikacije može da izvrši proveru validnosti dokumenta i tačnost podataka iz dokumenta kod organa nadležnog za izdavanje dokumenta u skladu sa zakonom kojim se regulišu evidencije i obrada podataka u oblasti unutrašnjih poslova.

Organ nadležan za izdavanje dokumenta iz stava 1. tačka 1) ovog člana obezbediće proveru validnosti dokumenta i tačnosti podataka iz dokumenta za potrebe pružaoca elektronske identifikacije putem elektronskog servisa, uz primenu odgovarajućih mera informacione bezbednosti.

Provera identiteta za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti

Član 6.

Za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:

1) lične karte ili putne isprave uz fizičko prisustvo podnosioca zahteva;

2) javne isprave koja služi kao sredstvo identifikacije na daljinu, u skladu sa zakonom;

3) sredstva identifikacije koje je izdato u okviru registrovane šeme visokog nivoa pouzdanosti.

U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica, shodnom primenom stava 1. ovog člana, uz dostavljanje dokaza o ovlašćenju.

Ukoliko se provera identiteta podnosioca vrši na osnovu dokumenta iz stava 1. tačka 1) ovog člana, pružalac elektronske identifikacije može da izvrši proveru validnosti dokumenta i tačnost podataka iz dokumenta kod organa nadležnog za izdavanje dokumenta u skladu sa zakonom kojim se regulišu evidencije i obrada podataka u oblasti unutrašnjih poslova.

Organ nadležan za izdavanje dokumenta iz stava 1. tačka 1) ovog člana obezbediće proveru validnosti dokumenta i tačnosti podataka iz dokumenta za potrebe pružaoca elektronske identifikacije putem elektronskog servisa, uz primenu odgovarajućih mera informacione bezbednosti.

Provera identiteta stranog državljanina

Član 7.

Provera identiteta stranog državljanina vrši se na osnovu strane putne isprave, putne isprave za strance ili lične karte za strance koje izdaju nadležni organi Republike Srbije.

Pružalac elektronske identifikacije može da izvrši proveru validnosti putne isprave za strance ili lične karte za strance i tačnost podataka iz tih dokumenata kod organa nadležnog za izdavanje dokumenta, u skladu sa zakonom kojim se regulišu evidencije i obrada podataka u oblasti unutrašnjih poslova.

Organ nadležan za izdavanje dokumenta iz stava 2. ovog člana obezbediće proveru validnosti tih dokumenata i tačnosti podataka iz dokumenata za potrebe pružaoca elektronske identifikacije putem elektronskog servisa, uz primenu odgovarajućih mera informacione bezbednosti.

Izdavanje i aktivacija sredstva elektronske identifikacije

Član 8.

U postupku izdavanja sredstvo elektronske identifikacije isporučuje se na način koji osigurava isporuku samo licu kojem je namenjeno, odnosno korisniku sredstva.

Nakon isporuke, sredstvo elektronske identifikacije srednjeg i visokog nivoa pouzdanosti se aktivira putem aktivacionog koda koji je dostavljen podnosiocu zahteva.

Suspenzija, opoziv i ponovna aktivacija sredstva elektronske identifikacije

Član 9.

Sredstvo elektronske identifikacije može se suspendovati, odnosno opozvati.

Pružalac usluge elektronske identifikacije dužan je da preduzme mere u cilju sprečavanja neovlašćene suspenzije, opoziva ili ponovne aktivacije.

Sredstvo elektronske identifikacije može se ponovo izdati ako su ispunjeni uslovi za pouzdano izdavanje.

U slučaju obnove ili zamene sredstva elektronske identifikacije, potrebno je izvršiti ponovno dokazivanje i proveru identiteta na način predviđen čl. 4–7. ove uredbe.

Autentikacioni mehanizam za šemu elektronske identifikacije osnovnog nivoa pouzdanosti

Član 10.

Pružalac usluga elektronske identifikacije osnovnog nivoa pouzdanosti u obavezi je da:

1) izdaje sredstvo elektronske identifikacije koje sadrži najmanje jedan element autentikacije;

2) preduzme mere koje obezbeđuju upotrebu sredstva elektronske identifikacije samo korisniku sredstava;

3) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti prilikom otkrivanja ličnih identifikacionih podataka korisnika sredstava;

4) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja.

Autentikacioni mehanizam za šemu elektronske identifikacije srednjeg nivoa pouzdanosti

Član 11.

Pružalac usluga elektronske identifikacije srednjeg nivoa pouzdanosti u obavezi je da:

1) izdaje sredstvo elektronske identifikacije koje sadrži najmanje dva elementa autentikacije različitih kategorija (nešto što lice zna, nešto što lice poseduje, nešto što lice jeste);

2) sredstvo iz tačke 1. ovog stava je projektovano tako da obezbeđuje mogućnost korišćenja sredstva elektronske identifikacije samo korisniku sredstava, odnosno da se može pretpostaviti da se sredstvo elektronske identifikacije upotrebljava samo pod kontrolom korisnika sredstva;

3) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti prilikom otkrivanja ličnih identifikacionih podataka putem dinamičke autentikacije;

4) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja.

Dinamička autentikacija predstavlja elektronski proces u kome se upotrebljava kriptografija ili druge tehnike, kako bi se stvorio elektronski dokaz da korisnik kontroliše ili poseduje podatke za identifikaciju, a koji se menja sa svakom autentikacijom.

Autentikacioni mehanizam za šemu elektronske identifikacije visokog nivoa pouzdanosti

Član 12.

Pružalac usluga elektronske identifikacije visokog nivoa pouzdanosti u obavezi je da:

1) preduzme mere koje obezbeđuju upotrebu sredstva elektronske identifikacije samo korisniku sredstva, odnosno da se može pretpostaviti da se sredstvo elektronske identifikacije upotrebljava samo pod kontrolom korisnika sredstava;

2) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti putem dinamičke autentikacije iz člana 11. stav 2. ove uredbe pre otkrivanja ličnih identifikacionih podataka korisnika sredstva;

3) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja;

4) obezbedi visok novo zaštite sredstva za elektronsku identifikaciju od kopiranja, neovlašćene izmene i zloupotrebe od strane drugih lica;

5) izdaje kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata koje ujedno predstavlja sredstvo identifikacije;

6) vrši autentikaciju korisnika na osnovu kvalifikovanog elektronskog potpisa odnosno kvalifikovanog elektronskog pečata korisnika koji se time identifikuje, zasnovano na sertifikatima korisnika koje je sam izdao.

Tehnički, organizacioni i bezbednosni uslovi za pružaoce usluge elektronske identifikacije

Član 13.

Pružalac usluge elektronske identifikacije je pravno ili fizičko lice u svojstvu registrovanog subjekta koji pruža usluge elektronske identifikacije.

Pružalac usluge elektronske identifikacije dužan je da:

1) usvoji i primenjuje Opšte uslove za pružanje usluge, Politiku pružanja usluga i Praktična pravila za pružanje usluga, u skladu sa propisima, kao i domaćim i međunarodnim standardima u oblasti elektronske identifikacije;

2) upozna korisnika sredstva sa uslovima korišćenja usluge, uključujući sva ograničenja njene upotrebe, kao i sa eventualnim naknadama za korišćenje usluge;

3) usvoji politiku zaštite privatnosti, u skladu sa propisima Republike Srbije;

4) uspostavi odgovarajuće politike i postupke koje osiguravaju korisniku sredstva pravovremeno i pouzdano informisanje o promenama uslova korišćenja usluge, odnosno politike zaštite privatnosti za određenu uslugu;

5) čuva podatke o izdavanju sredstva elektronske identifikacije, uključujući podatke vezane za proveru identiteta korisnika, najmanje deset godina po izdavanju;

6) vodi evidenciju i čuva informacije o značajnim događajima vezanim za operativni rad pružaoca i bezbednosne pretpostavke registrovane šeme elektronske identifikacije;

7) vodi evidenciju o korišćenju sredstva elektronske identifikacije i čuva podatke iz evidencije ukoliko je to neophodno za potrebe revizije, istrage u slučaju kršenja bezbednosti informacija i za potrebe zadržavanja podataka, u skladu sa zakonom;

8) obezbedi izvor tačnog vremena koji je sinhronizovan sa izvorom referentnog vremena koji odredi ministarstvo nadležno za poslove informacionog društva i pouzdano ugrađuje informaciju o tačnom vremenu u evidencije iz tač. 5), 6) i 7) ovog člana;

9) obezbedi da su njegovi zaposleni i podizvođači obučeni i kvalifikovani za poslove koji se odnose na uslugu elektronske identifikacije;

10) obezbedi adekvatan broj zaposlenih i podizvođača za primereno obavljanje usluge;

11) obezbedi neposredan nadzor i zaštitu objekata koji se upotrebljavaju za pružanje usluga, od štete uzrokovane vremenskim uslovima, neovlašćenim pristupom i drugim uzrocima koji mogu uticati na bezbednost usluge;

12) obezbedi da u objektima koji se koriste za pružanje usluge pristup područjima u kojima se nalaze ili se obrađuju lični, kriptografski ili drugi poverljivi podaci mogu imati samo ovlašćena zaposlena lica ili podizvođači;

13) dužan je da ima plan završetka rada u slučaju prestanka pružanja usluge elektronske identifikacije, kojim se obezbeđuje obaveštavanje korisnika o prestanku pružanja usluga i adekvatno čuvanja podataka;

14) obezbedi da, u cilju usklađenosti usluge sa relevantnom politikom, vrši periodične revizije kojima su obuhvaćeni svi delovi koji se odnose na isporuku usluga, i to:

(1) periodične interne revizije kod pružanja usluge elektronske identifikacije osnovnog nivoa pouzdanosti;

(2) periodične nezavisne interne ili eksterne revizije kod pružanja usluge elektronske identifikacije srednjeg nivoa pouzdanosti;

(3) periodične nezavisne eksterne revizije kod pružanja usluge elektronske identifikacije visokog nivoa pouzdanosti.

Tehničke i bezbednosne karakteristike sredstva elektronske identifikacije

Član 14.

Pružalac usluge elektronske identifikacije dužan je da uspostavi efikasan sistem upravljanja bezbednošću informacija u cilju upravljanja rizicima koji se odnosi na bezbednost informacija.

Pružalac usluge elektronske identifikacije srednjeg i visokog nivoa pouzdanosti dužan je da uspostavi sistem iz stava 1. ovog člana u skladu sa standardima i načelima za upravljanje rizicima koji se odnose na bezbednost informacija.

Pružalac usluge elektronske identifikacije dužan je da:

1) uspostavi odgovarajuće tehničke kontrole za upravljanje rizicima za bezbednost usluga kojima se štiti poverljivost, celovitost i dostupnost informacija koje se obrađuju;

2) obezbedi da su elektronski komunikacioni kanali koji se upotrebljavaju za razmenu ličnih ili poverljivih informacija zaštićeni od neovlašćenog pristupa, neovlašćenog presretanja, neovlašćenog korišćenja i drugih načina ugrožavanja;

3) ograniči pristup kriptografskom materijalu, ako se upotrebljava za izdavanje sredstva elektronske identifikacije i autentikaciju na ovlašćena lica i aplikacije za koje se taj pristup izričito zahteva, kao i da obezbedi da se takav materijal nikad kontinuirano ne čuva u formatu običnog nekriptovanog teksta;

4) osigura kontinuiranu bezbednost informacija, kao i da obezbedi da je sistem otporan na promene nivoa rizika, incidente i kršenje bezbednosti;

5) da obezbedi da se mediji koji sadrže lične, kriptografske ili druge poverljive informacije skladište, prenose i uništavaju na siguran način.

Pored uslova iz stava 3. ovog člana, pružaoci usluge elektronske identifikacije srednjeg i visokog nivoa pouzdanosti dužni su da poverljivi kriptografski materijal, ukoliko se upotrebljava za izdavanje sredstva elektronske identifikacije i autentikacije, zaštite od neovlašćene izmene.

Interoperabilnost šema elektronske identifikacije

Član 15.

U cilju obezbeđivanja interoperabilnosti šema elektronske identifikacije pružaoci usluge elektronske identifikacije moraju da ispune tehničke i organizacione uslove iz čl. 13. i 14. ove uredbe.

Pružaoci usluge elektronske identifikacije dužni su da: pouzdajućim stranama omoguće proveru identiteta putem „OAuth” protokola u skladu sa standardom RFC 6749 „The OAuth 2.0 Authorization Framework” ili putem „SAML” protokola u skladu sa standardom „OASIS Security Assertion Markup Language (SAML) v2.0”, što ne isključuje mogućnost ponude dodatnih načina provere identiteta.

Završna odredba

Član 16.

Ova uredba stupa na snagu osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije”.

05 Broj: 110-3780/2018-1

U Beogradu, 2. avgusta 2018. godine

V L A D A

PREDSEDNIKAna Brnabić