(1) Аккредитация поставщика сертификационных услуг осуществляется компетентным органом на основании его заявки. Аккредитация поставщика сертификационных услуг является бесплатной и осуществляется на срок пять лет, если в заявке на аккредитацию не указан более короткий срок.
(1-1) В части, не урегулированной настоящим законом, порядок запроса, предоставления, приостановления и отзыва сертификата об аккредитации поставщика сертификационных услуг определяется Законом о регулировании предпринимательской деятельности путем разрешения № 160/2011.
(2) Аккредитация в области применения усиленной квалифицированной электронной подписи предоставляется поставщику сертификационных услуг, удовлетворяющему следующим требованиям:
a) наличие финансовых ресурсов (банковская гарантия или страховой полис) в сумме не менее 300 тысяч леев на случай необходимости возмещения ущерба, причиненного третьим лицам вследствие их доверия к информации, указанной в сертификате открытого ключа, выданном поставщиком сертификационных услуг, или к информации из регистра сертификатов, выданных поставщиком сертификационных услуг;
b) наличие для предоставления сертификационных услуг персонала с высшим образованием в области информационных технологий и/или информационной безопасности, обладающего соответствующим уровнем управленческих и экспертных знаний и опыта в области технологии электронных подписей;
c) обеспечение безопасности, надежности и непрерывности предоставляемых сертификационных услуг;
d) обеспечение регистрации информации в регистре сертификатов открытых ключей, в частности оперативное предоставление услуги по приостановлению действия и отзыву сертификата открытого ключа;
e) обеспечение возможности определения точной даты и времени выдачи, приостановления действия или отзыва сертификата открытого ключа;
f) проверка в соответствии с законодательством идентичности лица, которому выдается квалифицированный сертификат открытого ключа;
g) использование систем и продуктов, которые защищены от изменений и обеспечивают техническую и криптографическую безопасность поддерживаемых ими функций;
h) создание условий для предотвращения подделки сертификатов и, в случае, когда поставщик сертификационных услуг генерирует данные для создания электронной подписи, – гарантирование конфиденциальности в процессе генерации таких данных;
i) использование систем, которые не хранят и не копируют данные для создания электронной подписи лиц, которым поставщик сертификационных услуг предоставлял услуги по управлению ключами;
j) использование надежных систем для хранения сертификатов в пригодной для проверки форме, так чтобы:
– только авторизованные лица могли вводить и изменять данные;
– аутентичность информации могла быть проверена;
– сертификаты могли быть общедоступными для ознакомления;
– любые технические изменения, нарушающие требования безопасности, были очевидны оператору.
(3) Поставщики сертификационных услуг в области применения усиленной квалифицированной электронной подписи представляют на бумажном носителе, в электронной форме или посредством единого окна для выдачи разрешительных документов заявку на аккредитацию с приложением документов, которые подтверждают соответствие требованиям, указанным в части (2), а именно подтверждают:
a) наличие финансовых ресурсов на случай необходимости возмещения ущерба;
b) наличие внутренних правил об обеспечении деятельности поставщика сертификационных услуг в соответствии с положениями настоящего закона;
c) соответствие используемых систем и продуктов требованиям настоящего закона;
d) образование и квалификацию должностных лиц, чьи функциональные обязанности непосредственно связаны с предоставлением сертификационных услуг;
e) назначение лиц, ответственных за деятельность поставщика сертификационных услуг, и лиц, уполномоченных подписывать сертификаты открытых ключей, а также личность данных лиц;
f) порядок синхронизации со Всемирным координированным временем (UTC);
g) право на импорт, экспорт, разработку, производство и реализацию специальных технических средств, предназначенных для негласного получения информации, а также право на предоставление услуг в области крипто-графической и технической защиты информации, кроме деятельности органов публичной власти, наделенных таким правом согласно закону (лицензия).
(4) Документы, указанные в пункте а) части (3), представляются в оригинале. Документы, указанные в пунктах b)–g) части (3), представляются в оригинале и копии, оригинал возвращается после сверки с копией в момент его представления.
(5) При подаче заявки на аккредитацию поставщик сертификационных услуг в области применения простой электронной подписи и усиленной неквалифицированной электронной подписи обязан представить в установленном компетентным органом формате информацию относительно используемых процедур безопасности и сертификации, а также свои идентификационные данные.
(6) В течение 30 календарных дней компетентный орган на основании представленных документов принимает решение об аккредитации поставщика сертификационных услуг или об отказе в его аккредитации.
(7) В случае принятия решения об аккредитации компетентный орган в течение 10 календарных дней с момента принятия решения об аккредитации уведомляет поставщика сертификационных услуг о принятом решении и выдает свидетельство об аккредитации установленного образца и в соответствии с нормативными актами в области электронной подписи регистрирует аккредитованного поставщика в Регистре учета поставщиков сертификационных услуг.
(8) В случае принятия решения об отказе в аккредитации компетентный орган в течение 10 календарных дней с момента принятия решения об отказе письменно уведомляет поставщика сертификационных услуг о принятом решении с указанием причин отказа.
(9) Основанием для отказа в аккредитации является несоответствие поставщика сертификационных услуг требованиям, указанным в части (2), или представление недостоверных сведений в прилагаемых к заявке на аккредитацию документах.
(10) Отказ в аккредитации не может выступать препятствием для повторной подачи документов для аккредитации после устранения причин, послуживших основанием для отказа в аккредитации.
(11) Решение об отказе в аккредитации может быть обжаловано в установленном порядке в судебную инстанцию.
(12) Поставщик сертификационных услуг считается аккредитованным со дня выдачи свидетельства об аккредитации.
(13) В случае повреждения или утраты свидетельства об аккредитации поставщику сертификационных услуг на основании поданного им заявления выдается в течение пяти рабочих дней дубликат свидетельства.
(14) Информация о поставщиках сертификационных услуг, которые аккредитованы, а также о тех, аккредитация которых отозвана, публикуется компетентным органом на его официальной веб-странице.
(15) После получения свидетельства об аккредитации для предоставления сертификационных услуг в области применения усиленной квалифицированной электронной подписи открытый ключ поставщика сертификационных услуг сертифицируется поставщиком сертификационных услуг высшего уровня в соответствии с положением, утвержденным компетентным органом.
(16) Аккредитация считается предоставленной или, по обстоятельствам, продленной, если компетентный орган не отвечает заявителю в срок, установленный законом для ее предоставления или продления.
(17) По истечении срока аккредитации и при отсутствии письменного уведомления от компетентного органа аккредитация считается продленной на тот же срок.
(18) Аккредитованные поставщики сертификационных услуг в области применения простой электронной подписи и усиленной неквалифицированной электронной подписи обязаны не позднее чем за 10 календарных дней уведомить компетентный орган о любом намерении изменения процедур безопасности и сертификации, с указанием даты и времени, когда изменение вступает в силу, и подтвердить в течение 24 часов произведенные изменения.
(19) В неотложных случаях, когда затрагивается безопасность сертификационных услуг, аккредитованные поставщики сертификационных услуг в области применения простой электронной подписи и усиленной неквалифицированной электронной подписи могут произвести изменения в процедурах безопасности и сертификации с последующим доведением в течение 24 часов до сведения компетентного органа произведенных изменений и обоснования принятого решения.
(20) Аккредитованный поставщик сертификационных услуг обязан обеспечить соблюдение требований, на соответствие которым он аккредитован, в течение всего срока его аккредитации. В случае возникновения обстоятельств, делающих невозможным обеспечение соблюдения этих требований, поставщик сертификационных услуг обязан уведомить об этом компетентный орган в течение 24 часов.
(21) Поставщик сертификационных услуг высшего уровня в области применения усиленной квалифицированной электронной подписи не подлежит аккредитации в соответствии с положениями настоящего закона.
Статья 26 Закон Oб электронной подписи и электронном документе в Республике Молдова с изменениями 2024 год №91 от 27.06.2014
Структура акта