Все_лекции_Горбенко

4.3ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ НА ОСНОВІ ЕЦП.

4.4ЕЛЕКТРОННІ ДОКУМЕНТИ ТА ЕЛЕКТРОННА ДОСТАВКА ДОКУМЕПНТІВ.

4.5МЕХАНІЗМИ АВТЕНТИФІКАЦІЇ ВЕБ – САЙТІВ.

4.6МЕХАНІЗМИ реальних АВТЕНТИФІКАЦІЇ ВЕБ – САЙТІВ.

Додаток А Вимоги до ЕЦП згідно Регламенту ЄС про транскордонні електронні послуги.

Перелік джерел до самостійної роботи

1.Горбенко Ю.І., Горбенко І.Д. Інфраструктури відкритих ключів . Системи ЕЦП. Теорія та практика. Харків. Форт. 2010 , 593с.

2.Горбенко І.Д. Електронний документообіг в державному управлінні, навчальний . посібник, Київ – Харків. Форт. 2009 , 226с.

3.Горбенко І.Д., Горбенко Ю.І. Прикладна криптологія. Монографія. Харків, ХНУРЕ, Форт, 2012 р., 1 та 2 видання, 878 с.

Електронний ресурс

1. Brussels, XXX. COM(2012) 238/2. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILon electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance) {SWD(2012) 135} {SWD(2012) 136}.

4.1 ЗАГАЛЬНА ХАРАКТЕРИСТИКА ТРАНСКОРДОННИХ ЕЛЕКТРОННИХ ДОВІРЧИХ ПОСЛУГ.

Впровадження та широке застосування електронного цифрового підпису в ЄС суттєвопокращило здійснення електронних операцій на цифровому ринку[1,2]. На практиці підтверджено, що зміцнення довіри у он-лайн-середовищі є ключем до економічногорозвитку. Але відсутність довіри змушує споживачів, бізнес і керівництво коливатися при здійсненні операцій в електронному вигляді та приймати нові послуги[3,4]. В той же час основоположним принципом внутрішнього ринку в ЄС є те, що не повинно бути ніяких обмежень на надання довірчих послуг провайдерами довірчих послуг на території держави-члена, розташованими в інших державах-членах [4]. Виявилось, що в ЄС не існує всебічних транскордонних та міжрегіональних основ для безпечних, надійних і простих електронних операцій, що включають електронну ідентифікацію, автентифікацію, електронний підпис тощо.

Для вирішення в ЄС вказаних протиріч прийнята законодавча база, що складається з "Регламенту

Європейського Парламентута Ради щодо електронної ідентифікації та трастових сервісів для електронних операцій на внутрішньому ринку"[4]. Регламент призначений забезпечити безпечні і цілісні електронні операції між підприємствами, громадянами і державними органами, що дозволить підвищувати в ЄС ефективність державних і приватних онлайн - послуг, електронного бізнесу та електронної торгівлі. Основною його метою є покращення існуючого законодавства і його розширення для забезпечення взаємного визнання і прийняття на рівні ЄС заявлених електронних схем ідентифікації та інших необхідних супутніх електронних довірчих послуг. Регламент прийнято за результатами обширнихнарад відносно перегляду діючої законодавчої бази щодо електронних підписів, в ході яких Комісія зібрала відгуки держав-членів, Європейського парламенту та інших зацікавлених сторін [3,4]. Він є основоположним перспективним нормативно – правовим документом, який по суті розроблений на основі досвіду створення, застосування та удосконалення інфраструктури відкритого ключа в ЄС і направлений на забезпечення безпечних, цілісних електронних операції між підприємствами, громадянами і державними органами.

Для України та Російської Федерації , які уже зробили суттєві кроки для впровадження електронного підпису і маються певні досягнення, важливим є вивчення та аналіз можливостей використання Європейського досвіду для надання безпечних електронних послуг щодо електронного підпису, електронних печаток, електронних міток часу, електронних документів, послуг електронної доставки та перевірки справжності веб – сайтів[4].

Метою цього параграфу є аналіз сутностей прийнятого в ЄС Регламенту та визначення основних задач щодо виконання умов та вимог, які повинні бути вирішені в ЄС для надання безпечних електронних послуг щодо

електронної ідентифікації, електронної автентифікації, електронного підпису, електронних печаток, електронних міток часу, електронних документів, послуг електронної доставки

та перевірки справжності веб – сайту , а також розгляд першочергових задач та аналіз

можливостей їх вирішення в Україні та можливо в інших державах.

1.Відповідність рівням безпеки, визначеним в делегованих актах вважається доведеною, якщо відповідна послуга - електронної ідентифікації, електронної автентифікації, електронного підпису, електронних печаток, електронних міток часу, електронних документів, послуг електронної доставки та перевірки справжності веб – сайту відповідає цим стандартам. Виконавчі акти приймаються у відповідності з процедурою розгляду згідно Регламенту.

Електронні довірчі послуги. Загальні положення. Для розгляду довірчих послуг спочатку розглянемо основні поняття та визначення

. "Довірча послуга" - це будь-яка електронна послуга, що стосується вироблення, перевірки, підтвердження правильності, обробки та зберігання електронних підписів, електронних печаток, електронних міток часу, електронних документів, послуг електронної доставки, підтвердження справжності веб - сайту та електронних сертифікатів, включаючи сертифікати електронного підпису та електронних печаток.

"Кваліфікована довірча послуга" - це довірча послуга, яка відповідає прикладним вимогам, що передбачені у Регламенті[4].

"Провайдер довірчих послуг" - це фізична або юридична особа, яка надає одну чи кілька довірчих послуг.

"Провайдер кваліфікованих довірчих послуг" - провайдер довірчих послуг,

який відповідає вимогам, що викладені в Регламенті[4].

"Продукт" – це апаратне або програмне забезпечення, або їх відповідні компоненти, які призначений для використання при наданні довірчих послуг;

Відповідальність. Провайдер довірчих послуг несе відповідальність за будь- яку пряму шкоду, що заподіяну будь-якій фізичній чи юридичній особі через недотримання зобов'язань, викладених у Регламенті, якщо тільки провайдер довірчих послуг не зможе довести, що він не діяв недбало. Провайдер кваліфікованих довірчих послуг несе відповідальність за будь-яку пряму шкоду, заподіяну будь-якій фізичній чи юридичній особі через недотримання вимог, викладених у цьому Регламенті, якщо тільки він не зможе довести, що він не діяв недбало.

Провайдери довірчих послуг з третіх країн. Кваліфіковані довірчі послуги і кваліфіковані сертифікати, які надаються провайдерами кваліфікованих довірчих послуг, розташованими в третіх країнах, мають бути прийняті так само, як і кваліфіковані довірчі послуги і кваліфіковані сертифікати, що надані провайдером кваліфікованих довірчих послуг, розташованим на території ЄС, якщо кваліфіковані довірчі послуги і кваліфіковані сертифікати, що походять з третіх країн, визнаються відповідно до угоди між ЄС і третіми країнами або міжнародними організаціями відповідно до Договору про функціонування Союзу. Такі угоди повинні гарантувати, що вимоги, які висуваються до кваліфікованих довірчих послуг і кваліфікованих сертифікатів, що надаються провайдерами, розташованими на території Союзу, задовольняються провайдерами довірчих послуг з третіх країн або міжнародних організацій, особливо відносно захисту персональних даних, безпеки і контролю.

Обробка і захист даних. Провайдери довірчих послуг та наглядові органи при обробці персональних даних повинні забезпечити справедливу та законну обробку відповідно до Директиви 95/46/ЄС. При обробці кількість даних, що необхідна для видачі та обслуговування сертифікатів або надання довірчих послуг, повинна бути строго зведена до мінімуму. Провайдери довірчих послуг повинні гарантувати конфіденційність і цілісність даних, що відносяться до особи, якій надається довірча послуга. Держави-члени ЄС не повинні перешкоджати провайдерам довірчих послуг зазначати в сертифікатах електронних підписів псевдонім замість імені підписувача, не зменшуючи юридичної сили, що надається відповідно до національного законодавства з використанням псевдонімумів.

Доступність для інвалідів. Довірчі послуги та кінцеві споживчі продукти, що використовуються при наданні послуг, повинні бути доступні для осіб з обмеженими можливостями.

Наглядові органи. Держави-члени ЄС повинні призначити відповідний орган, створений на їх території або, за взаємною домовленістю, в іншій державі- члені під відповідальність держави-члена ЄС, що його призначає. Наглядовим органам повинні бути надані всі наглядові та слідчі повноваження, необхідні для виконання їхніх завдань.

Наглядовий орган несе відповідальність за виконання наступних завдань: а) проведення моніторингу провайдерів довірчих послуг, створених на

території держави-члена ЄС, що його призначила, щоб переконатися, що вони відповідають вимогам Регламенту; б) ведення нагляду за провайдерами кваліфікованих довірчих послуг на

території держави-члена ЄС, що його призначила, та за кваліфікованими довірчими послугами, які вони надають, щоб переконатися, що вони і кваліфіковані довірчі послуги, надані ними, задовольняють відповідним вимогам і повинні вестись згідно Регламенту; в) гарантувати безперервність надання послуги в тому, що відповідна

інформація і дані, які записані провайдером кваліфікованих довірчих послуг, зберігаються і залишаються доступними після припинення діяльності провайдера кваліфікованих довірчих послуг, протягом відповідного часу. Кожен наглядовий орган повинен щорічно представляти звітність про наглядову діяльність за минулий календарний рік в Комісію та країни-члени до кінця першого кварталу наступного року. Вона повинна включати, як мінімум такі дані:

а) інформацію про свою наглядову діяльність; б) опис повідомлень про порушення, отриманих від провайдерів довірчих послуг;

в) статистику ринку і використання кваліфікованих довірчих послуг, в тому числі інформацію про самих провайдерів кваліфікованих довірчих послуг, кваліфіковані довірчі послуги, які вони надають, продукти, які вони використовують, і загальний опис своїх клієнтів.

Держави-члени ЄС повинні повідомити Комісію та інші держави-члени імена та адреси своїх відповідних встановлених наглядових органів.

Взаємна допомога. Органи нагляду повинні співпрацювати з метою обміну передовим досвідом та надавати один одному, в найкоротші терміни, відповідну інформацію та взаємну допомогу щоб провадити діяльність в узгодженому порядку. Взаємна допомога повинна охоплювати, зокрема, інформаційні запити і наглядові заходи, наприклад такі як запити на проведення перевірок, що пов'язані з аудитом безпеки,що зазначені у

Регламенті. Наглядовий орган, якому адресовано прохання про допомогу, не може відмовитися від її надання, окрім таких випадків, як:

а) він не компетентний розглядати прохання; б) задоволення цього прохання було б несумісним з Регламентом.

У разі необхідності, наглядові органи можуть проводити спільні дослідження, в

яких можуть брати участь співробітники наглядових органів інших держав- членів ЄС. Наглядовий орган держави-члена, в якій проводиться розслідування,

згідно зі своїм національним законодавством, може покласти слідчі завдання на співробітників наглядового органу, що йому допомагає. Такі повноваження можуть здійснюватися тільки під керівництвом і в присутності співробітників приймаючого наглядового органу. Співробітники наглядового органу, що допомагають, повинні діяти у відповідності з національним законодавством наглядового органу, що їх приймає. Наглядовий орган, що приймає, бере на себе відповідальність за дії співробітників наглядового органу, що йому допомагає. Комісія може шляхом запровадження виконавчих актів, визначити формат і процедуру надання взаємної допомоги. Такі виконавчі акти приймаються у відповідності з процедурою розгляду регламенту.

Вимоги щодо безпеки, що пред'являються до провайдерів довірчих послуг.

Провайдери довірчих послуг, що розташовані на території ЄС, повинні вжити відповідні технічні та організаційні заходи по управлінню ризиками, що пов'язані із безпекою довірчих послуг, які вони надають. Беручи до уваги стан галузі, ці заходи повинні гарантувати, що рівень безпеки відповідає ступеню ризику. Зокрема, повинні бути вжиті заходи для запобігання й мінімізації наслідків інцидентів в області безпеки, а також інформування зацікавлених сторін про негативні наслідки будь-яких інцидентів. Будь-який провайдер довірчих послуг може представити звітність по аудиту безпеку, що проведена визнаним незалежним органом, у наглядовий орган, щоб підтвердити, що відповідні заходи безпеки були прийняті.

Провайдер довірчих послуг без необґрунтованих затримок і, якщо можливо, не пізніше, ніж через 24 години після того, як йому про це стало відомо, повідомляє компетентний контролюючий орган, компетентний національний орган із захисту інформації та інших відповідних третіх сторін, таких як органи захисту даних, про будь-які порушення безпеки або втрату цілісності, що має значний вплив на довірчу послугу і на персональні дані, які вона використовує. При необхідності, зокрема, якщо порушення безпеки або втрата цілісності стосується двох або більше держав-членів, відповідний наглядовий орган повинен інформувати наглядові органи інших державах-членах та Європейське агентство безпеки мереж та інформації (ENISA). Наглядовий орган може також інформувати громадськість або вимагати від провайдера довірчих послуг зробити це, якщо орган визнає, що розкриття цього порушення - в суспільних інтересах.

Наглядовий орган повинен надавати ENISA і Комісії [4] один раз на рік звіт по повідомленням про порушення, отриманим від провайдерів довірчих послуг.

Компетентний наглядовий орган має право видавати обов'язкові для виконання інструкції провайдерам довірчих послуг.

Нагляд за провайдерами кваліфікованих довірчих послуг. Провайдери кваліфікованих довірчих послуг повинні проходити один раз на рік аудит, який проводиться визнаним незалежним органом, щоб підтвердити, що вони і їх кваліфіковані довірчі послуги, виконують вимоги, що викладені у Регламенті, а також представляти в наглядовий орган підсумковий звіт з аудиту безпеки. Наглядовий орган може в будь-який час провести аудит провайдерів кваліфікованих довірчих послуг, щоб підтвердити, що вони і їх кваліфіковані довірчі послуги задовольняють умовам, що викладені у Регламенті, або за своєю власною ініціативою або у відповідь на запит Комісії. Наглядовий орган повинен повідомити органи із захисту даних про результати своїх перевірок, у разі, якщо були порушені правила захисту персональних даних.

Наглядовий орган має право видавати провайдерам кваліфікованих довірчих послуг обов'язкові для виконання інструкції провайдерам кваліфікованих довірчих послуг, щоб усунути будь-які помилки відносно вимог, що зазначених у звіті з аудиту безпеки.

Якщо провайдер кваліфікованих довірчих послуг не виправить будь-які такі помилки в строк, встановлений наглядовим органом, то він втратить свій кваліфікований статус і отримає інформацію від наглядового органу про те, що його статус буде змінено в довірчих списках.

Ініціація кваліфікованої довірчої послуги. Провайдери кваліфікованих довірчих послуг повинні повідомити наглядовий орган про свій намір розпочати надання кваліфікованих довірчих послуг і представити в наглядовий орган звіт з аудиту безпеки, що проведений визнаним незалежним органом, як це передбачено в Регламенті. Провайдери кваліфікованих довірчих послуг можуть почати надавати кваліфіковані довірчі послуги після того, як вони подали повідомлення і звіт по аудиту безпеки в наглядовий орган.

Як тільки відповідні документи подані до наглядового органу відповідно до вимог регламенту, то провайдери кваліфікованих послуг повинні бути включені в довірчі списки, що підтверджує те, що повідомлення було прийняте.

Наглядовий орган повинен перевірити провайдера кваліфікованих довірчих послуг та його кваліфіковані довірчі послуги на відповідність вимогам Регламенту. Наглядовий орган повинен вказати кваліфікований статус провайдера кваліфікованих довірчих послуг і послуг, які він надає, в довірчих списках після позитивного висновку перевірки, не пізніше, ніж через один місяць після повідомлення відповідно. Якщо перевірка не буде завершена протягом одного місяця, то наглядовий орган повинен інформувати провайдера кваліфікованих довірчих послуг із зазначенням причин затримки та терміну, в який повинна бути завершена перевірка.

Кваліфікована довірча послуга, яка є предметом повідомлення, не може бути заборонена для виконання адміністративних процедур або формальностей відповідних органів державного сектору, через те, що вона не включена в списки.

Довірчі списки. Кожна держава-член створює, підтримує і публікує довірчі списки з інформацією, що пов'язані з провайдерами кваліфікованих довірчих послуг, разом з інформацією про кваліфіковані довірчі послуги, які вони надають.

Держави-члени повинні створювати, підтримувати і публікувати в безпечному режимі, підписані електронним підписом або печаткою, довірчі списки у вигляді, придатному для автоматичної обробки.

Держави-члени повідомляють Комісію, без невиправданої затримки, інформацію про орган, відповідальний за створення, підтримку і публікування національних довірчих списків і деталі про те, де такі списки будуть опубліковані, про сертифікат, що використаний для підпису або опечатування довірених списків, і будь-які зміни. Також вона повинна зробити доступною для громадськості через захищений канал інформацію, електронно підписану або захищену,

Вимоги до провайдерів кваліфікованих довірчих послуг. При видачі кваліфікованого сертифікату провайдер кваліфікованих довірчих послуг повинен перевірити, відповідними засобами і у відповідності з національним законодавством, справжність і, якщо необхідно, будь-які специфічні атрибути фізичної або юридичної особи, якій видається кваліфікований сертифікат. Така інформація повинна бути перевірена провайдером кваліфікованих довірчих послуг або уповноваженою третьою стороною, що діє під відповідальність провайдера кваліфікованих довірчих послуг, в тому числі:

а) шляхом фізичної присутності фізичної особи або уповноваженого представника юридичної особи;

б) віддалено, з використанням засобів електронної ідентифікації за повідомленою схемою, виданою відповідно до пункту а).

Провайдери кваліфікованих довірчих послуг при наданні кваліфікованих довірчих послуг повинні:

а) наймати співробітників, що володіють необхідними знаннями, досвідом і кваліфікацією, застосовують адміністративні та управлінські процедури, які відповідають європейським і міжнародним стандартам, і отримали відповідну підготовку в галузі безпеки і правил захисту персональних даних; б) нести відповідальність за збитки, шляхом підтримання достатніх фінансових ресурсів або за схемою страхування відповідальності;

в) повідомляти будь-якій особі, що прагне використовувати кваліфіковану довірчу послугу, до набуття договірних відносин, про точні терміни та умови використання цієї послуги;

г) використовувати надійні системи та продукти, які захищені від модифікації і гарантують технічну надійність і безпеку процесу, що підтримується ними; д) використовувати надійні системи для зберігання даних, наданих їм у формі, придатній для перевірки, таким чином, щоб:

-вони були б доступними для пошуку тільки у випадку згоди особи, якій ці дані було видано;

-тільки уповноважені особи могли б робити записи і зміни;

-інформацію можна було б перевірити на достовірність.

е) вживати заходів проти підробки і крадіжки даних; ж) записувати на протязі відповідного періоду часу всю необхідну інформацію

про дані, видані та отримані провайдером кваліфікованих довірчих послуг, зокрема, з метою надання доказів у судовому розгляді, причому запис може бути зроблений в електронному вигляді; з) Для забезпечення безперервності обслуговування відповідно до положень,

виданих наглядовим органом, мати план зупинки, що відповідає вимогам, для забезпечення безперервності обслуговування відповідно до положень Регламенту; і) забезпечити законну обробку персональних даних у відповідності з вимогами.

Провайдери кваліфікованих довірчих послуг, що видають кваліфіковані сертифікати, повинні зареєструватися в своїх базах відкликаних сертифікатів відкликання сертифіката протягом десяти хвилин після того, як відкликання вступило в силу. Провайдери кваліфікованих довірчих послуг, що видають кваліфіковані сертифікати, також повинні надати будь-якій стороні, що здійснює перевірку, інформацію про дійсність або відкликання кваліфікованих сертифікатів, виданих ними. Ця інформація повинна бути доступна в будь-який час, принаймні на основі сертифікату в автоматичному режимі, який є надійним, безкоштовним і ефекти

4.2. ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ ІДЕНТИФІКАЦІЇ ТА АВТЕНТИФІКАЦІЇ. 4.2.1 ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ ІДЕНТИФІКАЦІЇ

Особливістю електронної ідентифікації є необхідність її визнання та прийняття усіма державами – членами ЄС. Наведемо основні визначення в частині електронної ідентифікації, що дозволить краще розглянути

сутність послуг ідентифікації.

"Електронна ідентифікація" означає процес використання персональних даних для ідентифікації в електронній формі, які однозначно визначають фізичну або юридичну особу. Електронна

ідентифікація здійснюється з використанням засобів електронної ідентифікації.

"Засіб електронної ідентифікації" - це матеріальний або нематеріальний блок даних, що містить персональні дані і який використовується для доступу до он-лайн послуг.

Видача (присвоєння) ідентифікаторів здійснюється засобом використання схем електронної ідентифікації.

" Схема електронної ідентифікації" - це система електронної ідентифікації, за допомогою якої засоби електронної ідентифікації видаються особам.

Умови подання повідомлень відносно схем електронної ідентифікації.

Схеми електронної ідентифікації можуть бути повідомлені на рівні ЄС, якщо виконуються наступні умови:

а) Засоби електронної ідентифікації видаються від імені або під відповідальність держави-члена ЄС , що повідомляє про гарантовану нею схему; б) Засоби електронної ідентифікації можуть використовуватись принаймні для

доступу до громадських послуг, що вимагають електронної ідентифікації в державі-члені, що повідомляє про неї; в) Держава-член ЄС гарантує, що персональні ідентифікаційні дані однозначно

відносяться до фізичної або юридичної особи; г) Держава-член, що повідомляє, забезпечує доступність виконання

автентифікації в он-лайн режимі в будь-який час і безкоштовно, так що будьяка відповідна сторона могла перевірити персональні ідентифікаційні дані, отримані в електронному вигляді. При цьому держави-члени ЄС не повинні висувати жодних специфічних технічних вимог до відповідних сторін, розташованих за межами своєї території, які мають намір здійснювати таку автентифікацію. В разі, якщо або повідомлена схема ідентифікації або можливість автентифікації була порушена або частково скомпрометована, держави-члени ЄС повинні негайно призупинити або відкликати повідомлену схему ідентифікації, можливість автентифікації або їх відповідні скомпрометовані частини, і повідомити про це інші держави-члени ЄС та Комісію[4]; д) Держава-член ЄС, що повідомляє, бере на себе повну відповідальність за таке:

-однозначне присвоєння персональних ідентифікаційних даних

-можливість автентифікації згідно пункту г).

Повідомлення про схеми електронної ідентифікації. Держави-члени ЄС , які повідомили схеми електронної ідентифікації, повинні надати також Комісії таку інформацію, а також надавати всі наступні зміни до неї, без необґрунтованих затримок:

а) опис повідомленої схеми електронної ідентифікації; б) перелік органів,що відповідальні за повідомлену схему електронної ідентифікації;

в) інформацію про те, хто керує реєстрацією однозначних персональних ідентифікаторів; г) опис та можливості здійснення автентифікації;

д) порядок зупинення дії або відкликання повідомленої схеми ідентифікації, можливості автентифікації або відповідних скомпрометованих частин.

Координація з питань електронної ідентифікації. Держави-члени ЄС повинні співпрацювати з метою забезпечення сумісності засобів електронної ідентифікації, що підпадають під повідомлені схеми, і підвищення їх безпеки. Комісія з метою створення високого рівня довіри і безпеки, відповідно до ступеня можливого ризику, шляхом запровадження виконавчих актів повинна створювати необхідні умови для спрощення співробітництва між державами-членами ЄС. Ці виконавчі акти повинні стосуватися обміну інформацією, досвідом та передовою практикою щодо схем електронної ідентифікації, експертної оцінки повідомлених схем електронної ідентифікації та оцінювання відповідних змін, що виникають у сфері електронної ідентифікації, в тому числі компетентними органами держав-членів ЄС

4.2.2 Електронна автентифікація.

"Автентифікація" - це електронний процес, який дозволяє підтвердити правильність електронної ідентифікації фізичної або юридичної особи, або походження та цілісність електронних даних.

Коли електронна ідентифікація за допомогою засобів електронної ідентифікації і автентифікації, є необхідною для доступу до он-лайн послугв відповідності з національним законодавством або адміністративною практикою, будь-які засоби електронної ідентифікації, видані в іншій державі-члені, що підпадають під схему, включену в список, опублікований Комісією відповідно до процедури, згаданої у статті 7 [4], мають визнаватися і прийматися для доступу до цієї послуги. В цілому електронна автентифікація може здійснюватись на основі застосування цифрового підпису, імітовставок (кодів автентифікації) та функцій гешування [4].

В 4.6 буде розглянута електронна автентифікація ВЕБ – сайтів.

4.3 ЕЛЕКТРОННІ ДОВІРЧІ ПОСЛУГИ НА ОСНОВІ ЕЦП

4.3.1 Електронний підпис

При розгляді електронного підпису будемо спиратись на такі визначення та поняття[4].

"Підписувач" - це фізична особа, яка створює електронний підпис.

"Електронний підпис" - це дані в електронній формі, які приєднуються або логічно пов'язуються з іншими електронними даними, і використовуються підписувачем в якості підпису.

"Вдосконалений електронний підпис" - це електронний підпис, щовідповідає таким вимогам: а) він однозначно пов'язаний з підписувачем; б) він може ідентифікувати підписувача;

в) він виробляється з використанням даних вироблення електронного підпису, які підписувач може, з високим ступенем впевненості, одноосібно контролювати; г) він пов'язаний з даними, до яких він відноситься, таким чином, що будь-яка наступна зміна даних може бути виявлена.

пристроєм для створення кваліфікованого електронногопідпису, і базується на кваліфікованому сертифікаті для електронних підписів.

"Дані вироблення електронного підпису" - це унікальні дані, які використовуються підписувачем для створення електронного підпису.

"Сертифікат" - це електронний атестат, що пов'язує дані для перевірки електронного підпису або печатки фізичної чи юридичної особи, з відповідним сертифікатом і підтверджує ці дані.

"Кваліфікований сертифікат електронного підпису" - це атестат, який використовується для підтримки електронних підписів, видається провайдером кваліфікованих довірчих послуг і відповідає вимогам, викладеним у Додатку I[4].

Визначення в частині довірчих послуг.

" Пристрої для створення електронного підпису" - налаштоване програмне або апаратне забезпечення для створення електронного підпису;

"Пристрій для створення кваліфікованого електронного підпису" - пристрій для створення електронного підпису, що відповідає вимогам, викладеним у Додатку II регламенту[4].