Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Transkriptio

1 Määräyksen 72 perustelut ja soveltaminen Sähköiset tunnistusja luottamuspalvelut MPS 72

2 MPS 72 1 (86) SISÄLLYS A-OSA KESKEISET MUUTOKSET JA MUUTOSHISTORIA Muutokset Sähköinen tunnistaminen Allekirjoitusvarmenteet ja muut luottamuspalvelut Arviointitoiminta Määräyksen keskeinen käsitteistö... 6 Muutoshistoria... 7 Vaikutukset Ehdotuksen perusteet ja tietoyhteiskuntavaikutukset Tunnistuspalveluiden arviointivaatimusten sääntelyvaihtoehdot Tunnistuspalveluiden arviointivaatimusten taloudelliset vaikutukset Tunnistuspalveluiden rajapintojen ja protokollien sääntelyvaihtoehdot Tunnistuspalvelu: sähköisen ensitunnistamisen rajapinnan sääntelytarve Tunnistuspalveluiden tietoturvasääntelyn vaihtoehdot Tunnistus- ja luottamuspalveluiden arviointitoiminnan kilpailun edistäminen Ei-hyväksyttyjen luottamuspalvelujen ja sähköisten allekirjoitusten asema Vaikutukset viranomaisten toimintaan B-OSA PYKÄLÄKOHTAISET PERUSTELUT JA SOVELTAMISOHJEET LUKU 1 YLEISET SÄÄNNÖKSET Määräyksen tarkoitus Soveltamisala Määritelmät LUKU 2 TUNNISTUSPALVELUN TIETOTURVAVAATIMUKSET Tunnistuspalvelun tarjoajan tietoturvallisuuden hallinnan vaatimukset Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet Perustelut Soveltaminen Tunnistusmenetelmän tietoturvavaatimukset Perustelut Soveltaminen Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Perustelut ja soveltaminen suositus korkean varmuustason salauksesta Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Perustelut Tietoturvavaatimukset asiointipalvelurajapinnassa Perustelut Tietoturvavaatimukset kansallisen solmupisteen rajapinnassa Perustelut Tunnistuspalveluntarjoajan häiriöilmoitukset lle Perustelut Soveltaminen Toimijoiden väliset ilmoitukset LUKU 3 TIETOJEN VÄLITTÄMINEN LUOTTAMUSVERKOSTOSSA Luottamusverkostossa välitettävät vähimmäistiedot Perustelut ja soveltaminen Luottamusverkoston rajapinnat Luottamusverkoston rajapinnat, joista ei määrätä Rajat ylittävän tunnistamisen edellyttämät tiedot Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välinen rajapinta Asiointipalvelun tyyppi Tiedonsiirrossa käytettävä protokolla ja muut vaatimukset Perustelut ja soveltaminen Suositus SAML- tai Open ID Connect -protokollan ja profiilien käytöstä... 51

3 MPS 72 2 (87) LUKU 4 TUNNISTUSPALVELUN ARVIOINTIKRITEERIT Arviointikriteerit Perustelut Soveltaminen, n ohjeet 211/2016 O ja 215/2016 O Selvitys muiden vaatimusten täyttämisestä Perustelut Soveltaminen, n ohje 214/2016 O Kansallisen solmupisteen arviointiperusteet Perustelut LUKU 5 TUNNISTUSPALVELUN ARVIOINTIELIMEN PÄTEVYYS Tunnistuspalvelun ulkoisen arviointielimen vaatimukset Perustelut Soveltaminen Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset Perustelut Soveltaminen LUKU 6 HYVÄKSYTYT LUOTTAMUSPALVELUT Hyväksytyn luottamuspalvelun tarjoajan arviointikriteerit Perustelut ETSI:n standardit Hyväksytyn luottamuspalvelun arviointikriteerit Perustelut ja soveltaminen Luottamuspalvelut, joiden vaatimuksista ei määrätä LUKU 7 LUOTTAMUSPALVELUJEN VAATIMUSTENMUKAISUUDEN ARVIOINTILAITOKSET Arviointilaitosten pätevyyden arviointi Perustelut Arviointilaitoksen akkreditointi ja hyväksyntä LUKU 8 HYVÄKSYTYN SÄHKÖISEN ALLEKIRJOITUKSEN JA SÄHKÖISEN LEIMAN LUONTIVÄLINEEN SERTIFIOINTI Sähköisen allekirjoituksen tai leiman luontivälineen vaatimukset Perustelut Palvelinpohjaisen allekirjoitusvälineen ja allekirjoituspalvelun keskeneräiset standardit Sertifiointilaitosta koskevat vaatimukset Perustelut ja soveltaminen LUKU 9 VOIMAANTULOSÄÄNNÖKSET Voimaantulo ja siirtymäsäännökset Perustelut C-OSA MÄÄRÄYKSEN AIHEPIIRIIN LIITTYVÄT MUUT ASIAT Suositus tunnistusjärjestelmän kellonajan luotettavuudesta Kehittyneet sähköiset allekirjoitukset Tausta Säädäntötausta Kehittyneiden sähköisten allekirjoitusten tekniset vaatimukset D-OSA LAINSÄÄDÄNTÖ Määräyksen lainsäädäntöperusta Suomen lainsäädäntö Muut asiaan liittyvät säännökset Valtioneuvoston asetus vahvan sähköisen tunnistuspalveluntarjoajien luottamusverkostosta 169/ EU:n eidas-asetus (EU) 910/ Komission täytäntöönpanosäädökset tunnistuspalveluista... 73

4 MPS 72 3 (87) 2.4 Komission täytäntöönpanosäädökset luottamuspalveluista ja sähköisistä allekirjoituksista ja leimoista Laki sähköisestä asioinnista viranomaistoiminnassa 13/ Erityislakien vaatimukset sähköisille allekirjoituksille VIITELUETTELO LIITELUETTELO LIITE 1 LUOTTAMUSPALVELUT JA SÄHKÖISET ALLEKIRJOITUKSET... 82

5 MPS 72 4 (87) A-OSA Keskeiset muutokset ja muutoshistoria Muutokset Sähköinen tunnistaminen Määräyksen vaatimukset tarkentavat vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009, jäljempänä tunnistusja luottamuspalvelulaki) [1] tunnistusjärjestelmälle säädettyjä vaatimuksia. Tunnistus- ja luottamuspalvelulaissa viitataan myös monessa kohdassa EU:n komission varmuustasoasetuksen (EU) 2015/1502 [2] liitteen 1 eri alakohtiin. Määräyksen vaatimukset ovat yhteensopivat sekä lain että varmuustasoasetuksen kanssa. Arviointivaatimukset ovat laissa uusi EU:n varmuustasoasetuksen kanssa yhdenmukainen vaatimus. Määräyksessä tarkennetaan arviointikriteeristöä yleisellä tasolla. Tarkempi mallikriteeristö laaditaan erikseen ohjeena, joka ei ole pakottava. Eräät tunnistusjärjestelmän ja -menetelmän tietoturvavaatimukset tarkentuvat aikaisempaan sääntelyyn verrattuna: salausvaatimukset tietojen säilyttämisessä ja siirrettäessä tietoja sekä tunnistusjärjestelmän hallintaverkkoon pääsyn vaatimukset. Tunnistusvälineen luontiprosessia joustavoitetaan sallimalla tietyin edellytyksin henkilötietojen yhdistäminen välineeseen ennen ensitunnistamista. Aikaisemmin määräyksen 8 perusteluissa laajasti käsitellyt yleiset tietoturvallisuuden hallintaan sisältyvät riskinhallintavaatimukset katetaan osittain määräyksen tietoturvavaatimuksilla, mutta pitkälti arviointivaatimuksilla. Häiriöilmoitusvaatimuksia tarkennetaan. Toiminnan aloitus- ja muutosilmoitusvaatimukset jätetään määräyksestä pois. Niistä laaditaan ohje ja lomakkeita muutetaan. Tunnistuspalveluntarjoajien tunnistustapahtumien välityksen yhteentoimivuuden edistämiseksi määräyksessä määrätään niistä tiedoista, joita toimijoiden välisissä rajapinnoissa on kyettävä siirtämään. Tältä osin vaatimukset ulottuvat osittain myös rajat ylittävää tunnistamista toteuttavaan Väestörekisterikeskuksen ylläpitämään kansalliseen solmupisteeseen. Tunnistus- ja luottamuspalvelulain kansallista tunnistuspalveluntarjoajien luottamusverkostoa koskevat yhteentoimivuusvelvoitteet tulevat voimaan Myös määräyksen vaatimuksia luottamusverkoston rajapinnoista aletaan soveltaa tuolloin. Määräyksessä annetaan siirtymäaika myös eräille tietoturvavaatimuksille TUPAS-protokollaa käytettäessä sekä valinnaisten tunnistetietojen määrittelylle tunnistuspalveluntarjoajien rajapinnoissa kaikkia protokollia käytettäessä. Nämä vaatimukset täytyy täyttää viimeistään , jolloin myös eidas-asetuksen rajat ylittävän tunnistamisen vaatimukset tulevat täysimääräisesti voimaan.

6 MPS 72 5 (87) 1.2 Allekirjoitusvarmenteet ja muut luottamuspalvelut Sääntely uudistuu kokonaisuudessaan siten, että vaatimukset perustuvat valtaosin EU:n eidas-asetukseen (EU) 910/2014 [3] ja sääntely laajenee allekirjoitusvarmenteesta useisiin muihin sähköisten asiointipalveluiden toteutuksessa käytettäviin toimintoihin eli luottamuspalveluihin. Luottamuspalvelulla tarkoitetaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: a) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai b) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai c) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä. Määräyksessä listataan ne viitestandardit, joita EU:n tasolla on valmisteltu eri luottamuspalveluille, mutta joista Euroopan komissio ei ole toimivallastaan huolimatta antanut täytäntöönpanosäädöksiä. Standardit eivät ole pakollisia, vaan palvelut voi toteuttaa muullakin tavalla. Standardit osoittavat kuitenkin sen, millaista luotettavuustasoa eidas-asetus edellyttää palveluissa. Jos palvelu toteutetaan viitatun standardin mukaisesti, eidasasetuksen vaatimukset tulevat huomioiduksi. Jos käytetään muuta vastaavat vaatimukset sisältävää standardia, palvelun toteuttajan on erikseen osoitettava, että palvelu täyttää eidas-asetuksen vaatimukset. Määräyksessä ei viitata niihin standardeihin, joiden valmistelu on kesken. Niitä käsitellään tässä MPS-dokumentissa kyseisten luottamuspalveluiden vaatimusten määrittelyn kehitystilanteen selventämiseksi. Keskeneräisiä ovat esimerkiksi sähköisen rekisteröidyn jakelupalvelun (edelivery) standardit ja palvelinpohjaisen allekirjoituksen standardit. 1.3 Arviointitoiminta Tunnistus- ja luottamuspalvelulain ja eidas-asetuksen mukaan tunnistusja luottamuspalveluiden vaatimustenmukaisuuden arviointi on jatkossa pakollista ja siitä täytyy toimittaa valvovalle viranomaiselle arviointi- tai tarkastuskertomus. Arvioija voi palvelusta riippuen olla FINASin [4] akkreditoima vaatimustenmukaisuuden arviointilaitos, muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Määräyksessä määritellään ne kriteerit, joiden perusteella vaatimustenmukaisuuden arvioijan riippumattomuus ja pätevyys arvioidaan objektiivisesti. Kriteerit perustuvat pääasiassa kansainvälisesti tai kansallisesti yleisesti käytettyihin standardeihin, säännöksiin tai ohjeisiin. Omana erityisenä uutena osa-alueenaan määräyksessä tarkennetaan tunnistusja luottamuspalvelulain ja eidas-asetuksen vaatimuksia sähköisen allekirjoituksen tai leiman luontivälineen sertifiointilaitokselle.

7 MPS 72 6 (87) 1.4 Määräyksen keskeinen käsitteistö Määräyksen kannalta keskeisiä ovat seuraavat tunnistusja luottamuspalvelulain 2 :ssä ja eidas-asetuksen 3 artiklassa säädetyt määritelmät Tunnistus- ja luottamuspalvelulain 2 1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset; 2) tunnistusvälineellä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 2 kohdassa tarkoitettua sähköisen tunnistamisen menetelmää; 3) tunnistuspalvelun tarjoajalla tunnistusvälityspalvelun tarjoajaa tai tunnistusvälineen tarjoajaa; 4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa; 5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle; 10) luottamusverkostolla on ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa; 11) vaatimustenmukaisuuden arviointilaitoksella n hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/ artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti eidas-asetuksen 3 artikla 2) sähköisen tunnistamisen menetelmällä aineellista ja/tai aineetonta kokonaisuutta, joka sisältää henkilön tunnistetietoja ja jota käytetään verkkopalveluun liittyvään todentamiseen; 4) sähköisen tunnistamisen järjestelmällä sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköi-

8 MPS 72 7 (87) sen tunnistamisen menetelmiä myönnetään luonnollisille henkilöille, oikeushenkilöille tai oikeushenkilöä edustaville luonnollisille henkilöille; 6) luottavalla osapuolella luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun; 16) luottamuspalvelulla sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: a) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai b) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai c) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä; 17) hyväksytyllä luottamuspalvelulla luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset; 20) hyväksytyllä luottamuspalvelun tarjoajalla luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman; 2 Muutoshistoria Määräys 72/2016 M korvaa aikaisemmat n määräykset 7 B/2009 M tunnistuspalvelun tarjoajien ja yleisölle laatuvarmenteita tarjoavien varmentajien ilmoitusvelvollisuudesta lle ja 8 C/2010 M tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista. Määräyksessä 7 säädettiin toimijoiden aloitus-, muutos- ja häiriöilmoituksista. Määräyksessä 8 säädettiin tietoturvallisuusvaatimuksista. Laatuvarmenteiden osalta määräykset annettiin ensimmäisen kerran vuonna 2003 ja vuonna 2009 niihin lisättiin vahvan sähköisen tunnistamisen palveluita koskevat vaatimukset Vaikutukset Ehdotuksen perusteet ja tietoyhteiskuntavaikutukset Tunnistuspalvelut

9 MPS 72 8 (87) Tunnistus- ja luottamuspalvelulain mukaan myös kansallisesti edellytetään, että tunnistuspalvelujen tarjonnassa täytetään vähintään EU:n varmuustasoasetuksen liitteen mukaiset korotetun varmuustason vaatimukset. Tavoitteena on, että toimijoiden on helppo hakea halutessaan EU-notifiointia missä tahansa vaiheessa, kun ne täyttävät kansallisesti asetetut vaatimukset. Tunnistuspalvelun tarjoajien ei tarvitse laatia erillistä tunnistusratkaisua rajat ylittäviä tilanteita ja kansallista tunnistamista varten. Sama tavoite on otettu määräysvalmistelun lähtökohdaksi. Määräyksen valmistelussa on pyritty hyödyntämään mahdollisimman laajasti kansainvälisiä standardeja, vaatimusmäärittelyjä ja ilmoittamistapoja. Ratkaisulla pyritään helpottamaan myös rajat ylittävää palveluntarjontaa ja välttämään kansallisesti räätälöityjä vaatimuksia. Luottamuspalvelut Yleisesti luottamuspalveluiden sääntelyn tavoitteena on tietoyhteiskuntakehitys ja luottamuksen lisääminen sähköiseen asiointiin. Luottamuspalveluiden sääntelyllä autetaan sähköisten palveluiden toteuttajia ja käyttäjiä tunnistamaan ne palvelut, joiden avulla on mahdollista toteuttaa sähköisten asiointipalveluiden eri toiminnot mahdollisimman tietoturvallisesti. Määräyksen tavoitteena on selkeyttää hyväksyttyjen luottamuspalvelujen eidas-asetuksessa säädettyjä vaatimuksia viittaamalla EU:n valmistelutyössä viitoittamiin kansainvälisiin standardeihin siltä osin, kun niihin ei ole ainakaan toistaiseksi tehty viittauksia komission täytäntöönpanosäädöksillä, vaikka siihen olisi eidas-asetuksessa toimivalta. Standardiviittaukset määräyksessä tukevat myös sitä, mitä ainakin tulee huomioida mahdollisten vaatimustenmukaisuuden arviointilaitosten pätevyysvaatimuksena, kun niitä akkreditoidaan. Arviointitoiminta n määräyksen tavoitteena on selkeyttää toimijoille ja vaatimustenmukaisuuden arviointilaitoksille luottamuspalveluiden vaatimuksia siltä osin, kun komissio ei ole käyttänyt luottamuspalveluihin liittyvää säädäntötoimivaltaansa ja antanut täytäntöönpanosäädöksiä, joissa viitattaisiin tarpeellisiin standardeihin. Tunnistuspalveluiden arvioinnin osalta määräyksen tavoitteena on selkeyttää toimijoille, millä perusteella niiden käyttämät auditoijat ovat päteviä tekemään tunnistusjärjestelmän arviointeja. Tunnistuspalveluntarjoajan arviointielimen ei tarvitse hakea erikseen hyväksyntää, ellei se ole vaatimustenmukaisuuden arviointilaitos. Määräyksen tavoitteena on, että toimijat voisivat mahdollisimman paljon hyödyntää auditointeja, joita ne tekevät tai teettävät jo ennestään. Määräys vai muu ohjauskeino Kaikkia määräysvaatimuksia valmisteltaessa on tarkasteltu myös sitä, voisiko lain tavoitteet saavuttaa tehokkaammin ja tarkoituksenmukaisemmin

10 MPS 72 9 (87) jollain muulla ohjauskeinolla kuin määräyksellä. Vaihtoehtoisina tai täydentävinä keinoina on tarkasteltu: - ohjeita ja suosituksia, jotka eivät ole pakottavia kuten määräys - yhteissääntelyä, jossa toimiala laatii menettelyohjeita lain tavoitteiden toteuttamiseksi ja jota harjoitetaan joka tapauksessa valtioneuvoston luottamusverkostoasetuksen 169/2016 [5] ohjaamana tunnistuspalveluntarjoajien luottamusverkostossa n nimeämässä ryhmässä - informaatio-ohjausta, jossa toimijat tai viranomainen tuottaa yhteismitallista julkista tietoa Määräys on valittu ohjauskeinoksi niissä tilanteissa, joissa on nähtävissä, että muut keinot eivät ole toimijoiden kannalta riittävän ennakoitavia ja tasapuolisia tai palveluiden käyttäjien ja niihin luottavien tahojen kannalta riittävän tehokkaita sääntelyn tavoitteiden saavuttamiseksi. Määräyksen, ohjeiden ja suositusten laatimisessa on joka tapauksessa vahvoja yhteissääntelyn piirteitä, koska ne laaditaan avoimessa työryhmäyhteistyössä toimijoiden kanssa. 3.2 Tunnistuspalveluiden arviointivaatimusten sääntelyvaihtoehdot Tunnistuspalveluiden arviointivaatimukset yleisesti Tunnistus- ja luottamuspalvelulaissa edellytetään, että tunnistuspalveluntarjoaja hankkii vaatimustenmukaisuuden arvioinnin. Arvioinnin voi lain 29 :n mukaan tehdä vaatimustenmukaisuuden arviointilaitos, muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Arvioinnin täytyy EU:n varmuustasoasetuksen liitteen 1 kohdan mukaan kattaa kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot. Viittaus varmuustasoasetukseen on tunnistuslain 8.1 :n 5 alakohdassa, joka koskee tietoturvallisuuden hallintaa. Arviointielimen riippumattomuus- ja pätevyysvaatimuksista säädetään lain 33 :ssä. lla on tunnistuslain 42 :ssä määräysvaltuus tunnistuspalvelun vaatimustenmukaisuuden arviointiperusteista ja arviointielinten pätevyysvaatimuksista. Lakia tarkentavien arviointivaatimusten vaihtoehtojen ja vaikutusten arviointi on määräyksen valmistelun tärkein osa-alue tietoturvallisuuden, toimijoiden tasapuolisen kohtelun, toimijoille aiheutuvien taloudellisten vaikutusten ja viranomaistoiminnan resursoinnin kannalta. Seuraavissa kohdissa käsitellään vaihtoehtoja, joita arviointivaatimusten ja arviointielinten riippumattomuus- ja pätevyysvaatimusten valmistelussa on harkittu. Määräyksen tavoitteena on tarkentaa lain yleiset vaatimukset siten, että toimijat pystyvät ennakoimaan, mitä sääntelyssä vaaditaan arvioinnilta ja arviointielimiltä.

11 MPS (87) On huomattava, että kaikki toimijat ovat toteuttaneet auditointeja aikaisemminkin, vaikka aikaisemmassa tunnistuslaissa ei ole niitä nimenomaisesti edellytetty. on kerännyt vaikutusarvioinnin tueksi toimijoilta tietoa toteutetuista auditoinneista ja näissä hyödynnetyistä arviointikriteereistä Tunnistuspalvelun arvioinnin kattavuusvaatimukset Arvioitava kysymys: Onko arvioinnin katettava kaikki vaatimusten osa-alueet, joista säädetään tunnistusja luottamuspalvelulaissa ja EU:n varmuustasoasetuksessa, johon laissa viitataan? Vaikutusarvioinnin lähtökohdat EU:n varmuustasoasetuksen mukaan määräajoin tehtävän auditoinnin täytyy kattaa kaikki palvelujen kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. Merkitykselliset toimintalohkot voidaan jaotella karkeasti kolmeen osaalueeseen, joita ovat palveluntarjoajan luotettavuus, tunnistusjärjestelmän luotettavuus ja tunnistusmenetelmän luotettavuus. Näistä kaksi jälkimmäistä liittyvät tietoturvallisuuden hallintaan ja toteuttamiseen, joihin tietoturvallisuusauditoinnit yleensäkin kohdistuvat. Vaatimusten täytyy kohdistua tasapuolisesti kaikkiin toimijoihin ja tästä syystä arvioitavien osa-alueiden täytyy olla kaikilla toimijoilla samat sen sijaan, että toimijat voisivat itse valita jossain rajoissa, mitkä osa-alueet arvioidaan riippumattomasti ja minkä osa-alueiden vaatimustenmukaisuudesta toimija antaa selvityksen itse. Yhteismitallisten raporttien valvonta on myös viranomaisen kannalta tehokasta. Linjaukset Arvioinnin ei tarvitse kattaa palveluntarjoajan yleistä luotettavuutta tai käyttäjille ja luottaville osapuolille tarjottavia tietoja palvelusta (tunnistusperiaatteet, sopimusehdot, hinnastot). Näistä riittää toimijan oma selvitys. Arvioinnin täytyy kattaa kaikki tunnistuspalvelun tarjontaan vaikuttavan toiminnan tietoturvan ja tunnistusmenetelmän tietoturvan osa-alueet. Arvioinnin voi koota useamman auditoijan tai arviointielimen useisiin kriteeristöihin perustuvista auditoinneista. Määräyksen 15 ja 16 on laadittu näiden linjausten mukaisesti. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Suosituksella voidaan helpottaa toimijoita hahmottamaan, miten nykyisistä auditoinneista saa koottua tarvittavan kokonaisuuden ja mitä mahdollisesti tarvitaan lisää. julkaisee ohjeen 211/2016 O tunnistuspalveluntarjoajan auditoinnin mallikriteeristö [6].

12 MPS (87) Yhteissääntely. Ei relevantti. Tunnistuspalveluntarjoajien luottamusverkoston tekeillä olevat käytännesäännöt vastaavat velvoittavuudeltaan n suositusta. Auditointien kattavuuden määrittely liittyy siihen, missä määrin arviointityö on n valvonnan varassa ja miltä osin vaatimustenmukaisuuden varmistamista tukee säännöllinen riippumaton ja pätevä auditointi. Informaatio-ohjaus. Vaihtoehtona voisi tarkastella sitä, että tiedot toimijoiden auditointien kattavuudesta julkaistaisiin. On kuitenkin vaikea nähdä, miten tämä kannustaisi siihen, ettei osaa asioista olisi jätetty n arvioitavaksi, mikä olisi epätasapuolista ottaen huomioon sen, että rekisteröinti- ja valvontamaksu on kaikille toimijoille sama. Auditointien kattavuutta koskevien tietojen julkaiseminen sellaisenaan voi olla ongelmallista myös liikesalaisuuksien näkökulmasta Tunnistuspalvelun arviointikriteeristön tarkkuustaso määräyksessä Arvioitava kysymys: Millä tarkkuudella tunnistuspalvelun arviointivaatimukset eli auditointikriteeristö laaditaan määräykseen? Vaihtoehdot ovat yksityiskohtainen yhdenmukainen kriteeristö tai yleistason kriteeristö, jota täydennetään soveltamissuosituksella. Vaikutusarvioinnin lähtökohdat Yleisesti arviointikriteeristön määrittely määräyksessä edistää kilpailun tasapuolisuutta, kun kaikki joutuvat panostamaan arviointiin yhtäläisellä tasolla. Edelleen arviointien vähimmäistason määrittely määräyksessä edistää tietoturvallisuuden ylläpitoa. Sen arvioidaan sinänsä olevan keskimäärin hyvällä tasolla, mutta vähimmäistasolla on merkitystä alalle tulijoiden toiminnan tason kannalta. Luottamusverkoston toiminnan kannalta on oleellista, että sen jäsenet voivat luottaa varmuudella myös alalla aiemmin toimimattomien palveluntarjoajien täyttävän tietoturvallisuudelta vaaditun vähimmäistason. n on helpompi arvioida tasapuolisesti yhdenmukaisten arviointiraporttien (laissa tarkastuskertomusten) pohjalta sitä, että toimija täyttää tunnistusja luottamuspalvelulaissa tai eidas-asetuksessa sille asetetut vaatimukset myös uusien toimijoiden osalta. Sääntelyssä varaudutaan siihen, että markkinoille tulee uusia toimijoita erityisesti tunnistusvälityspalvelun, mutta myös tunnistusvälineiden tarjoajaksi. Vaihtoehto 1, tarkka kriteeristö määräyksessä. Yhdenmukainen toteutus ja ohjaus vähentäisivät viranomaistoiminnan kustannuksia, joita aiheutuisi yrityskohtaisesta vaatimusten selvittämisestä ja tulkinnasta sekä vähentäisivät riskiä siitä, että valvova viranomainen ei pitäisi yrityksen tulkintaa riittävänä.

13 MPS (87) Yhdenmukainen kriteeristö on myös hyvä työkalu esimerkiksi sisäistä tarkastusta tekeville. Tunnistuspalvelu on tyypillisesti vain pieni osa tarkastettavaa tuotantokokonaisuutta eikä sisäinen tarkastus välttämättä pysty aivan helposti tunnistamaan kaikkia siihen liittyviä erityiskysymyksiä. Kriteeristö olisi siten hyvä tuki tähänkin. Tarkka arviointikriteeristö on kuitenkin vaikea määritellä riittävän joustavaksi. Toimijoiden saattaa olla hankalaa sovittaa tarkka kriteeristö täysmittaisesti käytössään oleviin auditointeihin. Tarkkaan kriteeristöön tarvitaan myös todennäköisesti muutoksia useammin kuin yleispiirteiseen kriteeristöön. Tällä on vaikutusta myös n työmäärään. Vaihtoehto 2, yleispiirteinen kriteeristö määräyksessä Yleispiirteinen kriteeristö on joustava siinä mielessä, että sen voi täyttää monenlaisilla arvioinneilla. Se myös kestää aikaa paremmin kuin tarkka kriteeristö. Toisaalta arvioinnin suunnitteluvaihe voi tässä vaihtoehdossa olla toimijalle työläämpi, koska täytyy varmistaa, että toimijan omassa käytössä olevien kriteeristöt kattavat kaikki vaatimukset. Tätä soveltamista voidaan tukea määräyksen yleistä kriteeristöä selittävällä suosituksella. Virastolle toimitettavan arviointiraportin (laissa tarkastuskertomuksen) voi koostaa useammista tehdyistä auditoinneista. Kun yleinen jaottelu on yhdenmukainen, raporttien valvonta on helpompaa. Linjaus Määräyksen luettelo asioista, jotka arvioinnin täytyy kattaa, laaditaan yleisellä tasolla ja siinä tukeudutaan EU:n varmuustasoasetuksen mukaiseen vaatimusten ryhmittelyyn. Tällöin toimijat voivat hyödyntää joustavasti arviointikriteeristöjä, joita ne muutoinkin jo käyttävät. Toisaalta toimijoiden täytyy arvioida ja varmistaa, että niiden käyttämät eri standardeihin perustuvat kriteeristöt todella kattavat kaikki vaaditut tunnistusjärjestelmän arvioinnin osa-alueet. joutuu myös tarkastuskertomuksia valvoessaan arvioimaan, että tämä toteutuu. Määräyksen 15 on laadittu näiden linjausten mukaisesti. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Laaditaan n ohjeena 211/2016 O määräyksen yleistason vaatimuksia tarkentava auditointikriteeristö, jonka läpikäymällä ainakin täyttää arviointivaatimukset. Laaditaan n ohje 215/2016 O sähköisten tunnistusja luottamuspalveluiden tarkastuskertomuksista [7], joka helpottaa arvioinnin valmistelua ja hankintaa. Yhteissääntely. Valmistelussa ei ole havaittu, että luottamusverkoston tekeillä oleviin käytännesääntöihin olisi tarvetta ottaa arviointiin liittyviä vaa-

14 MPS (87) timuksia. Alalle tulon kynnyksen ja mahdollisten kilpailuoikeudellisten kysymysten kannalta on myös parempi, että viranomainen vastaa vähimmäisvaatimusten asettamisesta. Tiedonvaihto erilaisten kriteeristöjen hyödyntämisestä ja tulkintakysymyksistä voi toki soveltua yhteissääntelyn piiriin. Informaatio-ohjaus. Valmistelussa on harkittu vaihtoehtona sitä, että tietoa toimijoiden käyttämistä auditointikriteeristöistä julkaistaisiin n verkkosivuilla olevassa rekisterissä. Tietoturvallisuuden ylläpito on kuitenkin perusvaatimus, jonka vähimmäistasoa ei voida pitää kilpailuasiana Minkä standardien pohjalta laaditaan tunnistuspalvelun arvioinnin mallikriteeristö Arvioitava kysymys: Mitä lähdekriteeristöjä käytetään mallikriteeristön laatimisessa? Mahdollisia olisivat esimerkiksi ISO ja ISO 27002, Katakri, PCI-DSS, Webtrust ja/tai Fivan määräykset. Vaikutusarvioinnin lähtökohdat Toimijat voivat käyttää ohjeena 211/2016 O laadittavaa mallikriteeristöä apuna arvioinnin hankinnassa tai omien sisäisen tarkastuksen tekemien arviointiensa kattavuuden tarkistamisessa. Kriteeristöllä ei aseteta varsinaisia tietoturvavaatimuksia vaan tarkistuslista arvioitavista asioista. Sekä edellä käsitellyn määräykseen otettavan kriteeristön että ohjeellisen mallikriteeristön valmistelussa on selvitetty kyselyllä, mitä kriteeristöjä ja standardeja toimijat tällä hetkellä käyttävät. Tällä perusteella on pyritty arvioimaan ensinnäkin sitä, mitkä standardit ovat yleisimmin käytössä ja toiseksi sitä, kuinka paljon toimijat mahdollisesti tarvitsevat uusia auditointeja. Kyselyn perusteella ei muodostunut selkeää kuvaa siitä, miten toimijoiden nykyiset auditoinnit kaiken kaikkiaan kattavat tunnistusjärjestelmän eri osa-alueet ja vastausten perusteella vaikuttaa siltä, ettei auditoinneissa ole erityisesti eritelty tunnistusjärjestelmän toteutusta tai vertailtu auditoitavia asioita tunnistusjärjestelmän vaatimuksiin. Edelleen kyselyn perusteella käytettävien standardien ja ohjeiden kirjo on laaja. Toisaalta vastausten perusteella vahvistui se käsitys, että auditointeja sinänsä käytetään vakiintuneesti. Vaihtoehtona valmistelussa on harkittu kansallista Katakria, koska sen laatimisessa on huomioitu useita kriteeristöjä ja laadittu käyttökelpoisia konkreettisia kriteerejä. Kansainvälisiin standardeihin perustuvat kriteerit ja niihin perustuva auditointi tunnistetaan kuitenkin myös Suomen ulkopuolella. Kansalliset kriteerit voivat myös nostaa markkinoille tulon kynnystä. Linjaukset Määritellään mallikriteeristö pääosin ISO standardin [8] perusteella, koska tämä on yleisimmin käytetty ja myös EU:n varmuustasoasetuksen

15 MPS (87) soveltamisohjeen oletusstandardi. Tarvittavia tarkennuksia laaditaan ISO standardia täydentävän ISO standardin perusteella. Täydennyksenä tarkastellaan muita kansainvälisiä standardeja, joista Webtrustsäännöstö huomioidaan ISO tapaan EU:n varmuustasoasetuksen soveltamisohjeessa. ETSI:n standardissa ETSI EN V2.1.1 Electronic Signatures and Infra-structures (ESI); General Policy Requirements for Trust Service Providers [9] puolestaan on varmennepohjaiseen tunnistamiseen soveltuvia elementtejä, vaikka standardi liittyy EUsääntelykehyksessä luottamuspalveluihin (ks. viittaus B-osan luvussa 20.1). Ei oteta mallikriteeristöön Katakriin perustuvia itsenäisiä tarkistuskohtia. Ei tarkastella mallikriteeristön valmistelussa yksityiskohtaisesti pankkisektorin sektorikohtaisia ohjeita tai standardeja, mutta toimijat voivat käyttää niitä edellyttäen, että auditoinnissa huomioidaan tunnistusjärjestelmän vaatimukset. Näiden vaatimusten huomioiminen on osoitettava lle toimitettavassa arviointikertomuksessa. Ohje 211/2016 O on laadittu näiden linjausten mukaisesti Tunnistuspalveluntarjoajan sisäisen tarkastuslaitoksen riippumattomuus ja pätevyys Arvioitava kysymys: Miten tunnistuspalvelun sisäisen tarkastuksen vaatimukset määritellään ennakoitavasti ja yleispätevästi siten, että ne takaavat objektiivisesti luotettavan, riippumattoman ja pätevän arvioinnin ja samalla mahdollistavat esim. muuhun sektorikohtaiseen, kuten finanssialan säädäntöön, perustuvat tarkastuskehykset? Näkökohtia vaikutusarviointiin Tunnistus- ja luottamuspalvelulain 33 :n yleiset riippumattomuus- ja pätevyysvaatimukset koskevat myös sisäistä tarkastusta. voi määrätä arviointielimen pätevyysvaatimuksista ja tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista. Arviointiperusteiksi voidaan määrätä säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Määräyksen vaatimusten tarkoitus on turvata sitä, että sisäisen tarkastuksen pätevyysvaatimukset ovat yleispäteviä, tasapuolisia ja ennakoitavia. Tavoitteena on ollut koota esimerkkiviitteitä sellaisiin säännöstöihin, joihin sisäisen tarkastuksen riippumattomuus ja pätevyys voi objektiivisesti arvioiden perustua sen sijaan, että se perustuisi vain toimijan omaan arvioon ja toimintatapaan. Sisäisen tarkastuksen pätevyysvaatimusten valmistelussa on pyritty selvittämään erityisesti pankkien sisäisen tarkastuksen sääntelyperustaa, koska

16 MPS (87) sisäinen tarkastus on alalla vakiintuneesti käytössä ja sitä säännellään mm. Finanssivalvonnan määräyksillä ja ohjeilla. Työryhmältä ei saatu määräyksen valmistelun yhteydessä tietoa sisäisen tarkastuksen sääntelystä, standardeista tai ohjeistuksesta muilla aloilla. EU:n varmuustasoasetuksen epävirallisessa soveltamisohjeessa [10] todetaan seuraavaa: Standardissa EN ISO on johtamisjärjestelmien auditointia koskevia ohjeita, mukaan lukien sisäisen ja ulkopuolisen tarkastuksen periaatteet sekä ohjeita siitä, miten tarkastusprosessiin osallistuvien henkilöiden osaamista voidaan arvioida. Valmistelussa kyseinen standardi on kuitenkin arvioitu varsin yleispiirteiseksi. Lisäksi valmistelussa on saatu tietoturvallisuuden arviointisektorilta tieto, että sisäisestä auditoinnista on olemassa IIA-standardeja. Näihin ei ole valmistelussa perehdytty, eikä mikään nykyisistä toimijoista ole todennut käyttävänsä niitä, mutta ne on huomioitu määräyksessä. Linjaukset Määräyksen vaatimukset sisäiselle tarkastukselle laaditaan siten, että esimerkit antavat selvän käsityksen sitä, millaisiin säännöksiin, standardeihin tai ohjeisiin riippumattomuus ja pätevyys voi perustua. Tavoitteena on, että erityisesti pankit voivat hyödyntää sektorikohtaiseen sääntelyyn perustuvia tarkastuksiaan. Edellytyksenä on, että nämä tarkastukset kohdistuvat muun ohessa myös tunnistusjärjestelmään. Määräyksen 19 on laadittu näiden linjausten mukaan. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. on arvioinut valmistelussa, että vaatimukset on tarpeen määritellä ennakoitavasti pakottavalla säännöksellä, jotta on tarvittaessa myös perusteet hylätä toimijan subjektiiviseen näkemykseen tukeutuvat sisäiset arvioinnit. Yhteissääntely. Ei ole tarkasteltu. Informaatio-ohjaus. Ei ole tarkasteltu erikseen vertailukelpoisen tiedon tuottamista sisäisen tarkastuksen laadun ohjauskeinona. Muutoin valmistelussa on todettu, että tietoturvallisuus ja sen hallinta on perusvaatimus, jonka vähimmäistaso ei ole kilpailutekijä. 3.3 Tunnistuspalveluiden arviointivaatimusten taloudelliset vaikutukset on koonnut valmistelun aikana tietoja nykyisten tunnistuspalveluntarjoajien teettämistä auditoinneista määräystyön tueksi. Kyselyn tavoitteena oli saada kattavasti tietoa jo tehdyistä auditoinneista ja toisaalta muodostaa arvio siitä, mitä lisätyötä määräyksessä asetettavat auditointivaatimukset mahdollisesti aiheuttaisivat toimijoille.

17 MPS (87) Toimijoille tehdystä kyselystä ja EU:n varmuustasoasetuksen soveltamisohjeesta on kerätty listaa esimerkkistandardeista, joiden perusteella tunnistuspalvelun arviointeja tehdään. Selvityksen perusteella päädyttiin siihen, että tunnistuspalveluiden käyttämien ulkoisten ja sisäisten arviointielinten vaatimukset määritellään neutraalisti, jotta toimijat voivat hyödyntää mahdollisimman laajasti tällä hetkellä jo käyttämiään auditointikehyksiä. Ratkaisulla pyritään pitämään toimijoille tunnistuspalveluiden auditointivaatimuksista aiheutuvat kustannukset mahdollisimman maltillisina. Selvityksessä esille tulleet standardit on huomioitu määräyksessä vaihtoehtoina auditoijien riippumattomuuden ja pätevyyden osoittamisessa, jotta toimijat voisivat hyödyntää mahdollisimman paljon nykyisiä auditointejaan. Vaatimusten osa-alueita, joilta edellytetään riippumatonta arviointia, on myös rajattu edellä kohdassa kuvatulla tavalla. 3.4 Tunnistuspalveluiden rajapintojen ja protokollien sääntelyvaihtoehdot Rajapinnat yleisesti Tunnistus- ja luottamuspalvelulain 12 a.2 :n mukaan tunnistuspalveluntarjoajan on tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Valtioneuvoston luottamusverkostoasetuksen (169/2016) mukaan 12 a.2 :ssä tarkoitettuja teknisiä rajapintoja ovat 1) tunnistusvälineen tarjoajien välinen rajapinta, 2) tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välinen rajapinta ja 3) tunnistusvälityspalvelun tarjoajan ja tunnistuspalveluun luottavan osapuolen välinen rajapinta. Asetuksen mukaan luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on tarjottava 1 momentin 1 ja 2 kohdassa tarkoitetuissa rajapinnoissa kummassakin vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. voi määrätä 12 a.2 :ssä tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista. Seuraavissa kohdissa arvioidaan tarkemmin, - määrätäänkö käytettävistä protokollista, - miten määritellään rajapinnassa välitettävät vähimmäistiedot ja - miten suhtaudutaan siihen, että TUPAS-protokollan ominaisuudet tai käyttötavat eivät täytä yhteentoimivuuden ja tietoturvallisuuden kannalta määräysvalmistelussa tarpeelliseksi arvioituja vaatimuksia? Rajapinnat: protokollien sääntely Arvioitava kysymys: Millä tarkkuudella rajapintavaatimukset laaditaan määräykseen suhteessa yksittäisiin protokolliin, kuten SAML ja Open ID Connect? Mahdollistetaanko toisin sanoen myös muiden protokollien käyttö? Miten huomioidaan puhtaasti kansallinen TU-

18 MPS (87) PAS-protokolla, joka ei kaikilta osin täytä vaatimuksia ja jonka kehityssuunnitelmista tai mahdollisuuksista ei ole ollut määräyksen valmistelussa varmaa tietoa? Arvioinnin lähtökohdat Valmistelussa on tarkasteltu kolmea protokollaa: SAML, Open ID Connect ja TUPAS. SAML on yleinen kansainvälisesti ja myös määritelty eidas-asetusta tarkentavassa EU-sääntelyssä ja -ohjeistuksessa kansainvälisen välittämisen rajapinnan protokollaksi. Open ID Connect on yleistymässä ja käytössä erityisesti mobiilivarmentamisessa. Koska pankkien tarjoamat tunnisteet perustuvat puhtaasti kansallisesti määriteltyyn vanhaan TUPAS-protokollaan, on määräystä valmisteltaessa pitänyt harkita poikkeusta siitä yleisesti noudatetusta periaatteesta, että noudatetaan ensisijaisesti kansainvälisesti yleisiä standardeja. TUPAS-prokollan mukaan ottamisen vaikutukset toiminnan jatkuvuuteen ovat myönteisiä, koska nykyinen tarjonta asiointipalveluille voi jatkua ilman katkosta. Asiointipalveluiden kannalta tämä ei edellytä välittömiä muutoksia. Vaikutukset kilpailuun ja tekniseen kehitykseen voivat olla negatiivisia, koska TUPAS-protokollaan ei ole ollut tiedossa kehityssuunnitelmia ja se edellyttää uusilta välitystoimijoilta sopeutumista puhtaasti kansalliseen protokollaan, mikä voi heikentää markkinoille tulon kiinnostavuutta. TUPASprokollan oikeudet omistava Finanssialan keskusliitto on kuitenkin käynnistänyt sidosryhmiensä kanssa arvioinnin protokollan kehitysmahdollisuuksista. Protokollan tehtävä on määritellä yhteentoimivasti tiedot ja niiden siirtotapa, jotta tiedot voidaan siirtää toimijoiden välillä. Mitä vähemmän eri protokollia toimijoilla on käytössä, sitä helpompaa on tältä osin sopimusten aikaansaaminen luottamusverkoston toimijoiden välillä. Linjaukset Ei määrätä, mitä protokollia on käytettävä, vaan tämä jää toimijoiden sovittavaksi. Sen sijaan määrätään lopputuloksesta, joka protokollalla on saatava aikaan eli vähimmäistiedoista, jotka protokollan avulla on kyettävä siirtämään (ks. seuraava kohta) ja rajapinnan tietoturvavaatimuksista. Malliprofiilit laaditaan n suosituksena 212/2016 S [11] ja 213/2016 S [12] SAML 2.0 ja Open ID Connect -protokollille ja suositellaan näiden käyttöä. TUPAS-protokollan [13] kehitystyötä seurataan aktiivisesti.

19 MPS (87) Määräyksen 14 on laadittu näiden linjausten mukaisesti Rajapinnat: välitettävät attribuutit ja muut tiedot Arvioitavat kysymykset: Vaaditaanko kansallisesti samat vähimmäistiedot kuin eidas-asetus edellyttää rajat ylittävässä siirrossa? Miten huomioidaan eidas-asetuksen valinnaiset attribuutit? Otetaanko määräyksessä kantaa siihen, mitä tietoja välineen myöntäjän on välitettävä välityspalvelulle? Käytetäänkö HETUa vai SATUa? Vaikutusarvioinnin lähtökohdat Välitettävät vähimmäistiedot voidaan määritellä kansallisten käytäntöjen mukaisesti tai huomioiden eidas-asetuksen rajat ylittävää tunnistamista varten laadittu lista vähimmäistiedoista. Luonnollisen henkilön osalta ei- DAS-asetuksen mukaisissa vähimmäistiedoissa ei ole olennaista eroa kansalliseen käytäntöön. eidas-asetuksen mukaisia valinnaisia tietoja ei juurikaan ole käytössä. Oikeushenkilön vahvat sähköiset tunnistusvälineet eivät tähän asti ole olleet lain mukaan mahdollisia, joten niiden tunnistetiedoista ei ole omaksuttuja käytäntöjä. Vähimmäistiedot riittävät siihen, että luonnollinen tai oikeushenkilö kyetään yksilöimään luotettavasti. Valinnaiset tiedot voivat olla tarpeen joillekin asiointipalveluille. Luonnollisten henkilöiden eidas-asetuksen mukaiset valinnaiset tiedot ovat sinänsä tietoja, jotka tarvittaessa ovat luotettavasti saatavissa väestötietojärjestelmästä. Oikeushenkilön osalta valinnaiset tiedot perustuvat EU-sääntelyyn, joten niiden voidaan olettaa olevan tarvittaessa sektorikohtaisesti saatavissa. Kun eidas-asetuksessa tavoitteena oleva rajat ylittävä tunnistaminen aikanaan tulee käyttöön julkisella ja mahdollisesti myös yksityisellä sektorilla, se on helpompi toteuttaa, kun välitettävät tiedot on jo valmiiksi määritelty eidas-asetuksen mukaisesti. Linjaukset Kansallisesti vaadittavat vähimmäistiedot määritellään sekä luonnollisen henkilön että oikeushenkilön osalta yhdenmukaisesti eidas-vaatimusten kanssa, jotta sama profiili kelpaa sekä kansallisesti että kansainvälisesti. Edellytetään, että rajapinnoissa on valmius myös eidas-asetuksen mukaan valinnaisten tietojen välittämiseen. Valinnaisten tietojen välittäminen on sopimuskysymys, johon ei oteta kantaa määräyksessä. Tekninen valmius helpottaa tarvittaessa sopimusten tekemistä. Koska valinnaiset tiedot eivät ole ennestään toimijoilla käytössä, niille määrätään toimijoiden ehdotuksesta siirtymäaika asti. Henkilötunnisteena voi käyttää HETUa tai SATUa ja malliprofiileissa huomioidaan vaihtoehtona molemmat. Lisäksi varataan kenttä muulle tunnisteelle, joka voi olla esimerkiksi toimialakohtainen, sopimukseen perustuva tai rajat ylittävässä tunnistamisessa välitettävä tunniste.

20 MPS (87) Valinnaisten tietojen osalta tulee mietittäväksi myös kysymys, kuuluuko tietojen hankkiminen esimerkiksi väestötietojärjestelmästä tunnistusvälineen myöntäjän vai välityspalvelun vastuulle. Laissa ei näyttäisi olevan perusteita ottaa tähän kantaa määräyksessä ja kysymykseen liittynee tunnistuslain 12 a :ssä säädetyn enimmäishinnan tulkintaa. Näin ollen asiaa ei käsitellä tässä määräyksessä. Määräyksen 12 ja 13 on laadittu näiden linjausten mukaisesti Rajapinnat: TUPAS-kysymykset Arvioitava kysymys: Miltä osin TUPAS-protokollalta voi vaatia samoja asioita kuin muilta protokollilta? Miltä osin vaatimukset voi täyttää TUPAS-protokollan ominaisuuksilla tai muilla toimijoiden välisillä järjestelyillä ja miltä osin TUPAS-protokollaa on muutettava ja mitkä ovat vaadittavien muutosten siirtymäajat? TUPAS-protokollan yleinen tarkastelu Valmistelussa on arvioitu TUPAS-protokollaa [13] ja sen vakiintuneita käyttötapoja kahdesta näkökulmasta: tietoturvallisuusvaatimusten kannalta ja välitettävien attribuuttien kannalta. Tietoturvallisuus TUPAS-protokollan arvioinnissa on määräysvalmistelun aikana todettu keskeisimpänä havaintona, että protokolla ei täytä sanomakohtaisen salaamisen vaatimuksia. Finanssialan keskusliitto on käynnistänyt protokollan kehitystarpeita koskevan työn. Välitettävät attribuutit TUPAS-protokolla ei mahdollista pakollisen varmuustasotiedon välittämistä. Se ei myöskään mahdollista tiedon välittämistä siitä, onko asiointipalvelu julkinen vai yksityinen. TUPAS-protokollaa käytettäessä pakolliset henkilötiedot pystytään välittämään, mutta näiden tietojen muotoilu voi vaihdella, koska sitä ei ole määritelty yhtenäisesti. TUPAS-protokollaa käytettäessä välityspalvelu tai asiointipalvelu ei siten lähtötilanteessa saa rajapinnan kautta niitä tietoja, jotka määräyksessä vaaditaan välitettäväksi. Tämä edellyttäisi mahdollisesti erillistä sopimista siitä, miten varmuustaso todetaan, mikä taas ei ole luottamusverkoston yhteentoimivuusvaatimusten lähtökohtien mukaista. Henkilötietojen välitys TUPAS -asiointipalvelurajapinnassa

21 MPS (87) Arvioitava kysymys: Vaaditaanko määräyksellä muuttamaan nykyistä TUPAS-protokollaa ja sen käyttöä siten, ettei henkilötunnuksen välittäminen selväkielisenä ole enää sallittua, vaan on käytettävä protokollassa ennestään määriteltyjä muita tapoja? Jos vaaditaan, kuinka pitkä siirtymäaika määrätään? Asiointipalvelun ja tunnistusvälityspalvelun välisen rajapinnan määrittelyt vaikuttavat siihen, miten asiointipalvelun täytyy toteuttaa oma järjestelmänsä. Rajapinnassa on tunnistettu valmistelussa TUPAS-protokollalle ominainen tietoturvakysymys, joka liittyy HETUn toimittamiseen selkokielisenä URLissa asiointipalvelulle. TUPAS-protokolla sinänsä mahdollistaa HETUn siirrolle useamman vaihtoehdon, myös turvallinen vaihtoehto on siis määritelty. Käytännössä toteutus kuitenkin sopeutetaan asiointipalvelun vaatimuksiin ja vallitseva tapa on HETUn selväkielinen välitys. arvioi, että salaamattoman HETUn välittäminen ei täytä EU:n varmuustasoasetuksen seuraavia vaatimuksia: Tekniset tarkastukset (LUE: Kontrollit tai toimenpiteet) MATALA 1. Käytössä on oikeasuhteiset tekniset tarkastukset palvelujen turvallisuuteen kohdistuvien riskien hallitsemiseksi ja käsiteltävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi. 2. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. 5. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. Soveltamisohje: On tärkeää pitää erillään luottamuksellisuuden ja eheyden suojaamista koskevien vaatimusten arviointi. Eheyden (tai aitouden) suojaaminen määräytyy periaatteessa varmuustason mukaan, mutta henkilöihin liittyvän tiedon luottamuksellisuuteen vaikuttavat myös tietojen tyyppi sekä mahdolliset suojaamista koskevat lainsäädännölliset vaatimukset. Henkilötietojen luottamuksellisuus on suojattava ja käytössä on oltava turvatoimenpiteitä, jotka pohjautuvat riskiperusteista lähestymistapaa hyödyntävään arviointiin valitun tietoturvallisuuden hallintajärjestelmän mukaisesti. Turvatoimenpiteiden kattamia osa-alueita ovat esimerkiksi tietomurrot, väärinkäytökset, palvelunestohyökkäykset ja hajautetut palvelunestohyökkäykset Todentamismekanismi MATALA 2. Jos henkilön tunnistetiedot tallennetaan osana todentamismekanismia, nämä tiedot on suojattu niiden menetykseltä ja vaarantamiselta, mukaan lukien analyysi verkkoympäristön ulkopuolella.

22 MPS (87) Soveltamisohje: Tallennettuihin henkilötietoihin pääsyä on valvottava huolellisesti. Henkilön tunnistetietojen suojaamisessa käytettäviä menetelmiä ovat esimerkiksi Euroopan unionin verkko- ja tietoturvaviraston ENISAn Algorithms, Key Sizes and Parameters Report -asiakirjan, kansallisten salausohjeiden tai muiden hyvien toimintatapojen mukainen salaaminen ja tiivistäminen. Käyttöoikeuksia on aina valvottava. Henkilötunnus on henkilötietolain perusteella katsottavat tunnisteeksi, jota on käsiteltävä erityisen huolellisesti. Edellä poimituista kohdista voidaan ainakin EU:n varmuustasoasetuksen kohdan 1 alakohdan katsoa soveltuvan suoraan myös asiointipalvelurajapintaan. Vaikka tämän ja muiden poimittujen kohtien vaatimukset kohdistuvat suoranaisesti tunnistuspalveluntarjoajan omiin järjestelmiin, tukevat ne myös henkilötiedon suojaamista asiointipalvelurajapinnassa. Jos henkilötunnusta on suojattava tiukasti palveluntarjoajan järjestelmässä, ei ole suhteessa näihin vaatimuksiin, jos sen voi luovuttaa asiointipalvelurajapinnassa tavalla, joka altistaa tunnuksen luottamuksellisuuden menettämiselle. Nykyisen menettelyn säilyttäminen asiointipalvelurajapinnassa vaarantaa siis henkilötunnuksen tietoturvallisuuden. Selaimeen tallentuneet henkilötunnukset voivat paljastua muille selaimen käyttäjille, mikä on ainakin yhteiskäyttöisillä päätelaitteilla huomionarvoinen riski. Siirtyminen HETUn salaamiseen asiointipalvelurajapinnassa parantaisi selvästi henkilötunnuksen tietoturvaa. Asiointipalvelun kannalta siirtyminen henkilötunnuksen salattuun välittämiseen edellyttäisi muutoksia asiointipalveluiden omissa järjestelmissä (kyvykkyyttä purkaa salaus). Tunnistuspalvelun tarjoajan kannalta muutos edellyttäisi nykyisen asiointipalvelusopimuskannan muutoksia. Ongelmana tilanteessa on se, että asiointipalveluilla ei ole kannustinta siirtyä turvallisempaan menettelyyn. Tunnistuspalveluntarjoajien olisi siirryttävä turvallisempaan menettelyyn yhtenäisesti, jotta nykykäytännön jatkaminen ei antaisi perusteetonta kilpailuetua. Vain joidenkin toimijoiden siirtyminen uuteen käytäntöön saattaisi johtaa siihen, että asiointipalvelut eivät enää hyväksyisi näitä tunnisteita, mikä rajoittaisi joidenkin tunnistusvälineen haltijoiden mahdollisuuksia käyttää vahvaa sähköistä tunnistettaan asiointipalveluissa. arvioi edellä mainituilla perusteilla, että ainoa keino sysätä tietoturvallisuuden kehitystä tältä osin eteenpäin on määrätä henkilötunnuksen salaaminen asiointipalvelulle välitettäessä pakolliseksi. Tämä olisi myös eidas-asetuksen mukainen sääntelyratkaisu. Vaatimukselle olisi määrättävä siirtymäaika, jotta asiointipalveluilla ja tunnistuspalveluntarjoajilla olisi mahdollisuus tehdä muutokset aiheuttamatta katkoksia toimintaan ja jaksottamalla vaadittavaa muutostyötä. Siirtymäaika voisi kestää esimerkiksi asti, jolloin jäsenvaltioiden on viimeistään oltava valmiita vastaanottamaan toisista jäsenvaltioista tulevat notifioidut tunnisteet.

23 MPS (87) Suhteessa muuhun lainsäädäntöön on otettava huomioon, että henkilötunnuksen ja muiden henkilötietojen käsittelyä säännellään henkilötietolaissa, jonka korvaa parin vuoden kuluttua EU:n tietosuoja-asetus. Näissä säännellään henkilötietojen käsittelyn tietoturvallisuutta ja tietosuoja-asetus tuo mukanaan myös huomattavat seuraamusmaksut. Henkilötietolakia ja vastaisuudessa tietosuoja-asetusta valvoo tietosuojavaltuutettu. Suhteessa henkilötietosäädäntöön eidas, tunnistuslaki ja tämä määräys ovat erityissäädäntöä. Henkilötietosäädäntö soveltuu siltä osin, kun erityissäädännössä ei ole säädetty muuta. Tietosuojavaltuutettu on todennut määräysvalmistelun yhteydessä antamassaan lausunnossa, ettei henkilötietolainsäädäntö estä määräämästä tunnistuspalvelun tietoturvavaatimuksista n määräyksessä. 3.5 Tunnistuspalvelu: sähköisen ensitunnistamisen rajapinnan sääntelytarve Arvioitava kysymys: Vaaditaanko tunnistusvälineen myöntäjien välisessä rajapinnassa välittämään tieto ensitunnistamisen tekijästä, tunnistusasiakirjasta ja tunnistamisen ketjuttajista? n määräysvaltuus koskee lain vaatimusten teknistä tarkentamista. Ensitunnistamisrajapinnan mahdollista sääntelyä on arvioitava myös siltä kannalta, että tunnistusvälineen tarjoajien välinen toiminta sähköisen ensitunnistamisen mahdollistamiseksi uusia välineitä myönnettäessä on myös kilpailukysymys. Sähköisen ensitunnistamisen rajapinta (SAML/TUPAS) on ollut toimijoiden välillä käytössä jo useita vuosia. Toiminta on perustunut kahdenvälisiin sopimuksiin. Teknisesti rajapinta vastaa asiointipalveluille tarjottua rajapintaa. Tunnistus- ja luottamuspalvelulain 17 :n muutoksella on mahdollistettu se, että tunnistusvälineen tarjoajat voivat rajattomasti ketjuttaa tunnistamista eli luoda uusia sähköisiä tunnistusvälineitä luottamalla muiden tarjoamiin sähköisiin tunnisteisiin. Toisen tunnistusvälineeseen luottava välineen myöntäjä kantaa tunnistusja luottamuspalvelulain 17.4 :n säännöksen perusteella vahinkovastuun ja ketjuttaminen edellyttääkin sitä, että ketjuttamista hyödyntävä välineen myöntäjä arvioi, millainen riski luotettuun tunnisteeseen mahdollisesti liittyy. Tähän riskiin vaikuttavia tekijöitä ovat se, kuinka kauan sitten ja minkä henkilöllisyystodistuksen perusteella alkuperäinen henkilökohtainen tunnistaminen on tehty, onko ketjussa useampi tunnistusvälineen myöntäjä, onko jokin ketjussa ollut tunnistusvälineen myöntäjä lopettanut toimintansa ja onko ketjussa oleville tunnistusvälineen myöntäjille tapahtunut tietoturvaloukkauksia, jotka ovat voineet vaikuttaa tiedon eheyteen. Määräystä valmisteltaessa on todettu, että tieto ensitunnistamisen tekemisestä ja ketjussa olevista toimijoista tukisi riskin arviointia ja hallintaa.

24 MPS (87) Valmistelussa on harkittu vaatimusta siitä, että rajapinnoissa tulisi olla määriteltynä, miten ensitunnistamisen ja ketjutuksen tiedot välitettäisiin. Toisaalta toimijat ovat esittäneet valmistelun aikana näkemyksen, että sähköistä ensitunnistamista on käytetty ongelmitta jo tähänkin asti, joskin aikaisemman lain sallimalla tavalla vain nimenomaisella sopimuksella kahden tunnistajan välillä. Tästä ei n näkemyksen mukaan kuitenkaan voi päätellä, ettei ongelmia syntyisi useamman välineen ketjuttamisessa. Tietoturvaloukkausten selvittämistilanteessa on tärkeää, että tieto ketjuttamisesta on tavalla tai toisella selvitettävissä. Jos tunnistusvälineen tarjoaja myöntää esimerkiksi tunnisteita varastettujen tai väärennettyjen henkilöllisyystodistusten perusteella, on pystyttävä selvittämään, onko näillä väärän henkilön hallussa olevilla sähköisillä tunnistusvälineillä haettu sähköisesti uusia tunnistusvälineitä. Tietoturvallisuuden ja sähköisen tunnistuksen yleisen luotettavuuden kannalta tietojen välittäminen olisi eduksi. Sisäasianhallinnossa on käynnissä hanke palvelusta, josta tunnistusvälineen tarjoajat voivat lähtien tarkistaa, onko henkilöllisyystodistus voimassa, kadonnut tai varastettu. Tämä on huomioitu myös tunnistusja luottamuspalvelulain 7 b :ssä (Tieto passin tai henkilökortin voimassaolosta). Palvelu vähentää riskiä ainakin henkilökohtaisen ensitunnistamisen osalta. Myös tunnistusja luottamuspalvelulain 6 :ssä edellytetty VTJ-tarkistus välinettä myönnettäessä ja riittävän usein myös sen jälkeen vähentävät riskiä, että sähköisiä tunnistusvälineitä myönnettäisiin sellaisen henkilötunnuksen perusteella, jota ei löydy väestötietojärjestelmästä. Tunnistus- ja luottamuspalvelulain muutosehdotuksen lausunnoissa monet lausunnonantajat katsoivat, että tunnistuksen rajoittamatonta ketjuttamista ei pitäisi sallia. Edelleen useissa lausunnoissa katsottiin, että sähköinen ensitunnistaminen ei ole helpottunut lain aikaisemman muutoksen myötä, koska ensitunnistaminen hinnoitellaan kalliiksi. Liikenne- ja viestintäministeriö on käynnistänyt kesällä 2016 lainsäädännön muutoshankkeen ensitunnistamisen hintasääntelystä. Näiden asioiden tarkentaminen ei kuulu n määräykseen tai määräysvaltuuteen, mutta vaikutusarvioinnissa on otettava huomioon, millaisia vaikutuksia eri sääntelyvaihtoehdoilla on kilpailuun. Linjaus Ensitunnistamis- ja ketjuttamistietojen välittäminen tunnistusvälineen tarjoajien välisessä rajapinnassa vaikuttaisi edistävän uusien tunnistusvälineiden myöntämistä ja siten myös kilpailua, koska se helpottaisi riskin arvioimista ja hallintaa. Toimijat ovat kuitenkin työryhmätyössä pitäneet rajapintamäärittelyjä tarpeettomina. Tästä syystä tässä vaiheessa ei nähdä tarkoituksenmu-

25 MPS (87) kaiseksi lisätä ensitunnistamisen rajapintaa koskevia vaatimuksia määräykseen. Pidemmän tähtäimen kehityksenä on kuitenkin tuotu esiin toivomus siitä, että rajapinnan kautta voitaisiin välittää tietoa ensitunnistamisesta (esim. mihin henkilökohtainen ensitunnistaminen on perustunut: passi, henkilökortti, sähköinen tunnistaminen). Tässä vaiheessa ei ole arvioitu tarkemmin sitä, onko työläämpää tehdä määrittely näille tiedoille nyt tulevaisuuden varalle vai myöhemmin, kun tarve syntyy tai miten rajapinnoissa huomioidaan se, että joku on jo nyt valmis tarjoamaan tiedot. Myöskään määräykselle vaihtoehtoisia ohjauskeinoja ei ole tarkasteltu tarkemmin. Teknisiä määrittelyjä ensitunnistamisrajapinnassa välitettäville tiedoille olisi toki mahdollista työstää yhteissääntelynä tai suosituksena. n tunnistusja luottamuspalvelutyöryhmässä on valtiovarainministeriön aloitteesta keskusteltu mahdollisuudesta pilotoida lohkoketjuteknologian soveltuvuudesta ensitunnistamisen ketjuttamistiedon hallinnassa. On mahdollista, että tätä kautta syntyy yhteis- tai itsesääntelyratkaisu. On hyvä huomata, että luottamusverkoston yhteissääntelyryhmässä ei missään tapauksessa tulla käsittelemään hinnoittelukysymyksiä tai keskustelemaan hinnoittelusta. 3.6 Tunnistuspalveluiden tietoturvasääntelyn vaihtoehdot Tunnistuspalvelun tietoturvallisuus: eriyttämisvaatimukset Arvioitava kysymys: Onko tietoturvavaatimusten takia tarpeen jokin seuraavista: henkilöstön työtehtävien eriyttäminen, fyysisten työtilojen ja -välineiden eriyttäminen tai teknisen palveluympäristön ja palvelinympäristöjen mahdollinen eriyttäminen muusta tuotannosta? Arvioinnin lähtökohdat Tunnistus- ja luottamuspalvelulain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta ja kohdassa teknisistä tarkastuksista (toimenpiteistä) tietojen, viestintäkanavien ja salausteknisen aineiston suojaamiseksi sekä tietoturvallisuuden ylläpitämiseksi ja riskien, poikkeamien ja loukkausten hallitsemiseksi sekä henkilötietoja sisältävistä laitteista huolehtimiseksi. voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista.

26 MPS (87) Korotettua ja korkeaa varmuustasoa on syytä tarkastella erikseen. Valmistelussa arvioitavat tekijät on valittu sillä perusteella, että niistä on työryhmätyössä herännyt arviointikriteeristöä valmisteltaessa toimijoiden kysymyksiä. Linjaukset Henkilöstön työtehtävien eriyttäminen on tarpeen ainakin siltä osin, ettei sama henkilö voi luoda tunnistusvälinettä ja hallinnoida tunnistusvälineen luomiseen ja käyttöönottoon liittyviä lokitietoja. Tämän oletetaan toteutuvan jo normaalin tietoturvallisuuden hallinnan, suunnittelun ja auditoinnin kautta, eikä asiasta ole tarpeen määrätä erikseen. Työvälineiden eriyttäminen on tarpeen siltä osin, että hallintaverkkoon ja toimistoverkkoon ei käytetä samaa työasemaa ainakaan korkealla varmuustasolla. Korotetulla tasolla tyydytään siihen, että arvioidaan erityisesti tietoturvariskejä, joita liittyy työasemaan, jos sillä pääsee hallintaverkon lisäksi toimistoverkkoon. Asiasta määrätään, koska tarve vaatimusten selkeyttämiseen tässä suhteessa nousi työryhmässä vahvasti esille. Muilta osin eriyttäminen jätetään tässä vaiheessa yksityiskohdiltaan yleisen tietoturvallisuuden hallinnan, suunnittelun ja auditoinnin varaan. Määräyksen 5 ja erityisesti sen 2 momentti on laadittu näiden linjausten mukaisesti. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Yksityiskohtia toiminnan tietoturvallisuudesta huomioidaan ohjeessa 211/2016 O tunnistuspalvelun arvioinnin mallikriteeristöön liitettävissä esimerkeissä hyvistä käytännöistä. Yhteissääntely. tai toimijat voivat tuoda tietoturvallisuuden toteutuksiin liittyviä kysymyksiä luottamusverkoston yhteissääntelyryhmään tiedonvaihtona hyvistä käytännöistä. Häiriötilanteisiin liittyvään tiedonvaihtoon säädetään tunnistusja luottamuspalvelulain 16 :ssä velvoite ja toisaalta myös tiedon väärinkäyttökielto. Informaatio-ohjaus. Tiedon julkaiseminen ei lähtökohtaisesti tietoturvaja liikesalaisuussyistä sovellu yritysten yksityiskohtaisten toteutusten ohjaamiseen Tunnistuspalveluiden tietoturva: salausvaatimukset Arvioitava kysymys: Määrätäänkö vähimmäisvaatimukset eri rajapinnoissa käytettävälle salausalgoritmille, tiivistealgoritmille ja avainpituuksille sekä mikä on vaatimustaso? Voidaanko korotetulle ja korkealle varmuustasolle määritellä eri vähimmäisvaatimukset? Arvioinnin lähtökohdat

27 MPS (87) Tunnistuslain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta; korotetulla tasolla vakavuusasteeltaan kohtuulliselta (moderate) ja korkealla tasolla vakavuusasteeltaan korkealta (high). voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista. Salausmenetelmien tasosta on käytettävissä eri lähteitä kuten ENISAn vuosittainen raportti tai eidas-asetuksen kansallisia solmupisteitä koskevat määrittelyt. n tehtäviin kuuluu muun säädännön perusteella salaustuotteiden arviointi ja menetelmien arvioinnissa voidaan hyödyntää myös tässä tehtävässä työstettyä tietoa. Vaatimusten määrittelyssä on huomioitava käytettävyys ja käyttäjien käytössä olevien selainten versiot. Lisäksi on huomioitava tunnistuspalveluntarjoajille ja asiointipalveluiden tarjoajille aiheutuvat muutostarpeet. Vaatimusten taso täytyy suhteuttaa uhkiin. eidas-asetukseen liittyvissä spesifikaatioissa ei ole eroteltu korotetun ja korkean tason salausvaatimuksia. Linjaukset Määrätään salausmenetelmien vaatimustasot siten, että ne perustuvat pääsääntöisesti vähintään TLS 1.2 versioon, joka on ollut oletuksena yleisissä käyttäjien käyttämissä selaimissa jo vuodesta 2011 ja jolle on ollut olemassa tuki jo vuodesta Mobiilipäätelaitteet eivät kuitenkaan samassa laajuudessa tue TLS versiota 1.2, joten myös versio 1.1 on sallittava tarvittaessa. Vaatimukset määritellään verraten yksityiskohtaisesti määräyksessä. Salausmenetelmien vahvuus kehittyy sen verran hitaasti, että määräystä voidaan muuttaa tarvittaessa. Määrittelyssä hyödynnetään n työstämää tietoa salausmenetelmien vahvuudesta huomioiden, ettei aseteta tiukempia vaatimuksia kuin eidas-asetukseen liittyvässä ohjeistuksessa. Korotettua ja korkeaa tasoa ei erotella määräyksessä pakottavissa vaatimuksissa, mutta korkealle tasolle annetaan suositus. Määräyksen 7 ja B-osan luvussa 7.2 oleva n suositus korkean varmuustason salauksesta on laadittu näiden linjausten mukaisesti. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Valmistelussa on arvioitu, että vähimmäisvaatimukset pystytään muotoilemaan yleispätevästi määräykseen. Korkean tason salausvaatimukset annetaan suosituksena. Yhteissääntely. Ei ole tarkasteltu.

28 MPS (87) Informaatio-ohjaus. Ei liene relevantti, sillä tietoturvallisuuden vähimmäistaso ei ole kilpailuasia. 3.7 Tunnistus- ja luottamuspalveluiden arviointitoiminnan kilpailun edistäminen Arvioitava kysymys: Voidaanko määräyksen vaatimuksilla edistää arviointielinten tarjontaa tai kilpailua? Arvioinnin lähtökohdat Perusvaatimukset arviointielinten käyttämisestä ja vaatimuksista säädetään eidas-asetuksessa ja tunnistusja luottamuspalvelulaissa. Määräyksen vaikutusarvioinnissa ei arvioida eidas-asetuksen tai lain vaikutuksia, vaan niiden tavoitteet ovat myös määräyksellä edistettäviä tavoitteita. Vaatimustenmukaisuuden arviointilaitosten vaatimukset perustuvat EUtason säännöksiin ja standardointiin, joten pystyy vaikuttamaan laitosten syntymiseen sujuvalla prosessilla ja yhteistyöllä FINASin kanssa. Tästä on saatu hyvää kokemusta tietoturvallisuuden arviointilaitosten perustamisen yhteydessä. Tunnistuspalveluiden käyttämien ulkoisten arviointielinten suhteen EU:n varmuustasoasetuksen ja tunnistusja luottamuspalvelulain vaatimukset ovat yleisluonteisemmat kuin luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksille. Määräyksen antamisessa on pidettävä huolta siitä, että vaatimukset määritellään mahdollisimman neutraalisti. Kilpailun ja tarjonnan syntyminen on kiinni ennen kaikkea kysynnästä. Linjaus Arviointipalvelujen tarjontaa voidaan edistää lähinnä huolehtimalla siitä, että säännösympäristö on selkeä ja kansainvälisesti yhdenmukainen. Määräyksessä viitataan siksi (vain) kansainvälisiin standardeihin, joiden asema ei muutoin ole oikeudellisesti selvä. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Ohjeet 211/2106 O tunnistuspalvelun arvioinnin mallikriteeristöstä ja 215/2016 O sähköisten tunnistusja luottamuspalveluiden tarkastuskertomuksista helpottavat tunnistuspalveluiden arviointielimien kilpailuttamista. Yhteissääntely. Tätä voidaan tarkastella siinä vaiheessa, kun arviointitoimintaa syntyy. Informaatio-ohjaus. Tässä vaiheessa ei ole olemassa vertailevaa tietoa, jonka julkaisemisella voitaisiin edistää kilpailua.

29 MPS (87) 3.8 Ei-hyväksyttyjen luottamuspalvelujen ja sähköisten allekirjoitusten asema Ei-hyväksytyt luottamuspalvelut ja luotettu luettelo Arvioitava kysymys: Olisiko Suomessa perusteita tai tarvetta merkitä luotettuun luetteloon (trusted list) muitakin palveluita kuin hyväksyttyjä luottamuspalveluita? Olisiko tämä mahdollista eidasasetuksen ja tunnistusja luottamuspalvelulain perusteella? Näkökohtia arviointiin eidas-asetus sallii ei-hyväksyttyjen luottamuspalveluiden merkitsemisen luotettuun luetteloon tällä statuksella. Palvelut, joita luotettuun luetteloon voisi merkitä, yksilöidään ETSIn spesifikaatiosta TS v (huomaa versionumero) [14]. Ei-hyväksyttyjen luottamuspalveluiden merkitseminen luotettuun luetteloon on jäsenvaltion harkinnassa. Palvelun merkitseminen luotettuun luetteloon ei-hyväksyttynä luottamuspalveluna voisi eidas-asetuksen puitteissa koskea sekä palveluntarjoajia, jotka eivät halua hakea luottamuspalvelulle hyväksyttyä statusta että palvelutyyppejä, joille ei voi sääntelyn perusteella hakea hyväksyntää eli esimerkiksi allekirjoituspalveluja. Sähköisiä palveluita, kuten erilaisia allekirjoituspalveluita tarjoavat yritykset voisivat hyötyä siitä, että niiden palvelut merkittäisiin luotetulle listalle vaikka vain ei-hyväksyttynä luottamuspalveluna. Joissakin maissa toimitaankin näin jo aikaisemman sääntelyn puitteissa (ennen eidas-asetuksen voimaantuloa luotettu luettelo on perustunut sähköallekirjoitusdirektiiviin ja palveludirektiiviin). Muiden kuin hyväksyttyjen luottamuspalveluiden aseman määrittely voisi lisätä myös käyttäjien ja asiointipalveluiden tarjoajien luottamusta ja luotettavuutta sähköisessä asioinnissa. Tulkintalinjaukset Luotettuun luetteloon merkitään Suomessa sääntelyn perusteella vain hyväksytyt luottamuspalvelut. Tunnistus- ja luottamuspalvelulain 42 a :ssä on säädetty n tehtäväksi ylläpitää luetteloa hyväksytyistä luottamuspalveluista. Laissa ei säädetä ei-hyväksyttyjen luottamuspalvelujen arvioinnin ja valvonnan perusteista tai menettelystä, eikä ohjaukselle tai valvonnalle ole resursseja. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Ei relevantti. Viranomaisen vahvistama luotettava status edellyttäisi perustetta säädännössä. Yhteissääntely. Ei relevantti. Oman, erityisesti luotettujen palveluiden ryhmittelyn luominen ja määrittely yhteissääntelynä olisi vaikeaa riittävän tasapuolisesti aiheuttamatta kilpailuoikeudellisia ongelmia.

30 MPS (87) Informaatio-ohjaus. Ei relevantti. Luotettu lista itsessään on informaatioohjauksen luonteinen instrumentti. Mahdolliset muut kilpailevat kansallisesti määritellyt julkaisut (muut kuin luotettu lista) olisivat omiaan aiheuttamaan epäselvyyttä, eivätkä toimijat saavuttaisi niillä EU-tasoista statusta Sähköisten allekirjoitusten valvonta Arvioitava kysymys: Miten osallistuu siihen arviointiin, onko jokin toteutus kehittynyt sähköinen allekirjoitus? Näkökohtia arviointiin eidas-asetuksen mukaan kehittyneet sähköiset allekirjoitukset tai allekirjoituspalvelut eivät ole hyväksyttyjä luottamuspalveluita. Tunnistus- ja luottamuspalvelulain 42 a :n perusteella niitä ei merkitä asetuksen 22 artiklan mukaiseen luotettuun luetteloon. Tunnistus- ja luottamuspalvelulain 42 a :n ja eidas-asetuksen 17.3 artiklan perusteella valvoo ei-hyväksyttyjä luottamuspalveluja vain jälkikäteen. Joissain laeissa edellytetään allekirjoittamista kehittyneellä sähköisellä allekirjoituksella, josta säädetään eidas-asetuksen 26 artiklassa. on tulee kysymyksiä, joissa tiedustellaan, täyttääkö jokin tarjottu palvelu kehittyneeltä sähköiseltä allekirjoitukselta edellytettävät vaatimukset ja kelpaako se siten asiakirjojen allekirjoittamiseen. Kuten edellä kohdassa todettiin, tunnistusja luottamuspalvelulaissa laissa ei ole säädetty kehittyneiden sähköisten allekirjoitusten valvonnasta tai valvonnan resursoinnista, mikä vastaa nykytilannetta. Sähköisen asiointipalvelun toteuttajan (esimerkiksi julkishallinnon organisaation) ja sähköisen allekirjoituspalvelun tarjoajan on arvioitava, täyttääkö tietty palvelu kehittyneen sähköisen allekirjoituksen tunnusmerkistön ja vaatimukset. Sekä asiointipalveluita toteuttavalla julkisella hallinnolla että allekirjoituspalveluiden tuottajilla olisi tarvetta sen arvioinnille, vastaavatko palvelut eidas-asetuksen vaatimuksia. Tulkinnan tulisi olla yhtenäistä. Kehittyneitä sähköisiä allekirjoituksia käsitellään laajemmin C osan luvussa 2. Linjaukset tuottaa yleistä neuvontaa kehittyneestä sähköisestä allekirjoituksesta, mutta ei arvioi sitä, täyttävätkö yksittäiset toteutukset eidasasetuksen vaatimukset. Sähköisen asiointipalvelun toteuttajan ja sähköisen allekirjoituspalvelun tarjoajan on arvioitava, täyttääkö tietty palvelu kehittyneen sähköisen allekirjoituksen tunnusmerkistön ja vaatimukset. Määräykselle vaihtoehtoiset ohjauskeinot

31 MPS (87) Suositus/ohje. Tämän dokumentin C-osan luvussa 2 käsitellään kehittyneitä sähköisiä allekirjoituksia. Yhteissääntely. Ei ole tarkasteltu. Vaatimukset sinänsä ovat jo eidasasetuksessa eivätkä yhteissääntelyllä laadittavissa. Informaatio-ohjaus. Tiedonvaihto kehittyneen allekirjoituksen tarjoajista tai käyttäjien (esim. valtionhallinnossa) olisi hyvin mahdollista. Tieto ei vahvistaisi palveluntarjoajien palvelun statusta kehittyneenä sähköisenä allekirjoituksena, vaan tarjoaisi lähinnä vertaistietoa. ei ole toistaiseksi suunnitellut resursointia tiedonvaihdon organisoimiseen. 3.9 Vaikutukset viranomaisten toimintaan Tunnistus- ja luottamuspalvelulain maksusäännösten perusteella n sähköisen tunnistamisen ja luottamuspalveluiden ohjaus- ja valvontatoiminnassa on nähtävissä, että valvontamaksujen tulokertymä ei riitä vastaamaan kaikkiin niihin ohjaustarpeisiin ja toimialan toiveisiin viranomaistoiminnalle, joita muuttuva säädäntö ja toimialan kehitys tuovat mukanaan. n on rahoitettava kaikki sähköiseen tunnistamiseen ja luottamuspalveluihin liittyvät kotimaiset ja kansainväliset ohjaus-, valvonta- ja neuvontatehtävät ja näihin tarvittavan osaamisen ylläpito valvontamaksujen tulokertymällä. Nykyisellä toimijamäärällä kertymän ennakoidaan pienenevän nykyisestä, vaikka resurssitarpeen ennakoidaan vähintään kaksinkertaistuvan, koska tehtävät ja asiantuntemusta edellyttävät asiat lisääntyvät merkittävästi. n on siksi määräysvalmistelussa pyrittävä myös tehostamaan omaa toimintaansa minimoimalla viraston resurssitarvetta, jotta voidaan turvata välttämättömimpien lakisääteisten valvontatehtävien hoitaminen. Viranomaistoiminnan tehokkuuden tarve on huomioitu erityisesti tunnistuspalvelujen arviointikriteeristöjen kohdalla siten, että kaikkia toimijoita koskevat yhtäläiset vaatimukset siitä, miltä osin toiminta tulee arvioida riippumattomasti ja miltä osin riittää yhteisön oma selvitys vaatimusten täyttymisestä. Edelleen on tunnistuspalveluntarjoajan vastuulla selvittää ja osoittaa käyttämiensä arviointien kohdistuminen ja riittävyys tunnistusjärjestelmän vaatimuksiin. B-OSA Pykäläkohtaiset perustelut ja soveltamisohjeet Luku 1 Yleiset säännökset Tässä luvussa käsitellään määräyksen luvussa 1 annettuja velvoitteita. 1 Määräyksen tarkoitus Tämän määräyksen tarkoituksena on 1) edistää vahvojen sähköisten tunnistusvälineiden ja tunnistusvälityspalveluiden tietoturvallisuutta ja teknistä yhteentoimivuutta,

32 MPS (87) 2) tarkentaa vahvan sähköisen tunnistamisen palveluiden vaatimustenmukaisuuden arvioinnin kriteerit ja arviointielinten riippumattomuus- ja pätevyyskriteerit, 3) täydentää hyväksyttyjen sähköisten luottamuspalveluiden vaatimuksia ja niiden vaatimustenmukaisuuden arvioinnin riippumattomuus- ja pätevyyskriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä, sekä 4) täydentää sähköisen allekirjoituksen tai sähköisen leiman sertifioinnin kriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä. Perustelut Pykälässä kuvataan lyhyesti määräykseen pääasialliset tavoitteet. Säännös on informatiivinen eikä esimerkiksi määrittele tarkemmin vaatimusten soveltamisalaa. 2 Soveltamisala Tätä määräystä sovelletaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009, jäljempänä tunnistusja luottamuspalvelulaki) tarkoittamiin lle ilmoitettuihin vahvan sähköisen tunnistamisen tunnistusvälineiden ja tunnistusvälityspalvelujen tarjontaan sekä näiden vaatimustenmukaisuuden arviointiin. Tätä määräystä sovelletaan Euroopan parlamentin ja neuvoston (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta antamassa asetuksessa (jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus tai eidas-asetus) tarkoitettuihin sähköisiin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin. Tätä määräystä sovelletaan Euroopan komissiolle ilmoitettaviin vahvan sähköisen tunnistamisen järjestelmiin tai edellä 2 momentissa tarkoitettuihin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin vain, jollei eidasasetuksesta tai sen nojalla annetuista komission täytäntöönpanosäädöksistä muuta johdu. Perustelut Määräystä sovelletaan, kuten aikaisempiakin määräyksiä, vahvan sähköisen tunnistusvälineen tarjoamiseen. Vahvoja sähköisiä tunnistusvälineitä ovat sellaiset, joista on tehty ilmoitus lle ja jotka täyttävät säädetyt vaatimukset. Määräystä sovelletaan myös tunnistusvälityspalveluihin, joista on tehty ilmoitus lle. Tunnistusvälityspalveluilla tarkoitetaan tunnistustapahtumien välittämistä asiointipalveluille. Sama yritys voi toimia halutessaan sekä välineen tarjoajana että välityspalveluna. Määräystä sovelletaan myös eidas-asetuksen mukaisiin hyväksyttyihin luottamuspalveluihin, joilla tarkoitetaan asetuksen vaatimukset täyttämiä luottamuspalveluja. Määräystä ei sovelleta luottamuspalveluihin, joille ei ole haettu hyväksyntää. n on valvottava myös ei-hyväksyttyjen luottamuspalvelujen tietoturvallisuutta siltä osin, että ne toteutettavat tarvittavat tekniset ja organisatoriset toimenpiteet hallitakseen tarjoamiensa luottamuspalvelujen tietoturvaan kohdistuvat riskit. Valvontatilanteessa tietoturvallisuusvaa-

33 MPS (87) timuksien tulkinnassa verrattaneen toimintaa kuitenkin samoihin standardeihin, jotka koskevat hyväksyttyjä palveluja. Täsmälliset viittaukset EU-säädäntöön ovat tarpeen selkeyttävänä informaationa mm. siksi, että EU-oikeuden ensisijaisuus ilmenee selvästi. 3 Määritelmät Tässä määräyksessä tarkoitetaan: 1) rajapinnalla tiedonsiirtoon liittyviä määrittelyjä ja toteutuksia kahden eri järjestelmän tai niiden osien välillä; 2) eidas-rajapinnalla kansallisen solmupisteen rajapintaa toisen valtion kansalliseen solmupisteeseen. Muutoin tässä määräyksessä sovelletaan samoja määritelmiä kuin tunnistusja luottamuspalvelulaissa ja eidas-asetuksessa. Perustelut Rajapinnan määritelmä kattaa tiedonsiirtoon käytetyn protokollan mukaisten tekijöiden tarkemman määrittelyn ja valinnaiset tekijät. Se kattaa myös käytännön toteutuksen eli siirrettävien tietosisältöjen valikoiman ja muodon. Määräyksen kannalta keskeisiä ovat myös useat tunnistuslain 2 :ssä ja eidas-asetuksen 3 artiklassa säädetyt määritelmät. Nämä on kuvattu tarkemmin A osan luvussa 1.4. Luku 2 Tunnistuspalvelun tietoturvavaatimukset Tässä luvussa käsitellään määräyksen luvussa 2 annettuja velvoitteita, jotka koskevat tunnistuspalvelun tietoturvavaatimuksia. 4 Tunnistuspalvelun tarjoajan tietoturvallisuuden hallinnan vaatimukset Tunnistuspalveluntarjoajan on käytettävä tunnistusjärjestelmän tietoturvallisuuden hallinnassa ISO/IEC standardia tai muuta yleisesti tunnettua vastaavaa tietoturvallisuuden hallinnan standardia. Tietoturvallisuuden hallinta voi perustua myös useamman standardin yhdistelmään. Tietoturvallisuuden hallinnan tulee kattaa seuraavat tunnistuspalvelun tarjontaan vaikuttavat osa-alueet 1) tunnistuspalveluntarjoajan toimintaympäristö kokonaisuutena; 2) tietoturvallisuuden hallinnan johtaminen, organisointi ja ylläpito; 3) tunnistuspalvelun tarjontaan liittyvien tietoturvallisuusriskien hallinta; 4) tietoturvallisuuden resursointi, pätevyys, henkilöstön tietoisuus tietoturvallisuudesta, viestintä ja dokumentointi sekä dokumentoidun tiedon hallinta; 5) tunnistuspalvelun tarjonnan suunnittelu ja ohjaus tietoturvavaatimusten täyttämiseksi; ja 6) tietoturvallisuuden hallinnan tehokkuuden ja toimivuuden arviointi. Perustelut Pykälässä määrätään yleisellä tasolla siitä, mitä tunnistusjärjestelmän tietoturvallisuuden hallinnassa täytyy ottaa huomioon. Tunnistuspalvelun tarjonnalla tarkoitetaan koko tunnistusjärjestelmää, joka kattaa koko tunnistuspalvelun kokonaisuuden.

34 MPS (87) EU:n varmuustasoasetuksen [2] liitteen 1 kohdassa edellytetään, että tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. Tunnistuslain 8.1 :n 5 alakohdassa säädetään tietoturvallisuuden hallinnasta ja viitataan mm. varmuustasoasetuksen kohtaan Pykälän 1 momentissa tarkennetaan tunnistusja luottamuspalvelulain ja EU:n varmuustasoasetuksen vaatimusta. Ainakin ISO/IEC standardi [8] on yleisesti tunnettu ja pätevä tietoturvallisuuden hallinnan standardi. Myös muuta standardia tai standardien yhdistelmää voi käyttää, edellyttäen, että standardi todella kohdistuu tietoturvallisuuden hallintaan. Standardi voi olla kansainvälinen, kuten ISO, mutta myös kansallinen kuten KATA- KRI [15]. Pykälän 2 momentissa luetellaan toiminnan osa-alueet, jotka tietoturvallisuuden hallinnan täytyy kattaa. Vaatimukset vastaavat pitkälti aikaisemman määräyksen 8 2 :ää tietoturvallisuuden hallinnasta. Vaatimuksia on nyt tiivistetty käyttäen apuna ISO/IEC vaatimusten ylätason ryhmittelyä. Pykälän vaatimukset liittyvät ISO/IEC standardiin seuraavasti Määräys 4 ja soveltaminen ISO/IEC ) tunnistuspalveluntarjoajan toimintaympäristö kokonaisuutena 4 organisaation toimintaympäristö - olennaisten sisäisten ja ulkoisten teknisten, oikeudellisten ja yhteisön hallinnollisten vaatimusten, tarpeiden ja asioiden tunteminen ja huomioiminen 2) tietoturvallisuuden hallinnan johtaminen, organisointi ja ylläpito - dokumentoidaan tietoturvapolitiikassa tai vastaavissa ohjausasiakirjoissa 5 johtajuus 9.2 sisäinen auditointi 9.3 johdon katselmus 10 hallintajärjestelmän parantaminen 3) tunnistuspalvelun tarjontaan liittyvien tietoturvallisuusriskien hallinta 4) tietoturvallisuuden resursointi, pätevyys, henkilöstön tietoisuus tietoturvallisuudesta, viestintä ja dokumentointi sekä dokumentoidun tiedon hallinta 5) tunnistuspalvelun tarjonnan suunnittelu ja ohjaus tietoturvavaatimusten täyttämiseksi 6 suunnittelu 7 tukitoiminnot 8 toiminta 6) tietoturvallisuuden hallinnan tehok- 9.1 seuranta, mittaus, analysointi,

35 MPS (87) kuuden ja toimivuuden arviointi arviointi - eli miten hyvin tietoturvallisuuden hallinta tehoaa/vaikuttaa niihin tekijöihin, prosesseihin ja ongelmiin, jotka vaikuttavat tunnistusjärjestelmän tietoturvallisuuteen 5 Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet Tunnistusjärjestelmä on suunniteltava, toteutettava ja ylläpidettävä siten, että huomioidaan järjestelmän 1) tietoliikenneturvallisuus a) verkon rakenteellinen turvallisuus b) tietoliikenneverkon vyöhykkeistäminen c) suodatussäännöt vähimpien oikeuksien periaatteilla d) suodatuksen ja valvontajärjestelmien hallinnointi koko elinkaaren ajan e) hallintayhteydet 2) tietojärjestelmäturvallisuus a) pääsyoikeuksien hallinta b) järjestelmien käyttäjien tunnistaminen c) järjestelmien koventaminen d) haittaohjelmasuojaus e) turvallisuuteen liittyvien tapahtumien jäljitys f) poikkeamien havainnointikyky ja toipuminen g) kansainvälisesti tai kansallisesti suositellut salausratkaisut muutoin kuin 7 :ssä säädetyltä osin 3) käyttöturvallisuus a) muutosten hallinta b) salassa pidettävän aineiston käsittely-ympäristö c) etäkäyttö ja -hallinta d) ohjelmistohaavoittuvuuksien hallinta e) varmuuskopiointi Tuotantoverkko ja sen edellä 1 momentin 1) e) ja 3) c) alakohdissa tarkoitetut hallintayhteydet ja etäkäyttö- ja etähallinta on toteutettava siten, että organisaation muiden palveluiden kuten sähköpostin tai web-selailun kautta aiheutuvat tietoturvauhat, sekä hallinnassa käytettävän päätelaitteen muiden kuin hallinnassa välttämättömien toimintojen aiheuttamat tietoturvauhat on a) korotetulla varmuustasolla erityisesti arvioitu ja minimoitu ja b) korkealla varmuustasolla kokonaisuutena arvioiden estetty. 5.1 Perustelut Pykälässä tarkennetaan tietoturvallisuuden toteuttamisessa tarvittavia toimenpiteitä. Vaatimuksista säädetään yleisellä tasolla tunnistusja luottamuspalvelulain 8.1 :n 4 alakohdassa, jossa viitataan EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa edellytetään korotetulla varmuustasolla todentamismekanismille tietoturvatoimenpiteitä vakavuusasteeltaan kohtuullisten tietoturvauhkien (arvaaminen, salakuuntelu, toisto, manipulointi) estämiseksi. Kohdassa säädetään toimenpiteistä tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi, sähköisen viestinnän kanavien suojaamisesta salakuuntelua, manipulointia ja toistoa vastaan, salaustekni-

36 MPS (87) 5.2 Soveltaminen sen aineiston suojaamisesta, valmiudesta reagoida riskin muutoksiin, poikkeamiin ja tietoturvaloukkauksiin sekä laitteiden ja välineiden tietoturvallisuudesta. Pykälän 1 momentin tietoliikenne-, tietojärjestelmä- ja käyttöturvallisuus turvaavat säädännössä vaaditun tietoturvallisuuden toteutumista. Pykälän 2 momentissa tarkennetaan 1 momentin yleisiä vaatimuksia hallintayhteyksien ja myös niiden etäkäytön osalta. Työntekijöiden päätelaitteet, joilla nämä pääsevät hallintajärjestelmiin, voivat helposti muodostua tietoturvariskiksi, ellei asiaan kiinnitetä erityistä huomiota. Jos päätelaitteella on käytössä esimerkiksi sähköpostiohjelmisto tai muita vastaavia ohjelmistoja, sen saastumisen riski haittaohjelman takia on todellinen ja tämä altistaa myös tunnistusjärjestelmän hallinnan. Käytettävyys- ja käytännöllisyyssyyt toisaalta puoltavat sitä, että työntekijä voi hoitaa kaikkia työtehtäviään samalla päätelaitteella. Siksi korotetulla varmuustasolla edellytetään vain sitä, että tehdään huolellinen riskiarvio ja luonnollisesti huolehditaan erilaisilla toimenpiteillä siitä, että päätelaitteen saastumisen riski on hallittavissa. Korkealla varmuustasolla edellytetään, että hallintaverkkoon pääsee vain päätelaitteella, josta on poistettu kaikki hallintaverkon hallinnan kannalta tarpeettomat yhteydet ja toiminnot. 1 momentin 1 e alakohdan hallintayhteydet voivat olla sekä organisaation sisäisiä että ulkoisia tietoliikenneyhteyksiä. 1 momentin 2 b alakohdan käyttäjien tunnistaminen tarkoittaa käytännössä sitä, että käyttäjätunnusten täytyy olla henkilökohtaisia, eivätkä ne voi olla yhteiskäyttöisiä. 1 momentin 2 g alakohdassa tarkoitettuja salausratkaisuja löytyy esimerkiksi seuraavista lähteistä: - ENISA [16], - n kyberturvallisuuskeskuksen NCSA:n (National Communications Security Authority, NCSA-FI) tuottama aineisto [17], - NISTin (National Institute of Standards and Technology) FIPSstandardit (Federal Information Processing Standards) [18] tai - SANS (The SANS Institute) [19]. 2 momentin kannalta internetiä ja toimistoverkkoa pidetään ei-luotettuna verkkona, ellei toimistoverkko kuulu vaatimustenmukaisuuden arvioinnin piiriin. Tiedonsiirtokanavan täytyy siis olla etäkäytössä suojattu ja toimistoverkon aiheuttamat riskit täytyy huomioida. Korotetun varmuustason vaa-

37 MPS (87) timukset ovat tavanomaisia ja ne katetaan jo esimerkiksi ISO vaatimusten kautta, jos sovelletaan sitä. Korkealla varmuustasolla 2 momentin vaatimukset voi toteuttaa ainakin siten, että etäkäytössä olevasta työasemasta estetään pääsy muihin organisaation palveluihin kuten sähköpostiin ja poistetaan työasemasta mahdollisuus käyttää muita kuin hallintaverkon käytön kannalta välttämättömiä toimintoja. Käytännössä tämä tarkoittaa siis erillistä työasemaa hallintakäyttöä varten. Korkealla varmuustasolla edellytetty kokonaisarvio tarkoittaa sitä, että jos käytettään muuta kuin edellä kuvattua kovennettua työasemaa, otetaan toteutuksessa huomioon tuotantojärjestelmän eriyttäminen ja muut järjestelyt, joilla tietoturvauhkat voidaan hallita. Lähtökohtaisesti tällöin edellytetään virtualisoitua terminointia tai kvm-periaatteeseen (etätyöpöytä) perustuvaa ratkaisua. Olennaista on, mitä tehdään sillä päätelaitteella, josta virtualisoitua yhteyttä otetaan ja siten esimerkiksi two-factor VPN-yhteys virtualisoituun työasemaan ei yksin riitä ratkaisuksi. Riittävää ei ole myöskään, että käytetään virustorjuntaa ja web-proxya. Välttämättömien tiedostojen siirrossa koneelta toiselle on myös huomioitava haittaohjelmien riski mm. pitämällä huolta siitä, että käytetään vain luotettavia lähteitä ja varmistetaan tietoturvallisuus (eheys) kaikilla tarpeellisilla menetelmillä. 6 Tunnistusmenetelmän tietoturvavaatimukset 6.1 Perustelut Tunnistusvälinettä ei saa yhdistää hakijaan ennen hakijan ensitunnistamista tai tunnistusvälineen myöntämisprosessissa on muutoin varmistettava, että tunnistusväline ei ole käytettävissä ennen kuin tunnistusja luottamuspalvelulain 17 :n mukainen ensitunnistaminen on tehty. Palveluntarjoajan on varmistettava, etteivät tunnistusvälineeseen liittyvät salaiset tiedot paljastu sen henkilöstölle missään tilanteessa. Palveluntarjoaja ei saa kopioida tunnistusvälineeseen liittyviä salaisia tietoja. Pykälän vaatimuksilla tarkennetaan eräitä tunnistusvälineen luomiseen ja myöntämiseen liittyviä yksityiskohtia, joihin on liittynyt soveltamiskysymyksiä. Ne koskevat yksittäisiä, lähinnä tunnistusvälineen myöntämiseen liittyviä menettelyjä, joilla turvataan sitä, että väline on ainoastaan sen oikean haltijan käytettävissä. Tunnistusmenetelmän ja -järjestelmän turvallisuudesta säädetään laajemmin tunnistusja luottamuspalvelulain 8 ja 8 a :issä. Vastaavat vaatimukset ovat muutoin olleet voimassa myös aikaisemmassa määräyksessä 8, mutta 1 momentin vaatimusta on joustavoitettu aikaisempaan nähden siten, että se sallii erilaiset prosessit tunnistusvälineen myöntämisessä.

38 MPS (87) 6.2 Soveltaminen Pykälän 2 momentin mukaan on varmistettava, etteivät tunnistusvälineeseen liittyvät salaiset tiedot paljastu palveluntarjoajan henkilöstölle missään tilanteessa. Vaatimus on ollut aikaisemmassa määräyksessä ja säilytetään myös tässä määräyksessä, koska myöntämiskäytännössä on edelleen tullut vastaan tilanteita, joissa salaiset tiedot kuten PIN-koodi voivat myöntämisprosessissa tulla palveluntarjoajan henkilökunnan tietoon. Pykälän 3 momentin vaatimuksella turvataan sitä, että salaiset tiedot ovat ainoastaan tunnistusvälineen hakijan (haltijan) tiedossa tai käytettävissä. Tällä varmistetaan se, ettei kukaan muu voi käyttää tunnistusvälinettä. Pykälän 1 momentin vaatimus tarkoittaa sitä, että tunnistusvälineitä ei voida lähtökohtaisesti luoda ikään kuin varastoon odottamaan mahdollisia asiakkaita siten, että henkilötiedot on liitetty tunnistusvälineeseen. Ensitunnistaminen täytyy siis lähtökohtaisesti tehdä ennen kuin henkilötiedot yhdistetään tunnistusvälineeseen. 1 momentissa mahdollistetaan myös sellainen prosessi, jossa henkilötiedot yhdistetään haettuun välineeseen jos ennen kuin tunnistusja luottamuspalvelulain 17 :n mukainen ensitunnistaminen tehdään. Tälle voi olla tarvetta esimerkiksi, jos ensitunnistaminen tehdään henkilökohtaisella käynnillä ja halutaan järjestää myöntämisprosessi yhdellä käynnillä. Tällaisia tarpeita on perustellusti esimerkiksi Väestörekisterikeskuksen ulkomailla oleville henkilöille myöntämien tunnistusvarmenteiden tuottamisessa. Jos henkilötiedot yhdistetään tunnistusvälineeseen ennen ensitunnistamista, on muussa haku- ja myöntämisprosessissa käytettävä sellaisia järjestelyjä, että riski virheellisesti luoduista (väärillä henkilötiedoilla tai ilman aikomusta hakea tunnistusvälinettä) tunnistusvälineistä ja riski tunnistusvälineen päätymisestä käyttöön ennen ensitunnistamista on huomioitu. Näitä riskejä voi vähentää esimerkiksi tekemällä VTJ-tarkistuksen ennen henkilötietojen yhdistämistä välineeseen, estämällä teknisesti tunnistusvälineiden käytön ennen ensitunnistamista ja tarkistamalla, että haetut ja tilatut tunnistusvälineet vastaavat toimitettuja tunnistusvälineitä. suosittelee ensisijaisena suojakeinona sitä, että estetään tunnistusvälineen käyttö teknisesti esimerkiksi sulkulistan avulla, kunnes sen myöntämisen ja toimittamisen edellytykset on kokonaan täytetty. Peruutettua varmennetta ei saa säädännön perusteella palauttaa käyttöön, mutta tämä kielto ei estä järjestelyä, jossa vasta vireillä oleva varmenteen käyttö on teknisesti estetty ja varmenne aktivoidaan käyttöön hakijan ensitunnistamisen jälkeen. Tunnistusvälineen luovuttamisesta hakijalle säädetään tarkemmin tunnistusja luottamuspalvelulain 21 :ssä. EU:n varmuustasoasetuksen kohdan mukaan korkean varmuustason tunnistusvälineiltä edellytetään lisäksi erillistä aktivointiprosessia.

39 MPS (87) Lisäksi prosessissa täytyy luonnollisesti pitää huolta siitä, että ensitunnistaminen liittyy tunnistusvälineen myöntämiseen ja käyttäjä on tästä tietoinen. Samassa yhteydessä voidaan toki tarjota muitakin palveluita kuten matkaviestinliittymä ja tunnistaa henkilö myös niitä varten. Pykälän 2 momentissa tarkoitettuja salaisia tietoja ovat ainakin tunnistusvälineeseen liittyvä yksityinen avain ja sen käyttöön tarvittava PIN-koodi. Pykälän 3 momentin vaatimus tarkoittaa käytännössä sitä, että esimerkiksi tunnistusvälineeseen liittyvä PIN-koodi ei saa paljastua missään vaiheessa rekisteröintipisteen henkilöstölle, eikä sitä voi välittää sellaisten tietojärjestelmien kautta, joihin siitä jää kopio, kuten sähköpostitse. 7 Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Tunnistuspalveluntarjoajien välisten ja tunnistuspalveluntarjoajan ja asiointipalvelun välisten rajapintojen liikenne on salattava. Salauksessa, avaintenvaihdossa sekä salaukseen liittyvässä allekirjoituksessa on noudatettava seuraavia menetelmiä: 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE -menetelmiä tai elliptisiä käyriä käyttäviä ECDHE -menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHE -menetelmässä vähintään 2048 bittiä ja ECDHE -menetelmässä vähintään 224 bittiä. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulee olla vähintään 2048 bittiä. Käytettäessä elliptisen käyrän menetelmää ECDSA:ta alla olevan kunnan koon tulee olla vähintään 224 bittiä. 3) Symmetrinen salaus: Salausalgoritmin on oltava AES tai Serpent. Avaimen pituuden tulee olla vähintään 128 bittiä. Salausmoodin on oltava CBC, GCM, XTS tai CTR. 4) Tiivistefunktiot: Tiivistefunktion on oltava SHA-2, SHA-3 tai Whirlpool. SHA-2:lla tarkoitetaan funktioita SHA224, SHA256, SHA384 ja SHA512. Salausasetukset tulee teknisesti pakottaa edellä lueteltuihin vähimmäis-tasoihin, jotta yhteyskättelyissä ei päädyttäisi vähimmäistasoja heikompiin asetuksiin. Mikäli yhteyskäytännössä käytetään TLS-protokollaa, tulee käyttää vähintään TLS versiota 1.2 tai uudempaa versiota. TLS versiota 1.1 voi käyttää ainoastaan, jos käyttäjän päätelaite ei tue uudempia versioita. Henkilötietoja sisältävien sanomien eheys ja luottamuksellisuus on suojattava edellä 1 momentissa tarkoitetun liikenteen salauksen lisäksi sanomatasolla 1 momentin mukaisesti. Tunnistusjärjestelmässä säilytettävien tietojen eheydestä ja luottamuksellisuudesta on huolehdittava. Jos tiedon suojaaminen perustuu ainoastaan niiden salaukseen, sovelletaan edellä 1 momentissa allekirjoittamisen, symmetrisen salaamisen ja tiivistefunktioiden vaatimuksia. 7.1 Perustelut ja soveltaminen Pykälässä määrätään salauksen vähimmäisvaatimukset, joita on sovellettava tunnistuspalveluntarjoajien välillä ja tarvittaessa myös tiedon säilyttämisessä tunnistusjärjestelmässä. Vaatimukset liittyvät tiedon salaamiseen sekä tietoa säilytettäessä että siirrettäessä. Salausvaatimuksilla halutaan turvata tunnistustapahtumien ja -lokien eheys ja luottamuksellisuus.

40 MPS (87) Vaatimukset vaikuttavat myös asiointipalvelu- ja käyttäjärajapinnassa, mitä käsitellään 9 pykälässä. Vaatimukset vastaavat sitä, mitä eidas-sääntelyssä edellytetään kansallisten solmupisteiden välillä dokumentissa eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML [20]. Pykälässä käytettyjä lyhenteitä: AES = Advanced Encryption Standard (symmetrinen salausmenetelmä) DH = Diffie-Hellman (avaintenvaihtoprotokolla) DHE = DH ephemeral-avaimilla ECDH = Elliptic Curve Diffie-Hellman (avaintenvaihtoprotokolla) ECDHE = ECDH ephemeral-avaimilla ECDSA = Elliptic Curve Digital Signature Algorithm (allekirjoitusmenetelmä) RSA = Rivest-Shamir-Adleman (epäsymmetrinen salaus- ja allekirjoitusmenetelmä) SHA = Secure Hash Algorithm (tiivistefunktio) (SSL/)TLS = Transport Layer Security (salausprotokolla) Pykälän 1 momentissa määrätään tietoliikenteen salauksesta. Vaatimukset koskevat tietoliikennettä erityisesti silloin kun tietoliikenne kulkee suojatun fyysisen tilan ulkopuolella. Niitä sovelletaan myös, kun tietoa siirretään alihankkijalle. Momentin alakohdat ja niiden järjestys perustuu tyypilliseen kryptografian suunnittelujärjestykseen ja vaatimuksiin. Pykälän 1 momentissa vaaditut arvot on otettu n NCSA:n suosituksesta [17], joka on laadittu salaustuoteratkaisujen turvallisuuden arviointia varten niissä tilanteissa, joissa tietoa siirretään ei-luotetussa verkossa. Ei-luotetulla verkolla tarkoitetaan suosituksessa internetiä tai toimistoverkkoa tai muuta verkkoa, jonka tietoturvallisuutta ei ole kattavasti arvioitu. Pykälän 1 momentin 1 alakohdan avaintenvaihdolla tarkoitetaan menetelmiä, jotka itsessään kuuluvat esim. TLS-protokollaan. Määräyksessä määritellään tarkemmin avaintenvaihdossa käytettävät salausmenetelmät. Määrätyt avaintenvaihdon vaatimukset voi täyttää käyttämällä IANAn (Internet Assigned Numbers Authority) IKEv2-määritysten mukaisia DH-ryhmiä 14-21, 23, 24 ja 26 [21]. Pykälän 1 momentin 2 alakohdan perusteena on se, että RSA on NCSA:n arvioima ja suosittelema standardi ja ECDSA tarjoaa vastaavan luotettavuustason. Muita vaihtoehtoja ei n arvion mukaan käytännössä ole tarjolla. Pykälän 1 momentin 3 alakohdassa on hyvä huomata, että 3DES on jätetty pois luettelosta. Se on poistettu suosituksista kesällä Pykälän 2 momentin vaatimus salausasetusten teknisestä pakottamisesta tarkoittaa sitä, että järjestelmiä konfiguroitaessa ei saa sallia heikompia

41 MPS (87) oletusarvoja tai sallia sitä, että järjestelmä voisi ohittaa vaatimukset. Ohjelmistojen ja laitteiden oletustoiminnot perustuvat usein toimivuuden tukemiseen joustavasti mahdollisimman monilla vaihtoehtoisilla määrityksillä, mutta tunnistusjärjestelmän salauksissa asetuksissa on estettävä heikompi salaus. Pykälän 3 momentissa käsitellään tietoliikenneprotokollan vaatimuksia. Määräystä valmisteltaessa pykäläluonnoksissa mainittiin SSL/TLS, IPsec ja SSH. Määräykseen on jätetty ainoastaan TLS, koska se on vallitseva protokolla. Jos toimija käyttää eheyden ja luottamuksellisuuden varmistamiseen muuta kuin TLS-protokollaa, toteutuksen on tarjottava vastaava kryptografinen vahvuustaso. Määräyksessä vaaditaan pääsääntönä TLS:n versio 1.2 tai uudemman käyttämistä, koska ne ovat tietoturvallisempia kuin sitä vanhemmat versiot. Versiota 1.1 saa käyttää vain, jos käyttäjän päätelaite ei tue uudempaa versiota. Vanhempia versioita ei saa käyttää. Määräyksessä sallitaan TLS 1.1 käyttö poikkeuksena pääsääntöön siksi, että mobiilipäätelaitteet eivät vielä kattavasti tue versiota 1.2, vaikka yleisesti ottaen selaimet ovat tukeneet 1.2 -versiota jo vuodesta TLS:ää käytettäessä 1 momentin vaatimukset täyttäviä ciphersuiteja ovat mm. seuraavat [21]: - TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 Jotta salausvaatimukset käytännössä järjestelmässä täyttyvät, on ciphersuiten määrittämisen lisäksi TLS-konfiguraatiossa varmistettava myös mm. DH-parametrien ja epäsymmetristen avainten ja varmenteiden riittävästä vahvuudesta. Pykälän 4 momentin mukaan sen lisäksi, että tietoliikenneyhteys on salattu 1 momentin mukaisesti, henkilötietoja sisältävät sanomat on salattava. Vastaava vaatimus koskee sanomia kansallisten solmupisteiden välisessä liikenteessä. Salausvahvuuden on täytettävä 1 momentin vaatimukset. Sanomatason salausvaatimus koskee liikennettä, säilytettävästä tiedosta säädetään 5 momentissa. Pykälän 5 momentti koskee tunnistusjärjestelmässä säilytettäviä tietoja. Tietojen luokittelua ei käsitellä tarkemmin tässä pykälässä. Toimijan on luokiteltava tiedot hyvien tietoturvallisuuskäytäntöjen mukaisesti ja yleisesti ottaen henkilötietojen lisäksi esimerkiksi tunnistusjärjestelmän hallintaan liittyvien salaisten tietojen eheys ja luottamuksellisuus on erityisesti suojattava.

42 MPS (87) Jos suojattavia tietoja säilytetään järjestelmissä siten, että niiden luottamuksellisuutta ja/tai eheyttä suojataan ainoastaan tai pääasiassa kryptografisin menetelmin, on käytettävä 1 momentissa määriteltyjä menetelmiä lukuun ottamatta avaintenvaihdon vaatimuksia. Ne eivät sovellu, koska levysalauksessa ei tyypillisesti käytetä avaintenvaihtoa. Vaihtoehtoisesti voidaan hyödyntää esimerkiksi huolellista pääsynhallintaa. 7.2 suositus korkean varmuustason salauksesta Korkealla varmuustasolla tunnistusjärjestelmässä suositellaan sovellettavaksi määräyksessä 7 :n 1 momentissa edellytettyjen korotetun varmuustason vaatimusten sijaan seuraavassa esitettyjä suluissa olevia arvoja: 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE-menetelmiä tai elliptisiä käyriä käyttäviä ECDHE-menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHEmenetelmässä vähintään 2048 (korkealla varmuustasolla 3072) bittiä ja ECDHE-menetelmässä vähintään 224 (korkealla varmuustasolla 256) bittiä. IANA:n IKEv2-määritysten mukaiset DH-ryhmät 14-21, 23, 24 ja 26 (korkealla varmuustasolla 15-21) toteuttavat edellä mainitut edellytykset. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulee olla vähintään 2048 (korkealla varmuustasolla 3072) bittiä. Käytettäessä elliptisen käyrän menetelmää ECD- SA:ta, alla olevan kunnan koon tulee olla vähintään 224 (korkealla varmuustasolla 256) bittiä. 3) Symmetrinen salaus: Salausalgoritmin on oltava AES tai Serpent (korkealla varmuustasolla AES tai Serpent). Avaimen pituuden tulee olla vähintään 128 (korkealla varmuustasolla 128) bittiä. Salausmoodin on oltava CBC, GCM, XTS tai CTR. 4) Tiivistefunktiot: Tiivistefunktion on oltava SHA-2, SHA-3 tai Whirlpool. SHA-2:lla tarkoitetaan funktioita SHA224, SHA256, SHA384 ja SHA512 (korkealla varmuustasolla SHA256, SHA384, SHA512 ja SHA-3). 8 Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Salausmenetelmien tulee täyttää edellä 7 :n 1-4 momentissa määrätyt vaatimukset. Osapuolten tunnistamisessa ja tunnistamisessa tarvittavan tiedon välityksessä tulee käyttää metadataa tai vastaavia menettelyitä, jotka takaavat vastaavan tietoturvatason. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla.

43 MPS (87) 8.1 Perustelut Pykälän tarkoitus on selkeyttää sitä, että tunnistusvälineen ja tunnistusvälityksen tarjoajien välisissä rajapinnoissa on noudatettava määräyksen mukaisia salausvaatimuksia ja toimittava muutoinkin tietoturvallisesti. Salausmenetelmien vaatimusten perustelut on käsitelty edellä 7 :n kohdalla. Pykälän 2 momentin mukaan osapuolten tunnistamisessa ja tunnistamistiedon välityksessä täytyy käyttää metadataa tai vastaavia menettelyitä. Metadatan tarkoitus on kahdenvälisen luotetun, jollain varmenteella allekirjoitetun, "kättelytiedon" välittäminen luottamussuhdetta perustettaessa. SAML-protokollassa metadata sisältää esimerkiksi tunnistuspalveluntarjoajan (idp:n) pysyvän tai muuttuvan nimen ja varmenteen viestinnän salaamiseen ja allekirjoittamiseen. Open ID Connectissa metadatan toteutus on hieman erilainen, mutta perustarkoitus on sama. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla. Pelkkä siirtotien salaus ei siis riitä. Asiaa käsitellään vaikutusarvioinnin (ks. A osa) luvussa TUPAS-tarkastelun yhteydessä. 9 Tietoturvavaatimukset asiointipalvelurajapinnassa 9.1 Perustelut Tunnistusvälityspalvelun tarjoajan ja asiointipalvelun välisen rajapinnan tulee täyttää edellä 7 :n 1-4 momentissa määrätyt vaatimukset. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tulee huolehtia henkilötietojen luottamuksellisuudesta ja eheydestä asiointipalvelu- ja käyttäjärajapinnassa. Pykälän tarkoitus on selkeyttää sitä, että määräyksen vaatimukset vaikuttavat myös asiointipalvelu- ja käyttäjän päätelaiterajapintaan. Käyttäjän selain on asiointi- ja tunnistustapahtuman aikana yhteydessä asiointipalveluun, tunnistusvälitykseen ja tunnistusvälineen myöntäjään. Luotettavalla salauksella halutaan suojata henkilötietoja koko prosessissa. Salausmenetelmien vaatimusten perustelut on käsitelty edellä 7 :n kohdalla. Pykälän 1 momentti koskee tunnistusvälityspalvelun ja asiointipalvelun välistä rajapintaa. Toinen momentti koskee tunnistusvälineen tarjoajan, tunnistusvälityspalvelun ja asiointipalvelun käyttäjärajapintaa. Määräys ei koske asiointipalvelun ja käyttäjän välistä rajapintaa muutoin, mutta velvoittaa tunnistusvälineen ja tunnistusvälityspalvelun tarjoajan toteuttamaan tunnistuspalvelunsa siten, että henkilötietojen luottamuksellisuudesta huolehditaan käyttäjän päätelaiterajapinnassa. Pykälän 2 momentin vaatimus perustuu vaikutusarvioinnin (ks. A osa) luvussa kuvattuun henkilötunnuksen käsittelyn vaatimuksiin. Vaatimukseen liittyvää siirtymäaikaa TUPAS-protokollaa käytettäessä käsitellään 25 :n kohdalla. Vaatimuksen tarkoitus on estää se, että henkilötunnus tai

44 MPS (87) muut henkilötiedot välitetään päätelaiterajapinnassa siten, että ne voivat tallentua selkokielisinä esimerkiksi päätelaitteen selailuhistoriaan. 10 Tietoturvavaatimukset kansallisen solmupisteen rajapinnassa 10.1 Perustelut Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välisen rajapinnan tulee täyttää edellä 7 :n 1-4 momentissa määrätyt vaatimukset. Kansallisella solmupisteellä tarkoitetaan EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvää kansallista rajapintaa. Tunnistus- ja luottamuspalvelulain mukaan solmupistettä ylläpitää Väestörekisterikeskus. eidas-asetuksen mukainen, rajat ylittävä tunnistaminen notifioiduilla tunnistusvälineillä toteutetaan kansallisten solmupisteiden välityksellä. Tässä pykälässä säädetään siitä, että luottamusverkoston ja kansallisen solmupisteen välillä täytyy noudattaa samoja salausvaatimuksia kuin muissakin luottamusverkoston sisä- tai ulkorajapinnoissa. Kansallisten solmupisteiden välisten rajapintojen vaatimukset määritellään asiakirjassa eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML, Version 1.0, 6 November 2015 [20]. 11 Tunnistuspalveluntarjoajan häiriöilmoitukset lle 11.1 Perustelut lle tunnistusja luottamuspalvelulain 16 :n mukaisesti tehtävässä merkittävää uhkaa tai häiriötä koskevassa ilmoituksessa on annettava vähintään seuraavat tiedot: 1) tunnistusväline tai välityspalvelu, johon häiriö vaikuttaa; 2) kuvaus häiriöstä ja sen tiedossa olevista syistä; 3) kuvaus häiriön vaikutuksista, mukaan lukien vaikutus uusien tunnistusvälineiden myöntämiseen, käyttäjiin, luottaviin osapuoliin, muihin luottamusverkoston toimijoihin ja rajat ylittävään käyttöön; 4) kuvaus korjaustoimenpiteistä; sekä 5) kuvaus häiriöstä tiedottamisesta luottaville osapuolille, tunnistusvälineiden haltijoille, luottamusverkostolle ja tieto ilmoittamisesta muille viranomaisille. Häiriön merkittävyyden arvioinnissa merkittävyyttä lisää se, että häiriö liittyy sähköisen henkilöllisyyden virheellisyyteen tai väärinkäyttöön tai tietoturvauhkaan tai -häiriöön, joka vaarantaa tunnistamisen eheyden ja luotettavuuden. Merkittävyyttä lisää myös se, että häiriöllä on vaikutuksia luottamusverkostoon. Pykälän 1 momentissa säädetään niistä tiedoista, jotka tunnistusvälineen tai tunnistusvälityspalvelun tarjoajan on annettava lle tehtävässä häiriöilmoituksessa. Ilmoituksessa edellytetään häiriökuvauksen lisäksi tietoa vaikutuksista eri tahoihin. Ilmoituksen tarkoitus on tukea n tilannekuvaa tunnistuspalveluiden luotettavuudesta, uhkista ja häiriötilanteista. Tiedon perusteella arvioi, onko vaatimuksia noudatettu ja onko tilanteesta tarvetta tiedottaa laajemmin kuin palveluntarjoaja on tehnyt. voi myös tarjota tietoa tilanteesta toipumiseksi, jos sellaista on käytettävissä.

45 MPS (87) 11.2 Soveltaminen Ilmoitus täytyy lain 16 :n mukaan tehdä ilman aiheetonta viivästystä. Koska täydellisiä tietoja häiriöstä ei aina ole käytettävissä siinä vaiheessa, kun häiriö havaitaan ja sitä ryhdytään korjaamaan, ensi vaiheessa voi ilmoittaa tiedossa olevat seikat ja ilmoitusta voi täydentää myöhemmin. Määräyksessä ei määritellä ilmoituksen toimitusajankohtaa, mutta mitä vakavampi häiriö on, sitä nopeammin lle tulisi ilmoittaa. Ilmoituksesta tulisi käydä ilmi häiriön tapahtumisen ja havaitsemisen ajankohta ja kesto, jos se on tiedossa. Häiriön teknisestä tapahtumakuvauksesta tulisi käydä ilmi, mihin osaan tunnistusjärjestelmästä häiriö on vaikuttanut, havainnot tapahtumien etenemisestä, kuvaus mahdollisista toisten palveluntarjoajien osallisuudesta tapahtumiin ja tiedot tapahtuman aiheuttajasta. Ilmoituksesta tulisi käydä ilmi häiriön pohjasyy eli onko häiriö syy inhimillinen virhe, järjestelmä- tai ohjelmistovirhe, laiterikko, hyökkäys tai muu ulkoinen uhka tai luonnonilmiö. Jos häiriö on johtunut tietoturvauhasta, ilmoituksesta tulisi käydä ilmi, onko kyseessä esimerkiksi palvelunestohyökkäys, haittaohjelma, tietomurto tai luvaton käyttö, liikenteen muuttaminen tai väärentäminen tai muu vastaava. Häiriön ja sen vaikutusten kuvauksesta täytyy käydä ilmi mm., onko häiriö vaikuttanut tietojen luottamuksellisuuteen, eheyteen tai käytettävyyteen ja ovatko henkilötiedot vaarantuneet. Ilmoituksessa tulisi myös kertoa, millaiseen määrään käyttäjiä ja asiointipalveluita häiriö on vaikuttanut. Ilmoituksessa on hyvä kertoa, jos on tiedossa, että häiriö on vaikuttanut yhteiskunnan kannalta keskeiseen tai kriittiseen palveluun tai toimintoon. Edelleen ilmoituksesta täytyy käydä ilmi lyhyen ja pitkän tähtäimen korjaustoimenpiteet, joihin on ryhdytty tai aiotaan ryhtyä häiriön vaikutusten poistamiseksi, lieventämiseksi ja vastaavien häiriöiden ennalta ehkäisemiseksi. Ilmoituksesta täytyy käydä ilmi, miten asiointipalveluille, käyttäjille ja muille luottamusverkostoon kuuluville tunnistusvälineen ja tunnistusvälityspalvelun tarjoajille on tiedotettu häiriöstä. Tiedotuskynnys ja tiedottamisen sisältö ja ajankohta eri osapuolille voi luonnollisesti vaihdella. Tiedottamisessa täytyy tiedon saajan mahdollisuus ja tarve suojautua häiriön vaikutuksilta ja häiriön vaikutusten minimointi. Luottamusverkoston sisällä välitetyn häiriötiedon käytölle on säädetty lain 16.4 :ssä erityisiä rajoituksia, joiden tarkoitus on madaltaa tiedottamisen kynnystä tunnistuspalveluntarjoajien välillä. Pykälän 2 momentissa määritellään yleisellä tasolla niitä tekijöitä, jotka ovat olennaisia häiriön merkittävyyden eli ilmoituskynnyksen kannalta. Tällaisia merkittäviä häiriöitä ovat muun muassa:

46 MPS (87) - tunnistusvälineen myöntäminen väärälle henkilölle - sellaiset sulkulistojen toimivuuteen liittyvät häiriöt, joissa ajantasaista sulkulistaa ei ole saatavilla - tunkeutumiset palveluntarjoajan järjestelmiin - tunnistusvälineen tarjoajan varmenteiden allekirjoitusavaimien paljastumiset - tunnistusvälineiden vakavat väärinkäytökset kuten tapaukset, jotka liittyvät tunnusten ketjuttamiseen - vakavat sisäiset väärinkäytökset. Sähköisen henkilöllisyyden virheitä tai väärinkäytöksiä pidetään merkittävinä hyvin matalalla kynnyksellä, samoin esimerkiksi haavoittuvuuksia tai virheitä, jotka vaarantavat tunnistamistiedon oikeellisuuden. Sen sijaan käytettävyys- tai laatuongelmien ilmoituskynnys on lähtökohtaisesti korkeampi ja niiden merkittävyyttä lisää lähinnä se, että ongelma vaikuttaa muihin luottamusverkoston toimijoihin. n verkkosivuilla on lomake, jolla tiedot häiriötilanteesta voi ilmoittaa. Ilmoituksen toimittamisen käytännöistä ohjeistetaan sen yhteydessä. Yleisesti arvioi, että häiriöilmoituksia tulisi tehdä viranomaiselle matalammalla kynnyksellä kuin tähän asti on tehty, sillä toimijoiden menettelyissä on tässä suhteessa paljon eroja. Tunnistuspalveluiden häiriöilmoitusvaatimukset pyritään laatimaan mahdollisimman yhdenmukaisiksi niiden ohjeiden kanssa, joita ENISA laatii luottamuspalveluiden häiriöistä ilmoittamista varten [22]. Tietojen luottamuksellisuus lle tehdyssä ilmoituksessa annettuja tietoja käsitellään viranomaisen toiminnan julkisuudesta annetun lain (621/1999) mukaisesti ja tietoa luovutetaan ulkopuolisille tai luottamusverkoston jäsenille vain lain sallimilla edellytyksillä Toimijoiden väliset ilmoitukset Tunnistus- ja luottamuspalvelulaissa säädetään myös toimijoiden välisen ilmoittamisen velvollisuudesta sopimuspuolilleen eli mahdollisesti vain osalle luottamusverkoston jäsenistä. Laissa säädetään myös n mahdollisuudesta teknisesti välittää toimijoiden välisiä ilmoituksia. Tällä hetkellä lla ei kuitenkaan ole järjestelmää, jolla olisi mahdollista ilman erityistä teknistä kehitystyötä välittää tietoa automaattisesti toimijoiden välillä salattuna ja siten, että tieto välittyisi vain osalle luottamusverkostosta. Luku 3 Tietojen välittäminen luottamusverkostossa Tässä luvussa käsitellään luottamusverkostoon yhteentoimivuusvaatimuksia ja välitettäviä vähimmäistietoja.

47 MPS (87) 12 Luottamusverkostossa välitettävät vähimmäistiedot Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä 1) luonnollista henkilöä koskevassa tunnistustapahtumassa ainakin henkilön yksilöivä tunniste, henkilön etunimi, henkilön sukunimi ja henkilön syntymäaika 2) oikeushenkilöä koskevassa tunnistustapahtumassa ainakin oikeus-henkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation yksilöivä tunniste, 3) tieto tunnistusvälineen korotetusta tai korkeasta varmuustasosta. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on oltava valmius välittää 1) tieto siitä, koskeeko tunnistustapahtuma julkisen hallinnon vai yksityistä asiointipalvelua; 2) luonnollista henkilöä koskevassa tunnistustapahtumassa etunimi (-nimet) ja sukunimi (-nimet) syntymähetkellä, syntymäpaikka, nykyinen osoite ja sukupuoli; 3) oikeushenkilöä koskevassa tunnistustapahtumassa a) nykyinen osoite; b) arvonlisäverotunniste; c) verorekisterinumero; d) Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY 1 3 artiklan 1 kohdassa tarkoitettu tunniste; e) komission täytäntöönpanoasetuksessa (EU) N:o 1247/ tarkoitettu oikeushenkilötunnus (LEI); f) komission täytäntöönpanoasetuksessa (EU) N:o 1352/ tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero); sekä g) neuvoston asetuksen N:o 389/ artiklan 12 kohdassa tarkoitettu valmisteveronumero Perustelut ja soveltaminen Pykälässä määritellään tiedot eli attribuutit, joita tunnistustapahtumassa täytyy välittää tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun välillä tai joiden välittämiseen täytyy olla valmius. Attribuutit vastaavat EU:n komission yhteentoimivuusasetuksessa (EU) 2015/1501 [23] määriteltyjä pakollisia ja valinnaisia tietoja. Pykälän tarkoitus on turvata se, että tunnistusvälineen ja tunnistusvälityspalvelun tarjoajat pystyvät sopimaan sujuvasti tunnistustapahtumien välityksestä tarvitsematta määritellä attribuutteja erikseen jokaisessa sopimussuhteessa. Tarkoitus on myös varmistaa se, että kotimaisia tunnistusvälineitä voidaan käyttää rajat ylittävässä asioinnissa, jos tunnistusvälineitä notifioidaan EU:lle. Pykälän 2 momentissa määrättyjen oikeushenkilön valinnaisten tietojen käyttökelpoisuutta ei ole määräyksen valmistelussa arvioitu yksityiskohtaisesti. Oikeushenkilöiden sähköisten tunnistusvälineiden kysyntä ja tarjonnan syntyminen ylipäätään jää nähtäväksi. Jos oikeushenkilön tunnistusvä- 1 Euroopan parlamentin ja neuvoston direktiivi 2009/101/EY, annettu 16 päivänä syyskuuta 2009, niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi (EUVL L 258, , s. 11). 2 Komission täytäntöönpanoasetus (EU) N:o 1247/2012, annettu 19 päivänä joulukuuta 2012, kauppatietorekistereihin OTC- johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 mukaisesti annettavien kauppailmoitusten muotoa ja antamistiheyttä koskevista teknisistä täytäntöönpanostandardeista (EUVL L 352, , s. 20). 3 Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, , s. 10). 4 Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, , s. 1).

48 MPS (87) lineitä ryhdytään myöntämään, on kuitenkin oletettavaa, että eidassääntelyssä listatuilla tunnistetiedoilla on merkitystä kyseisten alojen rajat ylittävässä asioinnissa. Pakolliset tiedot Pykälän 1 momentissa määrätään ne tunnistetiedot, jotka tunnistusvälineen tarjoajan on välitettävä tunnistustapahtumassa tunnistusvälityspalvelulle. Luonnollisen henkilön tunnistustapahtumassa tulee välittää henkilön yksilöivä tunniste, joka on joko henkilötunnus (HETU) tai henkilön sähköinen asiointitunnus (SATU) säädösten sen salliessa. Osapuolet sopivat käytettävästä yksilöivästä tunnisteesta keskenään. Lisäksi tunnistetietoihin sisältyvät henkilön etu- ja sukunimi ja syntymäaika. Oikeushenkilön tunnistustapahtumassa tulee välittää ainakin oikeushenkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation tunniste. Kansallisessa luottamusverkostossa käytettävän tunnistusvälineen varmuustaso voi olla eidas-asetuksen määrittelemä korotettu tai korkea. Tieto välineen varmuustasosta tulee välittää tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa. Valinnaiset tiedot Pykälän 2 momentissa lueteltuja tietoja varten täytyy määritellä tietokentät käytettävään prokollaan, jotta tietojen välittäminen voidaan ottaa helposti käyttöön, jos niin sovitaan. Rajat ylittävässä tunnistamistapahtumassa rajapinnassa tulee tarvittaessa pystyä välittämään myös organisaation nimi ja yksilöivä tunniste.

49 MPS (87) 12.2 Luottamusverkoston rajapinnat Kuva 1. Luottamusverkoston rajapinnat Kuvassa on esitetty luottamusverkoston rakenne ja suhde ulkoisiin palveluihin, kuten asiointipalveluihin. Luottamusverkostoon kuuluvat kuvassa katkoviivalla merkityt toimijat. Tässä määräyksessä säädetään vaatimuksia seuraaville rajapinnoille: - tunnistusvälineen tarjoaja - tunnistusvälityspalvelun tarjoaja (ks. tunnistusja luottamuspalvelulain 12 a ja valtioneuvoston luottamusverkostoasetuksen (169/2016) 1 2 kohta) - tunnistusvälityspalvelun tarjoaja - asiointipalvelu (ks. tunnistusja luottamuspalvelulain 12 a ja valtioneuvoston luottamusverkostoasetuksen 1 3 kohta) - tunnistusvälityspalvelun tarjoajan ja kansallisen eidas-solmupisteen välinen rajapinta (ks. tunnistusja luottamuspalvelulaki 30, eidasasetus 12 artikla ja komission täytäntöönpanoasetus (EU) 2015/1501 [23] 12.3 Luottamusverkoston rajapinnat, joista ei määrätä Tunnistusvälineiden tarjoajien välinen rajapinta (ensitunnistaminen) Tunnistusvälineiden tarjoajien välisellä rajapinnalla tarkoitetaan sähköisessä ensitunnistamisessa käytettävää rajapintaa. Muut tunnistusvälineiden tarjoajien väliset rajapinnat voidaan tulkita tunnistusvälineen tarjoajan ja

50 MPS (87) tunnistusvälityspalvelun tarjoajan väliseksi rajapinnaksi ja rajapintaa koskevat siten kyseisen rajapinnan vaatimukset. Sähköisen ensitunnistamisen rajapinta (SAML/TUPAS) on ollut käytössä jo useita vuosia, koska sähköinen ensitunnistaminen mahdollistettiin tunnistuslaissa (17 ) jo ennen luottamusverkostopykälän (12 a ) lisäämistä. Tästä syystä tässä vaiheessa ei nähdä tarkoituksenmukaiseksi lisätä sähköisen ensitunnistamisen rajapintaa koskevia vaatimuksia määräykseen. Pidemmän tähtäimen kehityksenä on kuitenkin tuotu esiin toivomus siitä, että rajapinnan kautta voitaisiin välittää tietoa ensitunnistamisesta (esim. mihin henkilökohtainen ensitunnistaminen on perustunut: passi, henkilökortti, sähköinen tunniste) Tunnistusvälineen haltijan ja tunnistusvälineen tarjoajan välinen rajapinta Tunnistusvälineen haltijan selain on tunnistustapahtuman kuluessa yhteydessä asiointipalveluun, tunnistusvälityspalveluun ja tunnistusvälineen tarjoajan palveluun. Tunnistusvälineen haltijan ja asiointipalvelun välisellä yhteydellä voinee olla aluksi käytössä http, mutta tunnistamistapahtumassa kaikilla tunnistusvälineyhteyksillä tulee olla käytössä https ja määräyksen 7 :n mukaisesti TLS versio 1.2. tai poikkeustapauksissa versio 1.1. Vaatimukset ovat tältä osin käytännössä samat kuin tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välillä. Määräyksenantovaltuus ulottuu vain tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan rajapintaan, joita nämä tarjoavat luottamusverkostosta ulospäin asiointipalvelulle ja tunnistusvälineen haltijalle. Koska tunnistusvälineen haltijan kannalta tunnistustapahtuman eri yhteydet tehdään samalla selainistunnolla, em. rajapinnoille asetetut vaatimukset koskevat käytännössä välillisesti myös asiointipalvelun ja tunnistusvälineen haltijan välistä rajapintaa Väestötietojärjestelmän rajapinta Tunnistuspalvelun tarjoaja käyttää väestötietojärjestelmän rajapintaa (VTJrajapinta) ensitunnistamisen yhteydessä sekä varmistaessaan aika ajoin tunnistamispalvelussa käyttämiensä tietojen ajantasaisuuden. Väestörekisterikeskuksen tarjoama liitäntä on yleisellä tasolla määritelty dokumentissa VTJkysely-palvelu; Sovelluskyselyiden rajapintakuvaus, joka on ladattavissa VRK:n sivuilta [24]. Tunnistuspalvelun tarjoajat ja VRK sopivat keskenään rajapinnan tarkemmasta toteutuksesta, eikä tähän määräykseen sisällytetä mitään tätä rajapintaa koskevia vaatimuksia Yritys- ja yhteisörekisterien rajapinta Oikeushenkilön tunnistamisessa tarvittavat tiedot yritysten osalta on haettava tunnistusja luottamuspalvelulain 7 a :n mukaan patentti- ja rekisterihallituksen yritys- ja yhteisörekistereistä. Tunnistuspalvelun tarjoajat ja

51 MPS (87) PRH sopivat rajapinnan toteutuksesta keskenään, eikä tähän määräykseen sisällytetä mitään tätä rajapintaa koskevia vaatimuksia. 13 Rajat ylittävän tunnistamisen edellyttämät tiedot Tunnistauduttaessa suomalaisella tunnistusvälineellä ulkomaiseen asiointipalveluun tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä samat tiedot kuin luottamusverkostossa on välitettävä 12 :n mukaan kansallisessa tunnistautumisessa. Tiedot tulee olla mahdollista välittää edelleen tunnistusvälityspalvelun ja kansallisen solmupisteen välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun. Tunnistauduttaessa ulkomaisella tunnistusvälineellä suomalaiseen asiointipalveluun kansallisen solmupisteen ja välityspalvelun tarjoajan välisessä rajapinnassa on välitettävä kansainvälisessä eidasrajapinnassa määritellyt minimitiedot ja rajapinnassa on oltava valmius välittää kansainvälisessä eidasrajapinnassa määritellyt valinnaiset tiedot. Henkilön yksilöivä tunnistetieto välitetään siinä muodossa, missä kansallinen solmupiste vastaanottaa sen kansainvälisestä eidas-rajapinnasta. Tiedot tulee olla mahdollista välittää edelleen tunnistusvälityspalvelun ja asiointipalvelun välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välinen rajapinta Suomen notifioimia tunnistusvälineitä on mahdollista käyttää tulevaisuudessa ulkomaisiin julkisen hallinnon asiointipalveluihin tunnistautumisessa ja toisaalta ulkomaisilla notifioiduilla tunnistusvälineillä on mahdollisuus tulevaisuudessa tunnistautua suomalaisiin julkisen hallinnon asiointipalveluihin. eidas-asetuksen mukaan valtioiden täytyy kyetä tähän viimeistään Kansallisen solmupisteen käyttämisestä tunnistautumisessa yksityisiin asiointipalveluihin ei vielä ole määrittelyjä EU-tasolla eikä Suomessa. Tunnistamistapahtumat Suomen ja muiden maiden välillä tullaan välittämään Väestörekisterikeskuksen hallinnoiman kansallisen solmupisteen (PEPS, Pan European Proxy Server) kautta. Lähtökohtana on, että tunnistustapahtumat välitetään molemmissa suunnissa luottamusverkoston tunnistusvälityspalvelun kautta. Välityspalvelun tarjoajan ja PEPSin välinen rajapinta on määriteltävä kansallisesti. Rajapintaa koskevat samat yleiset vaatimukset kuin tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välistä rajapintaa. Muilta osin välityspalvelun tarjoaja ja solmupisteen toteuttaja sopivat rajapinnan ominaisuuksista keskenään. Tarkoituksenmukaista kuitenkin on, että protokollaksi valitaan jokin luottamusverkostossa käytössä oleva protokolla Asiointipalvelun tyyppi Rajat ylittävässä tunnistamisessa tunnistautumisen julkisen hallinnon asiointipalveluihin tulee olla ilmaista, mutta yksityisten asiointipalveluiden tunnistamisesta eidas-asetus ja täytäntöönpanosäännökset mahdollistavat korvauksen perimisen tunnistusvälineen käytöstä.

52 MPS (87) Tämän vuoksi tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun, tulee pystyä siirtämään myös tämän rajapinnan yli. 14 Tiedonsiirrossa käytettävä protokolla ja muut vaatimukset Tunnistusvälineen tarjoaja, tunnistusvälityspalvelun tarjoaja ja asiointipalvelun tarjoaja sekä kansallisen solmupisteen toteuttaja sopivat keskenään niiden välisten rajapintojen muista kuin tässä määräyksessä säädetyistä ominaisuuksista ja käytettävästä protokollasta Perustelut ja soveltaminen Pykälän tarkoitus on selventää sitä, että luottamusverkoston osapuolet sopivat keskenään siitä, mitä protokollaa käyttävät tietojen välittämisessä ja mitä tietoja välittävät tässä määräyksessä määrättyjen vähimmäistietojen lisäksi. Määräyksen valmistelun yhteydessä on tarkasteltu SAML 2.0- ja Open ID Connect -protokollia. laatii ja julkaisee suosituksina 212/2016 S ja 213/2016 S näistä protokollista malliprofiilit vaadittujen tietojen välittämistä varten [11, 12]. Kansallisen TUPAS-protokollan käytettävyyden ja kehitystarpeiden selvittämisestä vastaa protokollan haltija Finanssialan keskusliitto. Protokollia käsitellään vaikutusarvioinnin (ks. A osa) luvussa Suositus SAML- tai Open ID Connect -protokollan ja profiilien käytöstä Luottamusverkostossa suositellaan käytettäväksi SAML tai Open ID Connect -protokollaa ja näiden kansallisesti laadittuja profiileja, jotka julkaisee erillisinä suosituksina 212/2016 S ja 213/2016 S [11, 12]. Luku 4 Tunnistuspalvelun arviointikriteerit Tässä luvussa käsitellään tunnistuspalvelun vaatimustenmukaisuuden arviointia. 15 Arviointikriteerit Tunnistuspalvelun arvioinnin täytyy kattaa vaatimukset, jotka kohdistuvat 1) tunnistuspalvelun tarjoamiseen vaikuttavien toimintojen (tunnistusjärjestelmän) a) tietoturvallisuuden hallintaan b) tietojen säilyttämiseen c) tiloihin ja henkilökuntaan d) teknisiin toimenpiteisiin 2) tunnistusmenetelmään eli tunnistusvälineen a) hakemiseen ja rekisteröintiin b) hakijan henkilöllisyyden todistamiseen ja varmentamiseen c) tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen d) myöntämiseen, toimittamiseen ja aktivointiin e) voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin f) uusimiseen ja korvaamiseen g) todentamismekanismeihin

53 MPS (87) 15.1 Perustelut Edellä 1 momentissa mainittujen osa-alueiden arvioinnin on perustuttava tunnistusja luottamuspalvelulain ja tämän määräyksen vaatimuksiin, EU:n tai muun kansainvälisen toimielimen antamiin säännöksiin tai ohjeisiin, julkaistuihin ja yleisesti tai alueellisesti sovellettuihin tietoturvallisuutta koskeviin ohjeisiin tai yleisesti käytettyihin tietoturvallisuusstandardeihin tai menettelyihin. Pykälän 1 momentissa luetellaan ne tunnistuspalvelun toteutuksen ja tarjonnan osa-alueet, joiden osalta säädännön vaatimusten täyttyminen täytyy osoittaa joko ulkoisella tai sisäisellä arvioinnilla. Arviointikriteerit perustuvat säädösten vaatimuksiin, erityisesti EU:n varmuustasoasetuksen [2] vaatimuksiin. Tietoturvavaatimuksia tarkennetaan myös tämän määräyksen 2 luvussa. Tunnistuspalveluntarjoaja voi täyttää säännöksessä määrätyt arvioinnin vaatimukset yhdellä tai useammalla valitsemallaan arvioinnilla. Esimerkkejä kansainvälisistä tai kansallisesti yleisesti käytetyistä standardeista, joihin perustuvia arviointeja toimijat voivat tietyin edellytyksin hyödyntää, luetellaan jäljempänä arviointielimen pätevyyttä koskevan 18 :n kohdalla. Pykälän 2 momentissa säädetään siitä, mitä vaatimuksia vasten arviointi on tehtävä. Vaatimukset, jotka tunnistusjärjestelmän on täytettävä, säädetään tunnistusja luottamuspalvelulaissa, EU:n varmuustasoasetuksessa ja niitä tarkennetaan tässä määräyksessä. Arvioinnissa voidaan lisäksi ottaa huomioon myös muita lähteitä, kuten tietoturvallisuusstandardeja, jotka tarkentavat hyviä tietoturvakäytäntöjä ja konkretisoivat arvioinnissa huomionarvoisia yksityiskohtia. Arviointielimen pätevyysvaatimuksista säädetään tunnistusja luottamuspalvelulain 33 :ssä ja vaatimuksia tarkennetaan tämän määräyksen 18 :ssä. Arvioinnin hankkivan tunnistuspalveluntarjoajan on huolehdittava sitä, että arvioinnissa otetaan huomioon myös nimenomaisesti tunnistusjärjestelmään ja tunnistusmenetelmään kohdistuvat vaatimukset, vaikka palvelun tuotanto- ja hallintaympäristö usein on vain osa muuta tuotanto- ja hallintaympäristöä ja vaikka arviointi kohdistuisi kokonaisuutena tähän laajempaan kokonaisuuteen Soveltaminen, n ohjeet 211/2016 O ja 215/2016 O julkaisee ohjeena 211/2016 O tunnistuspalvelun arvioinnin mallikriteeristön [25], jota käyttämällä kaikki määräyksessä vaaditut osaalueet tulevat huomioiduksi. Mallikriteeristö perustuu pääosin tietoturvallisuuden hallinnan standardiin ISO/IEC [8]. Mallikriteeristössä on viittaukset vaatimuksia koskeviin säännöksiin. julkaisee myös ohjeen 215/2016 O sähköisten tunnistusja luottamuspalveluiden tarkastuskertomuksista [7]. Ohjeessa selvitetään, mitä tietoja arviointielimen laatimassa tarkastuskertomuksessa täytyy olla. Tarkastuskertomus täytyy tunnistusja luottamuspalvelulain 10 :n mukaan toimittaa lle.

54 MPS (87) 16 Selvitys muiden vaatimusten täyttämisestä 16.1 Perustelut Tunnistuspalveluntarjoajan on osoitettava omalla kirjallisella selvityksellään tai edellä 15 :ssä tarkoitetulla arvioinnilla seuraavien tunnistuspalveluntarjoajan luotettavuuteen ja tunnistuspalvelusta annettaviin tietoihin liittyvät vaatimukset 1) julkaistut ilmoitukset ja käyttäjätiedot, kuten tunnistusperiaatteet, sopimusehdot ja hinnastot 2) vakiintunut organisaatio 3) valmius ottaa vahinkoriskejä 4) riittävät taloudelliset varat 5) vastuu alihankkijoista 6) suunnitelma toiminnan päättämisen varalta Pykälään on koottu ne tunnistuspalveluntarjoajan luotettavuutta koskevat osa-alueet, jotka eivät liity erityisesti tunnistusjärjestelmään vaan yleisemmin toimijan luotettavaan toimintakykyyn ja vastuullisuuteen. Näiden vaatimusten täyttämisen voi osoittaa yrityksen omalla selvityksellä lle aloitus- tai muutosilmoituksen yhteydessä. Vaatimusten täyttämisen voi osoittaa myös soveltuvalla arvioinnilla. Määräyksen valmistelussa ei ole tullut toimialalta ehdotuksia tällaisista yleisiä luotettavuusvaatimuksia koskevista standardeista, joten tässä ei esitetä esimerkkejä Soveltaminen, n ohje 214/2016 O n ohjeessa 214/2016 O tunnistusja luottamuspalveluiden ilmoituksista käsitellään joiltain osin tietoja tai liitteitä, joita lle on toimitettava. Tiedoista ei kuitenkaan ole laadittu yksityiskohtaisia soveltamisohjeita, vaan tarvittavia tietosisältöjä arvioidaan mm. tunnistusja luottamuspalvelulain perustelujen avulla. 17 Kansallisen solmupisteen arviointiperusteet 17.1 Perustelut Kansallisen solmupisteen tietoturvallisuuden arvioinnin tulee perustua ISO/IEC standardiin ja Euroopan komission täytäntöönpanopäätökseen (EU) 2015/ Säännös on lähinnä informatiivinen. Komission täytäntöönpanoasetuksessa (EU) 2015/1501 [23] mainitaan oletuksena standardiin ISO/IEC perustuva tietoturvallisuuden hallinta. Määräyksessä vahvistetaan tämä olettama, koska tämä on myös käytännössä Väestörekisterikeskuksen toimintaan soveltuva ratkaisu. Komission täytäntöönpanopäätöksessä säädetään joitain vaatimuksia solmupisteen toiminnalle. 5 Komission täytäntöönpanopäätös yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 8 kohdan mukaisesti

55 MPS (87) Luku 5 Tunnistuspalvelun arviointielimen pätevyys 18 Tunnistuspalvelun ulkoisen arviointielimen vaatimukset Tunnistus- ja luottamuspalvelulain 33 :ssä arviointielimelle säädettyjen riippumattomuus- ja pätevyysvaatimusten täyttymisen voi osoittaa 1) ISO/IEC standardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 2) Webtrust -säännöstöön perustuvalla kansainvälisesti tunnetun itsesääntelyjärjestelyn mukaisesti osoitetulla pätevyydellä; 3) PCI DSS - maksukorttistandardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 4) ISACA:n standardien ja tietojärjestelmien valvontakehikon mukaisesti osoitetulla pätevyydellä; tai 5) muiden edellisiin rinnastettavien yleiseen tietoturvallisuuden hallintaan taikka sektorikohtaiseen sääntelyyn tai standardointiin liittyvien säännösten, ohjeiden tai standardien edellyttämän pätevyyden osoittamisella tai noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin edellä 1 momentissa tarkoitetut säännökset, ohjeet tai standardit kohdistuvat tunnistusjärjestelmään Perustelut lle tunnistusja luottamuspalvelulain 10 :n mukaisesti annettavassa aloitus- tai muutosilmoituksessa ja sen liitteissä annetaan valvovalle viranomaiselle tiedot riippumattomasta arvioinnista. Lisäksi on annettava selvitys, jonka perusteella voidaan arvioida, että arvioinnin tekijä täyttää tunnistusja luottamuspalvelulain 33 :n vaatimukset arviointielimen riippumattomuudelle ja pätevyydelle. Pykälän tarkoitus on selkeyttää arviointielimen riippumattomuuden ja pätevyyden määrittelyn perusteita ennakoitavasti. Tarkoitus on selkeyttää myös sitä, että arviointielimen riippumattomuus ja pätevyys eivät voi perustua toimijan omiin säännöstöihin tai omaan arvioon, vaan niiden on oltava objektiivisesti perusteluja. Pykälän 1 momentissa luetellaan esimerkkejä sellaisista kansainvälisistä standardeista tai sääntely- tai itsesääntelykehyksistä, joihin arviointielimen riippumattomuus ja pätevyys voi perustua. Luettelo ei ole tyhjentävä ja 5 kohdassa todetaan yleisesti edellytykset sille riippumattomuuden ja pätevyyden osoittamiselle. Tarkoitus on, että toimijat voisivat tukeutua mahdollisimman joustavasti erilaisiin jo muutoinkin käyttämiinsä arviointeihin. Esimerkkejä mahdollisista arviointielimistä ovat akkreditoitu ISO tarkastuslaitos, muu ulkoinen ISO auditoija tai vastaavat muihin relevantteihin standardeihin perustuvat arvioijat. Pykälän 2 momentista ilmenee, että edellytyksenä eri standardien tai säännöstöjen käyttämiselle riippumattomaan ja pätevään tunnistusjärjestelmän arviointiin on se, että arviointi todella kohdistuu tunnistusjärjestelmän vaatimuksiin. On tunnistuspalvelun tarjoajan vastuulla huolehtia siitä, että näin todella on ja että arviointi kattaa kaikki tässä määräyksessä määritellyt osa-alueet. Tarkastuskertomuksesta on ilmettävä selkeästi auditoinnin kohdistuminen tosiasiassa tunnistusjärjestelmän vaatimuksiin.

56 MPS (87) 18.2 Soveltaminen Auditoinnin tekevä arviointielin voi tunnistusja luottamuspalvelulain 29 :n mukaisesti olla joko sisäinen tarkastuslaitos, muu ulkoinen arviointilaitos tai akkreditoitu vaatimustenmukaisuuden arviointilaitos. julkaisee ohjeen 215/2016 O sähköisten tunnistusja luottamuspalveluiden tarkastuskertomuksista [7]. Ohjeessa selvitetään, mitä tietoja arviointielimen laatimassa tarkastuskertomuksessa täytyy olla. Seuraavassa on suuntaa-antava ja informatiivinen lista standardeista tai muista lähteistä, joiden mukaisia arviointeja n tunnistuspalvelurekisteriin merkityt toimijat käyttävät kyselyn perusteella ja jotka voivat soveltua myös tunnistusjärjestelmän arviointiin. Tässä ei ole erityisesti eritelty riippumattomuuden ja pätevyyden perusteita tai arvioitu, miltä osin lähteet soveltuisivat tunnistusjärjestelmän vaatimusten arviointiin. Esimerkkilista voi myös soveltua seuraavassa pykälässä käsiteltyjen sisäisten tarkastuslaitosten pätevyyden arviointiin: - ISO PCI DSS, PCI/QSA - Webtrustin Trust Services Principles and Criteria for Certification Authorities ja Webtrust for Certification Authorities - SSL Baseline Requirements Audit Criteria - Information Security Forumin (ISF) "Standard of Good Practice" - ISF:n IRAM-kriteeristö (Information Risk Analysis Methodology) - ETSI TS (CA policy) [25] - ISRS 4400 ja ISAE Katakri - Vahti - Euroopan keskuspankin tai FIVA:n määräykset tai ohjeet - FIVA:n määräys ja ohje 2.4 "Asiakkaan tunteminen - rahanpesun ja terrorismin rahoittamisen estäminen" - Euroopan keskuspankin Cybersecurity questionnary BISin (Bank for International Settlements) ohje External audits of banks [26], 19 Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset Tunnistus- ja luottamuspalvelulain 33 :ssä sisäiselle tarkastuslaitokselle säädettyjen riippumattomuusvaatimusten täyttymisen voi osoittaa: 1) IIA:n ammattistandardien (sisäisen tarkastuksen riippumattomuus ja objektiivisuus, ml. organisatorinen riippumattomuus) noudattamisella; 2) ISACA:n standardien ja tietojärjestelmien valvonnan kehikoiden noudattamisella; 3) BIS:in (Bank for International Settlements) sisäistä tarkastusta koskevien ohjeiden noudattamisella; 4) Finanssivalvonnan määräys- ja ohjekokoelman sisäistä tarkastusta koskevien ohjeiden noudattamisella; 5) Finanssivalvonnan määräys- ja ohjekokoelman sisäistä tarkastusta koskevien määräysten ja ohjeiden noudattamisella; 6) muiden ETA-alueen jäsenvaltioiden vastaavien valvontaviranomaisten antamien ohjeiden tai määräysten noudattamisella; tai

57 MPS (87) 19.1 Perustelut 19.2 Soveltaminen 7) muilla edellisiin rinnastettavilla viranomaissääntelyyn tai yleiseen riippumattoman sisäisen tarkastuksen hallintaan liittyvien standardien noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin 1 momentissa tarkoitettujen säännösten, ohjeiden tai standardien mukaisesti organisoitu sisäinen tarkastus kohdistuu tunnistusjärjestelmään. Pykälän perustelut ovat samat kuin perustelut 18 :lle. Myöskään sisäisen tarkastuslaitoksen riippumattomuus ja pätevyys eivät voi perustua toimijan omiin säännöstöihin tai omaan arvioon, vaan niiden on oltava objektiivisesti perusteluja ja sovelluttava perustellusti tunnistusjärjestelmän vaatimusten arviointiin. Asiaa käsitellään vaikutusarvioinnin (ks. A osa) luvussa Pykälän 2 momentissa esimerkkinä mainittuja sisäisen tarkastuksen säännöstöjä löytyy esimerkiksi seuraavista lähteistä - Finanssivalvonnan määräys- ja ohjekokoelma [27] o Luotettava hallinto ja toiminnan järjestäminen Kappale 5.6. Sisäinen tarkastus - BIS: The internal audit function in banks [26] Luku 6 Hyväksytyt luottamuspalvelut Tässä luvussa kuvataan hyväksyttyjen luottamuspalvelujen vaatimukset. eidas-asetuksessa säädetään myös ei-hyväksytyistä luottamuspalveluista ja sähköisistä allekirjoituksista. Liitteeseen 1 on koottu tietoa luottamuspalveluista ja sähköisistä allekirjoituksista. 20 Hyväksytyn luottamuspalvelun tarjoajan arviointikriteerit 20.1 Perustelut eidas-asetuksessa asetettujen vaatimusten lisäksi hyväksytyn luottamuspalvelun tarjoajan tulee täyttää standardin EN vaatimukset. Varmenteita tarjoavan hyväksytyn luottamuspalvelun tarjoajan tulee momentin 1 vaatimusten lisäksi täyttää standardin EN vaatimukset. Sähköisten allekirjoitusten tai leimojen hyväksyttyjä varmenteita tai hyväksyttyjä verkkosivuvarmenteita myöntävän hyväksytyn luottamuspalvelun tarjoajan tulee edellä 1 ja 2 momenteissa säädettyjen vaatimusten lisäksi täyttää standardin EN vaatimukset. Hyväksyttyjä aikaleimoja myöntävän hyväksytyn luottamuspalvelun tarjoajan tulee edellä1 momentissa säädettyjen vaatimusten lisäksi täyttää standardin EN vaatimukset. Vaatimusten täyttämisen voi osoittaa edellä 1-4 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus. eidas-asetuksessa määritellään vaatimukset, jotka hyväksytyn luottamuspalvelun tarjoajan tulee täyttää. Vaatimusten sisältöä tarkentamaan Euroo-

58 MPS (87) pan telestandardointi-instituutti ETSI on laatinut komission mandaatilla luottamuspalveluiden tarjoajia koskevia standardeja. Standardeihin on koottu yksityiskohtaiset konkreettiset vaatimukset, joiden täyttyminen varmistaa sen, että luottamuspalvelun tarjoaja on eidas-asetuksen mukainen. Standardit eivät ole pakollisia, vaan toiminnot voi toteuttaa muullakin tavalla. Standardit osoittavat kuitenkin sen, millaista luotettavuustasoa ei- DAS-asetus edellyttää. Jos käytetään muuta vastaavat vaatimukset sisältävää standardia, palvelun toteuttajan on erikseen osoitettava, että toiminta täyttää eidas-asetuksen vaatimukset. Määräyksessä viitataan niihin standardeihin, jotka ovat määräyksen antamisen ajankohdalla valmiita. Luottamuspalveluiden sääntelyn ja määräyksen tavoitteita käsitellään yleisesti vaikutusarvioinnin (ks. A-osa) 3.1 luvussa ETSI:n standardit ETSI standardit on saatettu sellaisenaan voimaan Suomessa ja ne löytyvät myös SFS-standardeina. Tällöin merkitsemistapa on esimerkiksi SFS-EN Seuraavassa on ryhmitelty pykälässä viitattuja standardeja ja kerrottu tällä hetkellä sovellettava standardin versio Hyväksytyn luottamuspalvelun tarjoajan yleiset vaatimukset ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [28] Standardi sisältää yleiset palveluriippumattomat vaatimukset hyväksytyn luottamuspalvelun tarjoajalle. Se sisältää vaatimuksia mm. riskien arvioinnille, tietoturvapolitiikalle ja - käytännölle sekä toiminnan johtamiselle Varmenteita myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [29] Standardi sisältää yleiset vaatimukset varmenteita tarjoavalle luottamuspalvelun tarjoajalle. Se täydentää ja tarkentaa standardissa EN esitettyjä vaatimuksia. Standardi sisältää yksityiskohtaisia vaatimuksia mm. varmennepolitiikalle ja varmennuskäytännölle. Standardiin liittyy informatiivinen liite C (Conformity Assessment Check list), johon on koottu standardin vaatimukset tarkistuslistan muodossa. Tarkistuslistaa voi hyödyntää esimerkiksi luottamuspalvelun tarjoajan auditoinnissa.

59 MPS (87) Hyväksyttyjä varmenteita myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [30] Standardi sisältää vaatimukset eidas-asetuksen mukaisia hyväksyttyjä varmenteita tarjoavalle luottamuspalvelun tarjoajalle. Se täydentää standardissa EN esitettyjä vaatimuksia vastaamaan eidasasetuksen erityisvaatimuksia. Lisävaatimukset kohdistuvat mm. varmennepolitiikkaan ja varmennuskäytäntöön. Standardiin liittyy informatiivinen liite B (Conformity Assessment Check list), johon on koottu standardin vaatimukset tarkistuslistan muodossa. Tarkistuslistaa voi hyödyntää esimerkiksi luottamuspalvelun tarjoajan auditoinnissa Hyväksyttyjä aikaleimoja myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Electronic Time-Stamps [31] Standardi sisältää tietoturvapolitiikka- ja tietoturvavaatimukset sähköisiä aikaleimoja tarjoavalle luottamuspalvelun tarjoajalle. Standardi viittaa pääsääntöisesti standardin EN vaatimuksiin, mutta tarkentaa niitä joiltain osin. Standardi sisältää yksityiskohtaiset vaatimukset aikaleiman allekirjoitusavaimen sisältävän yksikön TSU (Time-Stamping Unit) hallinnalle. Standardiin liittyy informatiivinen liite H (Conformity Assessment Check list), johon on koottu standardin vaatimukset tarkistuslistan muodossa. Tarkistuslistaa voi hyödyntää esimerkiksi luottamuspalvelun tarjoajan auditoinnissa. 21 Hyväksytyn luottamuspalvelun arviointikriteerit Hyväksytyn luottamuspalvelun myöntämien varmenteiden tulee täyttää eidas-asetuksessa sähköisen allekirjoituksen ja leiman varmenteille sekä verkkosivujen varmenteille asetettujen vaatimusten lisäksi standardeissa EN , EN , EN , EN ja EN esitetyt vaatimukset soveltuvin osin. Hyväksytyssä aikaleimapalvelussa tulee käyttää standardin EN mukaista protokollaa ja aikaleiman profiilia. Vaatimusten täyttämisen voi osoittaa edellä 1-2 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus Perustelut ja soveltaminen EU-säädännössä hyväksyttyjä luottamuspalveluita voivat olla ovat sähköiset allekirjoitukset ja leimat, niihin liittyvät validointi- ja säilyttämispalvelut,

60 MPS (87) sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen (ks. tarkemmin LIITE 1) Sähköisten allekirjoitusten, sähköisten leimojen ja verkkosivustojen todentamisen hyväksytyt varmenteet eidas-asetuksen liitteissä I, III ja IV määritellään sähköisten allekirjoitusten, sähköisten leimojen ja verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset. Vaatimusten sisältöä tarkentamaan Euroopan telestandardointi-instituutti ETSI on laatinut komission mandaatilla määräystekstissä luetellut standardit. Standardeihin on koottu yksityiskohtaiset konkreettiset vaatimukset, joiden täyttyminen varmistaa sen, että luottamuspalvelu on eidasasetuksen mukainen. Standardit eivät ole pakollisia, vaan palvelut voi toteuttaa muullakin tavalla. Standardit osoittavat kuitenkin sen, millaista luotettavuustasoa eidasasetus edellyttää palveluissa. Jos palvelun toteuttaa viitatun standardin mukaisesti, eidas-asetuksen vaatimukset tulevat huomioiduksi. Jos käytetään muuta vastaavat vaatimukset sisältävää standardia, palvelun toteuttajan on erikseen osoitettava, että palvelu täyttää eidas-asetuksen vaatimukset. Määräyksessä lueteltuihin varmenneprofiileihin sisältyvät yleiset vaatimukset sisältävä standardi, varmenteen tarkoitetun sovelluksen mukaisia standardeja sekä hyväksyttyjen varmenteiden sisällön (statements) määrittelevä standardi. Siltä osin kuin standardeissa on eritelty EU-säädännön vaatimusten täyttymistä koskevat ja muita vaatimuksia koskevat osat, tämän määräyksen kannalta soveltuvina osina pidetään EU-säädännön täyttymiseen liittyviä vaatimuksia. Varmenneprofiilit - yleinen: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures [32] Varmenneprofiilit - luonnollinen henkilö: ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons [33] Varmenneprofiilit - oikeushenkilö: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons [34] Varmenneprofiilit - verkkosivuvarmenteet: ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates [35] Varmenneprofiilit - QCStatements: ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements [36]

61 MPS (87) Hyväksytty sähköinen aikaleima eidas asetuksen 42 artikla sisältää vaatimukset hyväksytylle sähköiselle aikaleimalle. Toistaiseksi vaatimusten sisältöä tarkentamaan Euroopan telestandardointi-instituutti ETSI on laatinut komission mandaatilla ainoastaan määräystekstissä mainitun standardin EN Jos aikaleimapalvelun protokolla ja profiili on toteutettu kyseisen standardin mukaisesti, eidasasetuksen vaatimukset niiltä osin täyttyvät. Jos käytetään muuta vastaavat vaatimukset sisältävää standardia, palvelun toteuttajan on erikseen osoitettava, että eidas-asetuksen vaatimukset täyttyvät. ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles [37] 21.2 Luottamuspalvelut, joiden vaatimuksista ei määrätä Hyväksytyn sähköisen rekisteröidyn jakelupalvelun vaatimukset säädetään eidas-asetuksen 44 artiklassa. Palveluiden standardointi on kesken, joten määräyksessä ei viitata tarkempiin vaatimuksiin. Sähköisen rekisteröidyn jakelupalvelun standardit on tarkoitus valmistella ETSIssä standardisarjaan EN Tekeillä on standardi ETSI EN Policy & security requirements for electronic registered delivery service providers [38], jonka pohjana tulee olemaan REM (Registered Electronic Mail) -spesifikaatioita koskeva TS x -spesifikaatiosarja [39]. REM-spesifikaatiotkin on tarkoitus uusia tulevaisuudessa ja julkaista standardisarjana EN REM-standardeja voi hyödyntää pohjana sähköisen rekisteröidyn jakelupalvelun toteutuksen suunnittelussa, mutta lopulliset vaatimukset tullaan määrittelemään standardisarjassa EN REM-spesifikaatiot - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 1: Architecture - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 2: Data requirements, Formats and Signatures for REM - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 3: Information Security Policy Requirements for REM Management Domains - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 4: REM-MD Conformance Profiles

62 MPS (87) - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 5: REM-MD Interoperability Profiles Luku 7 Luottamuspalvelujen vaatimustenmukaisuuden arviointilaitokset 22 Arviointilaitosten pätevyyden arviointi 22.1 Perustelut Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistusja luottamuspalvelulain 33 :n 1 momentin 3 kohdan ja 4 kohdan vaatimusten täyttymisen edellytyksenä on, että arviointilaitos täyttää standardin EN tai vastaavat vaatimukset. Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistusja luottamuspalvelulain 33 :n 1 momentin 2 kohdan vaatimuksen täyttymisen edellytyksenä on riittävä pätevyys edellä 20 :ssä lueteltujen luottamuspalveluiden tarjoajia koskevien ja 21 :ssä lueteltujen luottamuspalveluita koskevien arviointikriteerien mukaisten arviointien suorittamiseen. Komissio ei ole laatinut täytäntöönpanopäätöstä, jolla tarkennettaisiin ei- DAS-asetuksen 20.4 artiklan nojalla vaatimuksenmukaisuuden arviointilaitosta koskevat standardit. Eurooppalaisten akkreditointiorganisaatioiden yhteistyöelin EA (European Co-operation for Accreditation) on laatinut dokumentin EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article 20.1.[40] Siinä määritellään, miten luottamuspalveluiden vaatimustenmukaisuuden arviointilaitosten (Conformity Assessment Bodies, CAB) akkreditoinnissa siirrytään aiemmasta käytännöstä eidas-asetuksen mukaiseen käytäntöön ja mitä vaatimuksia akkreditoinnissa edellytetään arviointilaitoksen täyttävän ja minkä asioiden osalta sillä pitää olla pätevyys. Pohjana ovat ETSIn laatimat standardit. Koska komissio ei ole valmistelemassa asiaa koskevaa täytäntöönpanosäännöstä, EA:n dokumentissa luetellut standardit toimivat pohjana vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa ja hyväksynnässä. Vaatimustenmukaisuuden arviointilaitoksen vaatimukset on määritelty standardissa ETSI EN V2.2.2 ( ) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers [41]. Standardi pohjautuu standardiin ISO/IEC 17065, joka määrittelee yleiset vaatimukset arviointilaitoksille. Standardi EN täydentää ISO/IEC-standardin vaatimuksia erityisesti luottamuspalveluiden tarjoajia ja niiden tarjoamia palveluita koskevilla vaatimuksilla.

63 MPS (87) Tunnistus- ja luottamuspalvelulain mukaisesti arviointilaitoksella tulee olla pätevyys arvioida palveluntarjoajaa ja sen tarjoamia palveluita. Määräyksen 20 ja 21 sisältävät vaatimukset luottamuspalveluiden tarjoajalle ja luottamuspalvelulle, joten arviointilaitokselta tulee edellyttää pätevyyttä pykälissä mainittujen standardien mukaiseen arviointiin Arviointilaitoksen akkreditointi ja hyväksyntä Vaatimustenmukaisuuden arviointilaitoksen aseman saaminen edellyttää tunnistusja luottamuspalvelulain mukaisten riippumattomuus- ja pätevyysvaatimusten osoittamista FINASilta [4] haettavalla akkreditoinnilla. Kun FINAS tekee vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) tarkoittaman päätöksen arviointilaitoksen akkreditoinnin kriteereistä, se voi huomioida muitakin riippumattomuuden ja pätevyyden arviointiin liittyviä vaatimuksia kuin tässä määräyksessä viitatut standardit. Lisäksi laitoksen tulee hakea hyväksyntä lta. Hyväksynnän edellytyksenä on FINASin akkreditointi ja selvitys tunnistuslain 33.1 :n 4 kohdan edellyttämien ohjeista ja niiden seurannasta. Seuraavassa kuvassa kuvataan yleisen akkreditointisääntelyn ja eidasasetuksen sektorikohtaisen valvonnan suhteita sähköisen luottamuspalvelun vaatimustenmukaisuuden arvioinnissa. Kuva 2: Luottamuspalvelun tarjoajan arvioinnin kaavio

64 MPS (87) (Lähde Euroopan tietoturvallisuusviraston ENISAn dokumentti Auditing Framework for TSPs, Guidelines for Trust Service Providers, Versio December 2014 [42]) Luku 8 Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi 23 Sähköisen allekirjoituksen tai leiman luontivälineen vaatimukset 23.1 Perustelut Käyttäjän hallussa fyysisesti olevan sirupohjaisen sähköisen allekirjoituksen tai leiman luontivälineen vaatimuksista säädetään EU:n komission täytäntöönpanopäätöksessä (EU) 2016/ Vaatimukset tukeutuvat komission täytäntöönpanopäätökseen (EU) 2016/650 [43]. Komission täytäntöönpanopäätöksessä vahvistetaan sertifioinnin pohjaksi seuraavat standardit. Niistä yleinen IT-tietoturvallisuuden arvioinnin standardi ISO/IEC Information technology -- Security techniques -- Evaluation criteria for IT security -standardisarja [44] tunnetaan Common Criteria -vaatimuksina. Muut komission täytäntöönpanopäätöksessä vahvistetut standardit ovat - ISO/IEC 18045:2008 Information technology Security techniques Methodology for IT security evaluation [45] - EN Protection profiles for secure signature creation device, osat 1 6 [46] tarpeen mukaan seuraavasti: o o o o EN :2014 Protection profiles for secure signature creation device Part 1: Overview EN :2013 Protection profiles for secure signature creation device Part 2: Device with key generation EN :2013 Protection profiles for secure signature creation device Part 3: Device with key import EN :2013 Protection profiles for secure signature creation device Part 4: Extension for device with key generation and trusted channel to certificate generation application 6 KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2016/650, annettu 25 päivänä huhtikuuta 2016, hyväksyttyjen allekirjoituksen ja leiman luontivälineiden tietoturva-arviointia koskevien standardien vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan ja 39 artiklan 2 kohdan mukaisesti

65 MPS (87) o o EN :2013 Protection profiles for secure signature creation device Part 5: Extension for device with key generation and trusted channel to signature creation application EN :2014 Protection profiles for secure signature creation device Part 6: Extension for device with key import and trusted channel to signature creation application 23.2 Palvelinpohjaisen allekirjoitusvälineen ja allekirjoituspalvelun keskeneräiset standardit Etäväline eidas-asetus ja komission täytäntöönpanopäätös koskevat myös sellaisia allekirjoituksen tai leiman luontitapoja, joissa luontivälineet eivät ole fyysisesti käyttäjän hallinnassa, vaan jossa ne ovat palvelimella. Standardointi palvelinpohjaisen toteutuksen tietoturvallisuusvaatimuksista on käynnissä, mutta vielä kesken. Koska standardeja ei vielä ole, komission täytäntöönpanopäätöksessä ei ole viittauksia standardeihin tai muita tarkennuksia ei- DAS-asetuksen vaatimuksiin. CEN [47] on valmistelemassa standardeja sellaisen allekirjoituksen luontivälineen vaatimuksista, joka ei ole fyysisesti allekirjoituksen tekijän hallinnassa. Määräykseen ei ole otettu viittausta keskeneräisiin standardeihin tai pyritty laatimaan kansallisesti tarkempia teknisiä määrittelyjä palvelinpohjaisen allekirjoituksen luontivälineen vaatimuksille. n näkemyksen mukaan ei ole olemassa edellytyksiä määritellä vaatimuksia, joiden nojalla voitaisiin riittävän perusteellisesti arvioida palvelun luotettavuus siten, että vaatimukset olisivat ennakoitavasti hyväksyttäviä myös muissa EU-maissa. Koska toimijoilla on paljonkin kiinnostusta palvelinpohjaisten allekirjoitusten tuottamiseen, tilanne on markkinoiden kannalta epätyydyttävä sikäli, että luontivälineille ei ole käytännössä mahdollista saada eidas-asetuksen mukaista sertifioitua statusta. Tilanne toivottavasti selkeytyy lähivuosina, kun kansainvälinen standardointi etenee Allekirjoituspalvelun standardoinnin tilanne ETSIssä on käynnistynyt standardointityö allekirjoituspalveluiden vaatimusten määrittelemiseksi. Valmisteilla ovat seuraavat standardit: - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 1 Trusted Service manager [48] - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 2: local signing on mobile device

66 MPS (87) - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 3: local signing on general device - ( ) DTS/ESI Protocol for TSPs providing signature generation services - Part 4: remote signing - ( ) DTS/ESI Protocol for TSPs providing signature validation services [49] Vaikutusarvioinnin (ks. A osa) luvussa 3.8 käsitellään sitä, että Suomessa ei merkitä luotetulle listalle muita kuin eidas-asetuksen mukaisia hyväksyttyjä luottamuspalveluja, mikä pitää sisällään sekä palvelutyyppien rajoitukset että hyväksyntäperusteet. 24 Sertifiointilaitosta koskevat vaatimukset Tunnistus- ja luottamuspalvelulain 36 vaatimusten täyttymisen edellytyksenä on riittävä pätevyys ja resurssit eidas-asetuksessa ja edellä 23 :ssä mainitussa komission täytäntöönpanopäätöksessä asetettujen vaatimusten todentamiseen sertifioitavana olevassa välineessä. Edellä 1 momentissa tarkoitettujen vaatimusten täyttymisen voi osoittaa akkreditoinnilla tai muulla riippumattomalla selvityksellä. Pätevyyden osoituksena voi olla myös kuuluminen eräiden Euroopan unionin tai ETA-alueen jäsenvaltioissa toimivien sertifiointielinten välisen SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement) sopimuksen piiriin 24.1 Perustelut ja soveltaminen Jos jokin suomalainen sertifioija haluaa hakeutua hyväksytyksi sertifiointilaitokseksi, se voi hakea hyväksyntää lta tunnistusja luottamuspalvelulain 36 :n mukaisesti ja pykälässä säädetyillä edellytyksillä. Tämän määräyksen 24 pykälän 2 momentissa määrätään siitä, miten pätevyyden voi osoittaa. Mahdollisia tapoja ovat ainakin akkredointi, joka tarkoittaa FINASin tekemään pätevyyden arviointia, tai liittyminen SOGIS- MRA -sopimuksen vertaisarviointiin perustuvaan pätevyyden arviointimenettelyyn. SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement)[50] on eurooppalainen järjestelmä sertifiointien keskinäiseen tunnustamiseen. Mukana on kahdeksan maata, joilla on omia sertifioijia (qualified/authorising participant) ja kaksi maata (consuming participant), joilla ei ole omia sertifioijia (mm. Suomi). Järjestelmässä käytettävät standardit SSCD (Secure Signature Creation Device) -alueella ovat komission täytäntöönpanosäännöksen nimeämät EN sarjan standardit. EU:n tai ETA-alueen jäsenvaltioiden komissiolle ilmoittamien jäsenvaltioissa hyväksyttyjen sertifiointilaitosten tekemät sertifioinnit ovat sellaisenaan päteviä myös Suomessa. Tällä hetkellä suuri osa komissiolle ilmoitetuista sertifiointielimistä kuuluu myös SOGIS-MRA -sopimuksen piiriin.

67 MPS (87) Luku 9 Voimaantulosäännökset 25 Voimaantulo ja siirtymäsäännökset 25.1 Perustelut Tämä määräys tulee voimaan x.x.2016 ja on voimassa toistaiseksi. Tällä määräyksellä kumotaan n määräys 7 B/2009 M tunnistuspalvelun tarjoajien ja yleisölle laatuvarmenteita tarjoavien varmentajien ilmoitusvelvollisuudesta lle, annettu , ja määräys 8 C/2010 M tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista, annettu Jos tunnistuspalvelun rajapinnoissa käytetään TUPAS-protokollaa, 2 luvun 7 :n 4 momentin ja 8 :n 3 momentin vaatimukset henkilötietojen sanomatasoisesta salauksesta sekä 9 :n 2 momentin vaatimus henkilötietojen suojaamisesta asiointipalvelu- ja päätelaiterajapinnassa tulee toteuttaa viimeistään Määräyksen 3 lukua sovelletaan alkaen lukuun ottamatta 12 :n 2 momenttia, jonka mukaiset vaatimukset tulee täyttää viimeistään eidas-asetus tulee voimaan ja tunnistuslain muutosten (HE 74/2016) voimaantulon tavoiteaikataulu oli sama. Myös määräyksen valmistelussa on ollut tavoitteena voimaan tulo Määräys oli kuitenkin notifioitava EU:lle ja EU:n jäsenvaltioille nk. transparenssidirektiivin (EU) 2015/1535 mukaisesti. Notifiointimenettelyyn liittyy kolmen kuukauden odotusaika. Ennen määräyksen voimaan tuloa sovelletaan eidas-asetusta ja tunnistuslakia, joita tulkitsee tämän määräyksen valmistelussa määriteltyjen linjausten mukaisesti. Pykälän 2 momentissa säädetyt 8 ja 9 :ään liittyvät siirtymäajat ovat välttämättömiä siksi, että käytössä on laajalti TUPAS-protokollan mahdollistama henkilötietojen tietoturvan kannalta heikko toimintatapa, jossa henkilötunnusta ei salata asiointipalvelurajapinnassa (vaikkakin siirtoyhteys salataan) ja se toimitetaan siten, että se voi jäädä nähtäville päätelaitteen selainohjelmaan. Toimintatavan muutos edellyttää muutosta myös asiointipalveluissa, joten siirtymälle on varattava aikaa. Pykälän 2 momentissa säädetty siirtymäaika on tarpeen, jotta finanssiala ehtii selvittää, miten se huolehtii jatkossa siitä, että luottamusverkostossa pystytään välittämään vaaditut tietosisällöt myös TUPAS-protokollaa käytettäessä. Vastaava suunnittelutarve kohdistuu Väestörekisterikeskuksen tunnistusvarmenteisiin, jotta välityspalveluiden toimintaedellytykset niiden tarjonnassa selkeytyisivät. Määräaika on asetettu siten, että toimintamalli ehditään suunnitella valmiiksi hyvissä ajoin ennen kuin luottamusverkostoa koskevat vaatimukset tulevat voimaan Pykälän 3 momentin siirtymäaika vastaa tunnistuslain 12 :n ja valtioneuvoston luottamusverkostoasetuksen soveltamisen voimaantulon aikaa.

68 MPS (87) C-OSA Määräyksen aihepiiriin liittyvät muut asiat Tässä perustelut ja soveltaminen -asiakirjan osassa kuvataan muita määräyksen aihepiiriin läheisesti liittyviä asioita ja tietolähteitä. 1 Suositus tunnistusjärjestelmän kellonajan luotettavuudesta Suositellaan, että tunnistuspalveluntarjoaja hankkii luotettavan aikalähteen, jonka kanssa ne synkronoivat tunnistusjärjestelmässään käytetyn kellonajan. Kellonaikaa tarvitaan tapahtuma-aikojen luotettavaa osoittamista varten. Suositeltava virhetoleranssi on 0,5 sekuntia. Synkronointia toimijoiden välillä ei tarvittane. Aiheeseen liittyy suositus ITU-R TF.1876 (03/2010) Trusted time source for time stamp authority [51]. Mahdollisia aikalähteitä ovat esimerkiksi VTT:n/MIKESin NTP tai PTP, joista jälkimmäiseen liittyy myös saatavuustakuu. Muitakin on tarjolla. 2 Kehittyneet sähköiset allekirjoitukset 2.1 Tausta Joissain laeissa edellytetään allekirjoittamista kehittyneellä sähköisellä allekirjoituksella, josta säädetään eidas-asetuksessa. Esimerkiksi sähköisestä asioinnista viranomaistoiminnassa annetun lain 16 :ssä edellytetään kehittynyttä sähköistä allekirjoitusta tai muuta vastaavankaltaista tapaa: Päätösasiakirja voidaan allekirjoittaa sähköisesti. Viranomaisen on allekirjoitettava asiakirja sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklassa tarkoitetulla kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. on tulee kysymyksiä, joissa tiedustellaan, täyttääkö jokin tarjottu palvelu kehittyneeltä sähköiseltä allekirjoitukselta edellytettävät vaatimukset ja kelpaako se siten asiakirjojen allekirjoittamiseen. eidas-asetuksen mukaan kehittyneet sähköiset allekirjoitukset tai allekirjoituspalvelut eivät ole hyväksyttyjä luottamuspalveluita. Tunnistus- ja luottamuspalvelulain 42 a :n perusteella niitä ei merkitä asetuksen 22 artiklan mukaiseen luotettuun luetteloon. Tunnistus- ja luottamuspalvelulain 42 a :n ja eidas-asetuksen 17.3 artiklan perusteella valvoo ei-hyväksyttyjä luottamuspalveluja vain jälkikäteen. Sähköisen asiointipalvelun toteuttajan ja sähköisen allekirjoituspalvelun tarjoajan on siten arvioitava, täyttääkö tietty palvelu kehittyneen sähköisen allekirjoituksen tunnusmerkistön ja vaatimukset.

69 MPS (87) Tässä luvussa kuvataan kehittyneiden sähköisten allekirjoitusten ominaisuuksia arvioinnin tueksi. 2.2 Säädäntötausta Kehittyneen sähköisen allekirjoituksen vaatimukset määritellään eidasasetuksen 26 artiklassa. Sen mukaan kehittyneen sähköisen allekirjoituksen on täytettävä seuraavat vaatimukset: a) se liittyy yksilöivästi allekirjoittajaansa; b) sillä voidaan yksilöidä allekirjoittaja; c) se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja d) se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita. Julkisen hallinnon sähköisistä allekirjoituksista säädetään tarkemmin ei- DAS-asetuksen 27 artiklassa: 1. Jos jäsenvaltio vaatii kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne kehittyneet sähköiset allekirjoitukset, sähköisten allekirjoitusten hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä. 2. Jos jäsenvaltio vaatii hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä. 3. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä allekirjoitusta, jonka tietoturvataso on korkeampi kuin hyväksytyn sähköisen allekirjoituksen. 4. Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin allekirjoituksiin sovellettavien standardien viitenumerot. Jos kehittynyt sähköinen allekirjoitus vastaa kyseisiä standardeja, sen katsotaan olevan tämän artiklan 1 ja 2 kohdassa sekä 26 artiklassa tarkoitettujen kehittyneitä sähköisiä allekirjoituksia koskevien vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 5. Komissio määrittelee kehittyneitä sähköisiä allekirjoituksia koskevat viitemuodot tai, jos käytetään vaihtoehtoisia muotoja, viitemene-

70 MPS (87) telmät täytäntöönpanosäädöksillä viimeistään 18 päivänä syyskuuta 2015 ottaen huomioon olemassa olevat käytännöt, standardit ja unionin säädökset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio on antanut täytäntöönpanopäätöksen (EU) 2015/1506 eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti. [52] Täytäntöönpanopäätöksestä ilmenevät tekniset vaatimukset kuvataan seuraavassa luvussa. 2.3 Kehittyneiden sähköisten allekirjoitusten tekniset vaatimukset Komission täytäntöönpanopäätös (EU) 2015/1506 [52] sisältää luettelon eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava Eidas-asetuksen 27 artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti. Täytäntöönpanopäätöksessä on luettelo standardeista: - XAdES perustason profiili ETSIn tekninen eritelmä v [53] - CAdES perustason profiili ETSIn tekninen eritelmä v [54] - PAdES perustason profiili ETSIn tekninen eritelmä v [55] - Assosioitujen allekirjoitusten säilötiedoston perustason profiili ETSIn tekninen eritelmä v [56] Jos muita formaatteja käytetään, on tarjottava validointimahdollisuus ((EU) 2015/1506 art. 2). Sähköinen leima noudattaa samoja standardeja kuin allekirjoituskin. Erona on vain se, että leima tehdään oikeushenkilön nimissä ja se mahdollistaa esimerkiksi järjestelmäallekirjoituksen. Seuraavassa esittää alustavia havaintoja kehittyneen sähköisen allekirjoituksen tunnusmerkistön arvioinnista suhteessa siru- ja palvelintoteutuksiin. Mainitut tavat ovat vain havaintoja ja poimintoja mahdollisista toteutustavoista, eikä ole arvioinut toteutustapoja tai yksittäisiä palveluita tarkasti tai selvittänyt muiden jäsenvaltioiden viranomaisten kantoja eidas-asetuksen tulkinnasta. Kehittynyt sähköinen allekirjoitus a) liittyy yksilöivästi allekirjoittajaansa

71 MPS (87) - Vaatimuksen voi täyttää esimerkiksi siten, että sirulla säilytetään yksityistä avainta, jolla luotu allekirjoitus voidaan tarkistaa käyttämällä julkisesta hakemistosta haettua varmennetta (joka sisältää julkisen avaimen ja yksilöivät tiedot). Tällainen allekirjoitus liittyy yksilöivästi allekirjoittajaansa - Vaatimuksen voi käyttää myös esimerkiksi siten, että palvelimella allekirjoituksessa yhdistetään tunnistaminen ja asiakirja. Ero edelliseen esimerkkiin on siinä, että palvelin hallinnoi avaintietoja. - Sirupohjaisia PKI-varmenteita tarjoaa ainakin Västörekisterikeskus. Myös mobiilivarmenne mahdollistaa PKI-toteutuksen. b) voidaan yksilöidä allekirjoittaja - Vaatimuksen voi täyttää esimerkiksi siten, että siruun liittyvässä varmennehakemistossa olevassa varmenteessa on henkilön SATU (Sähköisen asioinnin tunniste) tai organisaatiovarmenteessa tieto henkilöstä ja organisaatiosta. - Vaatimuksen voi täyttää myös esimerkiksi siten, että kirjautuja tunnistetaan vahvalla sähköisellä tunnistusvälineellä, kuten TUPAKsella. c) luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan - Vaatimuksen voi täyttää esimerkiksi siten, että luontitiedot ovat sirulla käyttäjän hallussa ja suojattuna esimerkiksi PIN-koodilla. - Avoin kysymys on, miten taataan luontitietojen luottamuksellisuus palvelimella. - Yksinomaan vahva sähköinen tunnistaminen ei turvaa luontitietojen hallintaa allekirjoittajalle. d) liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita. - Vaatimuksen voi täyttää ainakin kaikilla PKI-toteutuksilla, koska niissä allekirjoitus tehdään laskemalla allekirjoitettavasta tiedosta niin sanottu tiiviste. Jos allekirjoitettavaa tietoa muutetaan, muuttuu myös allekirjoitus (tiiviste). Vertailemalla tiedon allekirjoitusta (tiivistettä) ja tiedon vastaanottajan laskemaa tiivistettä keskenään voidaan havaita, onko allekirjoitettua tietoa muutettu allekirjoittamisen jälkeen. - Lisäksi tiivisteen salaamisella varmistetaan se, ettei allekirjoitetusta dokumentista laskettua tiivistettä voida muuttaa. - Kaiken kaikkiaan on vakiintuneesti nähty PKI-arkkitehtuuri kehittyneen sähköisen allekirjoituksen toteutustapana ja on avoin kysymys, voiko sen toteuttaa muulla tavoin.

72 MPS (87) D-OSA Lainsäädäntö 1 Määräyksen lainsäädäntöperusta 1.1 Suomen lainsäädäntö Tunnistus- ja luottamuspalvelulain 42.2 :ään on koottu tunnistusja luottamuspalvelulakiin liittyvät n määräyksenantovaltuudet voi antaa tarkempia määräyksiä: 1) tunnistusjärjestelmän 8 :n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista; 2) 10 :ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta lle; 3) 12 a :n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista; 4) siitä, milloin 16 :ssä tarkoitettu häiriö on merkittävä sekä 16 :n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta; 5) 29, 30 ja 32 :ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista; 6) 33 :ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään; 7) 35 :ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta lle; 8) 36 :ssä tarkoitettua sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään Määräyksen 2 luvun tietoturvaja häiriöilmoitusvaatimukset perustuvat 42.2 :n 1 ja 4 alakohtiin. Määräyksellä tarkennetaan lain 8 :n ja 16 :n vaatimuksia. Luvun 3 vaatimukset luottamusverkoston rajapinnoissa välitettävistä tiedoista perustuvat 42.2 :n 3 alakohtaan. Määräyksellä tarkennetaan lain 12 a :n ja valtioneuvoston luottamusverkostoasetuksen 169/2016 vaatimuksia. Luvun 4 vaatimukset tunnistuspalvelun arviointikriteereistä perustuvat 42.2 :n 5 alakohtaan. Määräyksellä tarkennetaan lain 29 :n vaatimuksia

73 MPS (87) ja lain 8.1 :n 5 alakohdan tietoturvallisuuden hallinnan vaatimuksia sekä lain 30 :n vaatimuksia. Luvun 5 vaatimukset tunnistuspalvelun arviointielimistä perustuvat 42.2 :n 6 alakohtaan. Määräyksellä tarkennetaan lain 33 :ssä säädettyjä vaatimuksia. Luvun 6 vaatimukset hyväksyttyjen luottamuspalvelujen tarjonnasta perustuvat 42.2 :n 5 alakohtaan. Määräyksellä tarkennetaan eidas-asetuksen hyväksytylle luottamuspalveluntarjoajalle ja hyväksytyille luottamuspalveluille säädettyjä vaatimuksia siltä osin, kun näihin liittyy Euroopan komission ETSIlle ja CENille antaman standardointimandaatin mukaisia eidasasetuksessa määriteltyihin palveluihin liittyviä standardeja. Luvun 7 vaatimukset luottamuspalvelujen vaatimustenmukaisuuden arviointilaitoksen pätevyydestä perustuvat 42.2 :n 6 alakohtaan. Määräyksellä tarkennetaan lain 33:n vaatimuksia ja ne liittyvät arviointilaitoksen pätevyyden osalta suoraan myös määräyksen 6 luvun vaatimuksiin. Luvun 8 vaatimukset sähköisen allekirjoituksen tai leiman luontivälineen sertifioinnin edellytyksistä perustuvat 42.2 :n 8 alakohtaan. Määräyksellä tarkennetaan lain 36 :n vaatimuksia. 2. Muut asiaan liittyvät säännökset 2.1 Valtioneuvoston asetus vahvan sähköisen tunnistuspalveluntarjoajien luottamusverkostosta 169/2016 Valtioneuvoston luottamusverkostoasetuksen 1.1 käsittelee luottamusverkoston teknisiä rajapintoja. 1 Luottamusverkoston tekniset rajapinnat Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009), jäljempänä tunnistuslaki, 12 a :n 2 momentissa tarkoitettuja teknisiä rajapintoja ovat: 1) tunnistusvälineen tarjoajien välinen rajapinta; 2) tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välinen rajapinta; 3) tunnistusvälityspalvelun tarjoajan ja tunnistuspalveluun luottavan osapuolen välinen rajapinta. Määräyksen 2 ja 3 luvussa tarkennetaan tietoturvavaatimuksia kaikissa mainituissa rajapinnoissa ja 3 luvussa tarkennetaan 2 ja 3 kohtien rajapintojen ominaisuuksia siltä osin, mitä tietoja niissä täytyy kyetä välittämään. 2.2 EU:n eidas-asetus (EU) 910/2014 EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja

74 MPS (87) sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta Tunnistuspalveluiden kannalta keskeisimpiä ovat eidas-asetuksen ojalla annetut komission täytäntöönpanosäädökset, joita käsitellään seuraavassa kohdassa. Hyväksyttyjen luottamuspalvelujen vaatimukset säädetään eidasasetuksen 2-8 jaksoissa. Keskeisiä yleisiä vaatimuksia säädetään 19 ja 24 artiklassa ja palvelukohtaisia vaatimuksia seuraavissa artikloissa: - hyväksytty sähköisen allekirjoituksen varmenne (28 artikla) - hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (asetus 33 artikla) - hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (34 artikla) - hyväksytty sähköisen leiman varmenne (38 artikla) - hyväksytty validointipalvelu hyväksytylle sähköiselle leimalle (40 artikla) - hyväksytty säilyttämispalvelu hyväksytylle sähköiselle leimalle (40 artikla) - hyväksytty sähköinen aikaleima (42 artikla) - hyväksytty sähköinen rekisteröity jakelupalvelu (44 artikla) - verkkosivujen todentamisen hyväksytty varmenne (45 artikla) Luottamuspalvelujen vaatimustenmukaisuuden arvioinnin kannalta keskeisiä ovat 20 ja 21 artiklat. 2.3 Komission täytäntöönpanosäädökset tunnistuspalveluista eidas-asetuksen vaatimuksia tarkennetaan komission täytäntöönpanosäädöksillä. EU:n komission täytäntöönpanoasetus (EU) 2015/1502 (nk. EU:n varmuustasoasetus) teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan mukaisesti EU:n varmuustasoasetuksessa säädetään tunnistusmenetelmien varmuustasojen vaatimukset. Asetusta sovelletaan niihin tunnistusvälineisiin, jotka notifioidaan EU:n komissiolle. Koska tunnistusja luottamuspalvelulaissa viitataan tunnistuspalvelun vaatimuksia koskevissa säännöksissä asetukseen, asetusta sovelletaan lain rinnalla myös tunnistusvälineisiin, joita ei notifioida. EU:n komission täytäntöönpanoasetus (EU) 2015/1501 (nk. EU:n yhteentoimivuusasetus) yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 8 kohdan mukaisesti.

75 MPS (87) EU:n yhteentoimivuusasetus koskee ensisijaisesti Väestörekisterikeskuksen ylläpitämää kansallista solmupistettä. Asetuksen määrittelyt vähimmäis- ja valinnaisattribuuteista on otettu määräyksellä käyttöön myös kansallisessa tunnistuksessa. EU:n komission täytäntöönpanopäätös (EU) 2015/1984 (nk. EU:n notifiointimenettelypäätös) olosuhteiden, muotoseikkojen ja menettelyjen määrittelemisestä sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 5 kohdan mukaisesti EU:n notifiointimenettelypäätöksessä määritellään notifioinnissa ilmoitettavat tiedot ja menettely. Tunnistusmenetelmän (tunnistusvälineen) notifioinnin komissiolle ja muille jäsenvaltioille tekee käytännössä yhdessä tunnistusvälineen tarjoajan kanssa. EU:n komission täytäntöönpanopäätös (EU) 2015/296 (nk. EU:n yhteistyöverkostopäätös) menettelyä koskevien järjestelyjen vahvistamisesta sähköiseen tunnistamiseen liittyvää jäsenvaltioiden välistä yhteistyötä varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 7 kohdan mukaisesti EU:n yhteistyöverkostopäätöksessä säädetään jäsenvaltioiden yhteistyöstä tunnistusmenetelmien notifiointiin liittyvässä vertaisarvioinnissa. on yhteistyöverkoston jäsen. 2.4 Komission täytäntöönpanosäädökset luottamuspalveluista ja sähköisistä allekirjoituksista ja leimoista eidas-asetuksen vaatimuksia tarkennetaan komission täytäntöönpanosäädöksillä. Komission täytäntöönpanopäätös (EU) 2015/1505, annettu 8 päivänä syyskuuta 2015, luotettujen luetteloiden teknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 5 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti) Komission täytäntöönpanopäätöksessä säädetään luotettujen luetteloiden ylläpidosta. Luotettuun luetteloon merkitään hyväksytyt luottamuspalvelut. Ei-hyväksytyt luottamuspalvelut merkitään luetteloon, jos jäsenvaltiossa on niin säädetty tai päätetty. Täytäntöönpanopäätöksen mukaan luotetun luettelon ylläpidossa noudatetaan standardia ETSI TS v Trusted lists. Komission täytäntöönpanopäätös (EU) 2015/1506, annettu 8 päivänä syyskuuta 2015, eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka

76 MPS (87) julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti) Komission täytäntöönpanopäätös koskee sähköisten allekirjoitus ja leimojen PAdES, XadES ja CAdES -formaatteja, jotka jäsenvaltioiden julkisen hallinnon asiointipalveluiden tulisi pystyä vastaanottamaan rajat ylittävässä asioinnissa. Täytäntöönpanopäätöksessä viitataan ETSIn teknisiin eritelmiin, joissa formaatit määritellään. Komission täytäntöönpanopäätös (EU) 2016/650, annettu 25 päivänä huhtikuuta 2016, hyväksyttyjen allekirjoituksen ja leiman luontivälineiden tietoturva-arviointia koskevien standardien vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan ja 39 artiklan 2 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti) Komission täytäntöönpanopäätöksessä säädetään sähköisen allekirjoituksen ja leiman luontivälineen sertifioinnin vaatimuksista. Täytäntöönpanopäätöksessä viitataan ISO/IEC:n ja ETSIn standardeihin. Niitä on toistaiseksi vain allekirjoituksen luontivälineistä, jotka ovat fyysisesti allekirjoituksen tai leiman tekijän hallinnassa. Palvelinpohjaisten luontivälineiden vaatimusten standardointi on käynnissä CENillä. 2.5 Laki sähköisestä asioinnista viranomaistoiminnassa 13/2003 Lakia sähköisestä asioinnista viranomaistoiminnassa muutettiin osittain samaan aikaan kuin tunnistusja luottamuspalvelulakia. Lain 9 :n mukaan viranomaiselle saapunutta sähköistä asiakirjaa ei tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä. Asiakirjan alkuperäisyydellä tarkoitetaan säännöksessä tietoa asiakirjan lähettäjästä ja eheydellä asiakirjan säilymistä muuttumattomana. Lain 16 :ssä säädetään päätösasiakirjan sähköisestä allekirjoittamisesta. 16 Päätösasiakirjan sähköinen allekirjoittaminen Päätösasiakirja voidaan allekirjoittaa sähköisesti. Viranomaisen on allekirjoitettava asiakirja sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklassa säädetyt vaatimukset täyttävällä kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. Viranomaisen päätösasiakirjan allekirjoittamisen tavalle asetetaan 16 :ssä laadullisia vaatimuksia, mutta laissa ei rajoiteta viranomaisen käytössä olevia allekirjoitusmahdollisuuksia ainoastaan kehittyneeseen sähköiseen alle-

77 MPS (87) kirjoitukseen. Myös muunlainen tapa olisi riittävä, kunhan asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. Alkuperäisyydellä tarkoitettaisiin allekirjoittajan henkilöllisyyden tunnistamista ja eheydellä asiakirjan muuttumattomuutta. 2.6 Erityislakien vaatimukset sähköisille allekirjoituksille 3 Viiteluettelo Useissa laeissa määritellään, millaisella sähköisellä allekirjoituksella allekirjoitettuja asiakirjoja voidaan toimittaa kyseisiä lakeja valvoville viranomaisille sähköisesti. Allekirjoituksia koskevia säännöksiä löytyy seuraavista laeista (ks. tarkemmin HE 74/2016 vp): - Maakaari, 9 a luvun 1 - Laki rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä, 18 - Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä - Laki verotusmenettelystä, 93 a - Varainsiirtoverolaki, 56 b - Ennakkoperintälaki, 6 a - Veripalvelulaki, 11 - Arvonlisäverolaki, Verotililaki, 7 - Laki rakennusten energiatodistustietojärjestelmästä, 4 - Valmisteverotuslaki, 32 Edellä olevassa luettelossa ovat mukana lait, joissa ennen muutosta viitattiin tunnistuslakiin ja joita oli muutettava, kun tunnistuslain sähköisen allekirjoituksen säännökset korvautuivat eidas-asetuksen säännöksillä. Luettelo ei siten välttämättä ole tyhjentävä lista kaikista laeista, joissa on vaatimuksia sähköisestä allekirjoituksesta. Linkit aihepiiriin liittyviin säädöksiin on koottu n verkkosivulle ja merkitty viiteluetteloon tähdellä * n ohjeet ja suositukset löytyvät viraston verkkosivuilta ja ne on merkitty viiteluetteloon kahdella tähdellä ** ensuositustenjaselvitystenasiakirjat.html ETSIn standardit löytyvät ETSIn verkkosivulta ja ne on merkitty viiteluetteloon kolmella tähdellä ***

78 MPS (87) [1] * Laki vahvasta sähköisestä tunnistamisesta ja sähköistä luottamuspalveluista (617/2009 muutoksineen, tunnistusja luottamuspalvelulaki) [2] * EU:n komission täytäntöönpanoasetus (EU) 2015/1502 (nk. varmuustasoasetus) teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan mukaisesti [3] * EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (nk. eidas-asetus) [4] FINAS (Finnish Accreditation Service) Turvallisuus- ja kemikaaliviraston (Tukes) akkreditointiyksikkö [5] * Valtioneuvoston asetus vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta 169/2016 (nk. valtioneuvoston luottamusverkostoasetus) [6] ** n ohje 211/2016 O tunnistuspalveluntarjoajan auditoinnin mallikriteeristö [7] ** n ohje 215/2016 O sähköisten tunnistusja luottamuspalveluiden tarkastuskertomuksista [8] ISO/IEC Information security management [9] *** ETSI EN V2.1.1 Electronic Signatures and Infra-structures (ESI); General Policy Requirements for Trust Service Providers [10] EU:n varmuustasoasetuksen epävirallinen soveltamisohje (julkaistu n työryhmäsivulla oryhmat/tunnistaminenjaluottamuspalvelut-tyoryhma.html ) [11] ** n suositus 212/2016 S Finnish Trust Network SAML 2.0 Protocol Profile [12] ** n suositus 213/2016 S OpenID Connect Protocol Profile for the Finnish Trust Network [13] TUPAS, Pankkien Tupas tunnistuspalvelun tunnistusperiaatteet v2.0b [14] *** ETSI TS v Trusted lists. Huom. ETSIn sivulta löytyy toistaiseksi uudempi versio, joka ei vastaa eidas-asetusta, ks. esim.: EwiExuLyl-fPAhUMnRQKHde8Ax0QFgggMAE&url=https%3A%2F%2Filnas.servicespublics.lu%2Fecnor%2FdownloadPreview.action%3FdocumentReference%3D185416& usg=afqjcngrvfbaoedpmkiuzs8wsh1d03n2lq&bvm=bv ,d.d24

79 MPS (87) [15] KATAKRI, Tietoturvallisuuden auditointityökalu viranomaisille, löytyy esim. u_viranomaisille.pdf [16] ENISA, The European Union Agency for Network and Information Security esim. Study on cryptographic protocols [17] n kyberturvallisuuskeskuksen NCSA (National Communications Security Authority, NCSA-FI) - Yleistä NCSA-FI tietoa palvelut/ncsa-fi.html - Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot (ohje dnro 190/651/2015) uusvaatimukset_-_kansalliset_suojaustasot.pdf - n NCSA-toiminnon hyväksymät salausratkaisut ( dnro 238/651/2013) t.pdf [18] NISTin (National Institute of Standards and Technology) FIPS-standardit (Federal Information Processing Standards) [19] SANS (The SANS Institute) [20] eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML, Version 1.0, 6 November _crypto_requirements_for_the_eidas_interoperability_framework_v1.0.pdf [21] IANAn (Internet Assigned Numbers Authority) IKEv2-määritykset ja IANAn ciphersuitet: [22] ENISAn ohjeet luottamuspalveluiden eidas-artiklan 19 häiriöilmoituksista (viitteet lisätään, kun ohjeet on annettu) [23] * Komission täytäntöönpanoasetus (EU) 2015/1501 yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 8 kohdan mukaisesti [24] VTJkysely-palvelu; Sovelluskyselyiden rajapintakuvaus [25] *** ETSI TS Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing qualified certificates

80 MPS (87) [26] BIS, Bank for International Settlements: External audits of banks - The internal audit function in banks [27] Finanssivalvonnan määräys- ja ohjekokoelma std5.pdf [28] *** ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [29] *** ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [30] *** ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [31] *** ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Elec-tronic Time-Stamps [32] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures [33] *** ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons [34] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons [35] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates [36] *** ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements [37] *** ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles [38] *** ETSI EN Policy & security requirements for electronic registered delivery service providers [39] REM (Registered Electronic Mail) TS x -spesifikaatiosarja [40] Eurooppalaisten akkreditointiorganisaatioiden yhteistyöelin EA (European Cooperation for Accreditation): EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article 20.1.

81 MPS (87) [41] *** ETSI EN V2.2.2 ( ) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers [42] ENISA: Auditing Framework for TSPs, Guidelines for Trust Service Providers, Versio December [43] * KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2016/650, annettu 25 päivänä huhtikuuta 2016, hyväksyttyjen allekirjoituksen ja leiman luontivälineiden tietoturva-arviointia koskevi-en standardien vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liit-tyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan ja 39 artiklan 2 kohdan mukaisesti [44] ISO/IEC Information technology -- Security techniques -- Evaluation criteria for IT security -standardisarja [45] ISO/IEC 18045:2008 Information technology Security techniques Methodology for IT security evaluation [46] *** EN Protection profiles for secure signature creation device, osat 1 6 [47] CEN, the European Committee for Standardization - CEN TC 224 / WG 17 G_ID:478566,25&cs= FB7AC1BDE2E621EACB21E71E2 - PP Secure Signature Creation Device (419211) in a user-managed environment; already available - Server signing (419241) for a TSP-managed environment; under development o Part1: Security requirements for signature generation services o Part2: A protection profile for signature activation module to be used in a HSM. - TSP Cryptographic Modules (419221) Development of Protection Profiles o Part 1 to Part 4 almost published (signing operations, key generations) o Part 5 under development: generic crypto module for Trust Service Providers. [48] *** ETSI ( ) DTS/ESI Protocol for TSPs providing signature generation services, osat 1-4 [49] *** ETSI ( ) DTS/ESI Protocol for TSPs providing signature validation services [50] SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement), [51] ITU-R TF.1876 (03/2010) Trusted time source for time stamp authority E.pdf

82 MPS (87) 4 Liiteluettelo [52] * Komission täytäntöönpanopäätös (EU) 2015/1506 eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti. [53] *** ETSIn tekninen eritelmä v (XadES) [54] *** ETSIn tekninen eritelmä v (CAdES) [55] *** ETSIn tekninen eritelmä v (PAdES) [56] *** ETSIn tekninen eritelmä v (Assosioitujen allekirjoitusten säilötiedoston perustason profiili) 1. Luottamuspalvelut ja sähköiset allekirjoitukset

83 MPS (87) LIITE 1 Luottamuspalvelut ja sähköiset allekirjoitukset 1. YLEISTÄ Tässä liitteessä esitellään hyvin yleisellä tasolla eidas-asetuksen tarkoittamat luottamuspalvelut ja sähköiset allekirjoitukset ja leimat. eidas-asetuksessa sähköisiä luottamuspalveluita ovat sähköiset allekirjoitukset ja leimat, niihin liittyvät validointi- ja säilyttämispalvelut, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen. Suurimmalle osalle luottamuspalvelun eri tyypeistä sekä sähköisen allekirjoituksen tai leiman luontivälineelle on mahdollista hankkia hyväksytty (qualified) status eidas-asetuksessa säädetyillä edellytyksillä ja prosessilla. Jos luottamuspalvelulle ei haeta tai ei palvelun tyypin takia voi hakea hyväksyttyä statusta, se on ei-hyväksytty (non-qualified) luottamuspalvelu. 2. SÄHKÖISET ALLEKIRJOITUKSET eidas-asetuksessa määritellään kolme sähköisen allekirjoituksen tasoa, joiden vaatimuksia kuvataan seuraavassa kuvassa.

Näytä lisää