Määräyksen 72 perustelut ja soveltaminen. Sähköinen tunnistaminen ja sähköiset luottamuspalvelut

Transkriptio

1 1 (70) Määräyksen 72 perustelut ja soveltaminen Sähköinen tunnistaminen ja sähköiset luottamuspalvelut MPS 72

2 MPS 72 2 (70) SISÄLLYS A-OSA KESKEISET MUUTOKSET JA MUUTOSHISTORIA Muutokset Sähköinen tunnistaminen Allekirjoitusvarmenteet ja muut luottamuspalvelut Arviointitoiminta Määräyksen keskeinen käsitteistö Muutoshistoria... 7 Vaikutukset Ehdotuksen perusteet Vaihtoehtojen vertailu Tietoyhteiskuntavaikutukset Taloudelliset vaikutukset Vaikutukset viranomaisten toimintaan B-OSA PYKÄLÄKOHTAISET PERUSTELUT JA SOVELTAMISOHJEET LUKU 1 YLEISET SÄÄNNÖKSET Määräyksen tarkoitus Soveltamisala Määritelmät LUKU 2 TUNNISTUSPALVELUN TIETOTURVAVAATIMUKSET Tunnistuspalvelun tarjoajan tietoturvallisuuden hallinnan vaatimukset Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet Tunnistusmenetelmän tietoturvavaatimukset Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Perustelut Suositus salauksesta korkealla varmuustasolla Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Tietoturvavaatimukset asiointipalvelurajapinnassa Tietoturvavaatimukset kansallisen solmupisteen rajapinnassa Tunnistuspalveluntarjoajan häiriöilmoitukset lle Perustelut Toimijoiden väliset ilmoitukset LUKU 3 TIETOJEN VÄLITTÄMINEN LUOTTAMUSVERKOSTOSSA Luottamusverkostossa välitettävät vähimmäistiedot Tunnistetiedot Valinnaiset tiedot Muut tiedot Kuva: Luottamusverkoston rajapinnat Rajapinnat, joista ei määrätä a TUPAS-protokollaa käytettäessä välitettävät tiedot b Korttipohjaista tunnistusvälinettä käytettäessä välitettävät tiedot Rajat ylittävän tunnistamisen edellyttämät tiedot Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välinen rajapinta Asiointipalvelun tyyppi Tiedonsiirrossa käytettävä protokolla ja muut vaatimukset Perustelut Suositus SAML- tai Open ID Connect -protokollan ja profiilien käytöstä LUKU 4 TUNNISTUSPALVELUN AUDITOINTIKRITEERIT Auditointikriteerit Selvitys muiden vaatimusten täyttämisestä Kansallisen solmupisteen arviointiperusteet... 48

3 MPS 72 3 (70) LUKU 5 TUNNISTUSPALVELUN ARVIOINTIELIMEN PÄTEVYYS Tunnistuspalvelun ulkoisen arviointielimen vaatimukset Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset LUKU 6 HYVÄKSYTYT LUOTTAMUSPALVELUT Hyväksytyn luottamuspalvelun tarjoajan arviointikriteerit Perustelut Luottamuspalveluiden määritelmät ja kuvaukset yleisesti Hyväksytyn luottamuspalvelun arviointikriteerit Perustelut Luottamuspalvelut, joiden vaatimuksista ei määrätä LUKU 7 LUOTTAMUSPALVELUJEN VAATIMUSTENMUKAISUUDEN ARVIOINTILAITOKSET Arviointilaitosten pätevyyden arviointi Arviointilaitoksen akkreditointi ja hyväksyntä Akkreditoinnissa käytettävät standardit LUKU 8 HYVÄKSYTYN SÄHKÖISEN ALLEKIRJOITUKSEN JA SÄHKÖISEN LEIMAN LUONTIVÄLINEEN SERTIFIOINTI Sähköisen allekirjoituksen tai leiman luontivälineen vaatimukset Perustelut Palvelinpohjaisen allekirjoituksen keskeneräiset standardit Sertifiointilaitosta koskevat vaatimukset LUKU 9 VOIMAANTULOSÄÄNNÖKSET Voimaantulo ja siirtymäsäännökset C-OSA MÄÄRÄYKSEN AIHEPIIRIIN LIITTYVÄT MUUT ASIAT Suositus tunnistusjärjestelmän kellonajan luotettavuudesta Kehittyneet sähköiset allekirjoitukset Tausta Säädäntötausta Kehittyneiden sähköisten allekirjoitusten tekniset vaatimukset D-OSA LAINSÄÄDÄNTÖ Määräyksen lainsäädäntöperusta Suomen lainsäädäntö Valtioneuvoston asetus vahvan sähköisen tunnistuspalveluntarjoajien luottamusverkostosta 169/ EU:n eidas-asetus Komission täytäntöönpanosäädökset tunnistuspalveluista Muut asiaan liittyvät säännökset Komission täytäntöönpanopäätökset tunnistuspalveluista Komission täytäntöönpanopäätökset luottamuspalveluista Laki sähköisestä asioinnista viranomaistoiminnassa Erityislakien vaatimukset sähköisille allekirjoituksille VIITELUETTELO (KESKEN) LIITELUETTELO... 70

4 MPS 72 4 (70) A-OSA Keskeiset muutokset ja muutoshistoria 1 Muutokset 1.1 Sähköinen tunnistaminen Määräyksen vaatimukset tarkentavat tunnistuslaissa tunnistusjärjestelmälle säädettyjä vaatimuksia. Tunnistuslaissa viitataan myös monessa kohdassa EU:n komission varmuustasoasetuksen (EU) 2015/1502 liitteen 1 eri alakohtiin. Määräyksen vaatimukset ovat yhteensopivat sekä lain että varmuustasoasetuksen kanssa. Arviointivaatimukset ovat laissa uusi EU:n varmuustasoasetuksen kanssa yhdenmukainen vaatimus. Määräyksessä tarkennetaan arviointikriteeristöä yleisellä tasolla. Tarkempi mallikriteeristö laaditaan erikseen ohjeena, joka ei ole pakottava. Eräät tunnistusjärjestelmän ja -menetelmän tietoturvavaatimukset tarkentuvat: salausvaatimukset tietojen säilyttämisessä ja siirrettäessä tietoja sekä tunnistusjärjestelmän hallintaverkkoon pääsyn vaatimukset. Aikaisemmin määräyksen 8 perusteluissa laajasti käsitellyt yleiset tietoturvallisuuden hallintaan sisältyvät riskinhallintavaatimukset katetaan osittain määräyksen tietoturvavaatimuksilla, mutta pitkälti auditointivaatimuksilla. Häiriöilmoitusvaatimuksia tarkennetaan. Aloitus- ja muutosilmoitusvaatimukset jätetään määräyksestä pois. Niistä laaditaan ohje ja nykyisiä lomakkeita muutetaan. Tunnistuspalveluntarjoajien tunnistustapahtumien välityksen yhteentoimivuuden edistämiseksi määräyksessä määrätään niistä tiedoista, joita toimijoiden välisissä rajapinnoissa on kyettävä siirtämään. Tältä osin vaatimukset ulottuvat osittain myös rajat ylittävää tunnistamista toteuttavaan väestörekisterikeskuksen ylläpitämään kansalliseen solmupisteeseen. Tunnistuslain kansallista tunnistuspalveluntarjoajien luottamusverkostoa koskevat yhteentoimivuusvelvoitteet tulevat voimaan Myös määräyksen vaatimuksia luottamusverkoston rajapinnoista aletaan soveltaa tuolloin. Lisäksi pankkitunnusten käyttöön vahvana sähköisenä tunnistusvälineenä on tarkoitus säätää siirtymäaika eräiden tietoturvallisuusvaatimusten noudattamiselle. 1.2 Allekirjoitusvarmenteet ja muut luottamuspalvelut Sääntely uudistuu kokonaisuudessaan siten, että vaatimukset perustuvat valtaosin EU:n eidas-asetukseen ja sääntely laajenee allekirjoitusvarmenteesta useisiin muihin sähköisten asiointipalveluiden toteutuksessa käytettäviin toimintoihin eli luottamuspalveluihin. Luottamuspalvelulla tarkoitetaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: a) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröi-

5 MPS 72 5 (70) tyjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai b) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai c) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä. Määräyksessä listataan ne viitestandardit, joita EU:n tasolla on valmisteltu eri luottamuspalveluille, mutta joista Euroopan komissio ei ole toimivallastaan huolimatta antanut täytäntöönpanosäädöksiä. Määräyksessä ei viitata niihin standardeihin, joiden valmistelu on kesken. Niitä käsitellään tässä MPS-dokumentissa kyseisten luottamuspalveluiden vaatimusten määrittelyn kehitystilanteen selventämiseksi. Keskeneräisiä ovat esimerkiksi sähköisen rekisteröidyn jakelupalvelun (edelivery) standardit ja palvelinpohjaisen allekirjoituksen standardit. 1.3 Arviointitoiminta Tunnistuslain ja eidas-asetuksen mukaan tunnistus- ja luottamuspalveluiden vaatimustenmukaisuuden arviointi on jatkossa pakollista ja siitä täytyy toimittaa valvovalle viranomaiselle arviointi- tai tarkastuskertomus. Arvioija voi palvelusta riippuen olla FINASin akkreditoima vaatimustenmukaisuuden arviointilaitos, muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Määräyksessä määritellään ne kriteerit, joiden perusteella vaatimustenmukaisuuden arvioijan riippumattomuus ja pätevyys arvioidaan objektiivisesti. Kriteerit perustuvat pääasiassa kansainvälisesti tai kansallisesti yleisesti käytettyihin standardeihin, säännöksiin tai ohjeisiin. Omana erityisenä uutena osa-alueenaan määräyksessä tarkennetaan tunnistuslain ja eidas-asetuksen vaatimuksia sähköisen allekirjoituksen tai leiman luontivälineen sertifiointilaitokselle. 1.4 Määräyksen keskeinen käsitteistö Määräyksen kannalta keskeisiä ovat seuraavat tunnistuslain 2 :ssä ja ei- DAS-asetuksen 3 artiklassa säädetyt määritelmät Tunnistuslain 2 1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset; 2) tunnistusvälineellä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 2 kohdassa tarkoitettua sähköisen tunnistamisen menetelmää;

6 MPS 72 6 (70) 3) tunnistuspalvelun tarjoajalla tunnistuksen välityspalvelun tarjoajaa tai tunnistusvälineen tarjoajaa; 4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa; 5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle; 10) luottamusverkostolla on ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa; 11) vaatimustenmukaisuuden arviointilaitoksella, n hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/ artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti. eidas-asetuksen 3 artikla 4) sähköisen tunnistamisen järjestelmällä sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnollisille henkilöille, oikeushenkilöille tai oikeushenkilöä edustaville luonnollisille henkilöille; 6) luottavalla osapuolella luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun; 16) luottamuspalvelulla sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: a) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai b) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai c) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä; 17) hyväksytyllä luottamuspalvelulla luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset; 20) hyväksytyllä luottamuspalvelun tarjoajalla luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman;

7 MPS 72 7 (70) 2 Muutoshistoria 3 Vaikutukset Määräys 72/2016 M korvaa aikaisemmat n määräykset 7 B/2009 M tunnistuspalvelun tarjoajien ja yleisölle laatuvarmenteita tarjoavien varmentajien ilmoitusvelvollisuudesta lle ja 8 C/2010 M tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista. Määräyksessä 7 säädettiin toimijoiden aloitus-, muutos- ja häiriöilmoituksista. Määräyksessä 8 säädettiin tietoturvallisuusvaatimuksista. Laatuvarmenteiden osalta määräykset annettiin ensimmäisen kerran vuonna 2003 ja vuonna 2009 niihin lisättiin vahvan sähköisen tunnistamisen palveluita koskevat vaatimukset. 3.1 Ehdotuksen perusteet Tunnistuspalvelut Tunnistuslain muutosten valmistelun lähtökohdaksi on otettu, että myös kansallisesti edellytetään, että tunnistuspalvelujen tarjonnassa täytetään vähintään sähköisen tunnistamisen varmuustasoasetuksen liitteen mukaiset korotetun varmuustason vaatimukset. Tavoitteena on ollut, että toimijoiden on helppo hakea halutessaan EU-notifiointia missä tahansa vaiheessa, kun ne täyttävät kansallisesti asetetut vaatimukset. Tunnistuspalvelun tarjoajien ei tarvitsisi laatia erillistä tunnistusratkaisua rajat ylittäviä tilanteita ja kansallista tunnistamista varten. Sama tavoite on otettu määräysvalmistelun lähtökohdaksi. Määräyksen valmistelussa on pyritty hyödyntämään mahdollisimman laajasti kansainvälisiä standardeja, vaatimusmäärittelyjä ja ilmoittamistapoja. Ratkaisulla pyritään helpottamaan myös rajat ylittävää palveluntarjontaa ja välttämään kansallisesti räätälöityjä vaatimuksia. Luottamuspalvelut Yleisesti luottamuspalveluiden sääntelyn tavoitteena on tietoyhteiskuntakehitys ja luottamuksen lisääminen sähköiseen asiointiin. Luottamuspalveluiden sääntelyllä autetaan sähköisten palveluiden toteuttajia ja käyttäjiä tunnistamaan ne palvelut, joiden avulla on mahdollista toteuttaa sähköisten asiointipalveluiden eri toiminnot mahdollisimman tietoturvallisesti. Määräyksen tavoitteena on selkeyttää hyväksyttyjen luottamuspalvelujen eidas-asetuksessa säädettyjä vaatimuksia viittaamalla EU:n valmistelutyössä viitoittamiin kansainvälisiin standardeihin siltä osin, kun niihin ei ole ainakaan toistaiseksi tehty viittauksia komission täytäntöönpanosäädöksillä, vaikka siihen olisi eidas-asetuksessa toimivalta. Standardiviittaukset määräyksessä tukevat myös sitä, mitä ainakin tulee huomioida mahdollisten vaatimustenmukaisuuden arviointilaitosten pätevyysvaatimuksena, kun niitä akkreditoidaan.

8 MPS 72 8 (70) Arviointitoiminta n määräyksen tavoitteena on selkeyttää toimijoille ja vaatimustenmukaisuuden arviointilaitoksille luottamuspalveluiden vaatimuksia siltä osin, kun komissio ei ole käyttänyt luottamuspalveluihin liittyvää säädäntötoimivaltaansa ja antanut täytäntöönpanosäädöksiä, joissa viitattaisiin tarpeellisiin standardeihin. Tunnistuspalveluiden arvioinnin osalta määräyksen tavoitteena on selkeyttää toimijoille, millä perusteella niiden käyttämät auditoijat ovat päteviä tekemään tunnistusjärjestelmän auditointeja. Tunnistuspalveluntarjoajan auditoijan ei tarvitse hakea erikseen hyväksyntää, ellei se ole vaatimustenmukaisuuden arviointilaitos. Määräyksen tavoitteena on, että toimijat voisivat mahdollisimman paljon hyödyntää auditointeja, joita ne tekevät tai teettävät jo ennestään. Määräys vai muu ohjauskeino Kaikkia määräysvaatimuksia valmisteltaessa on tarkasteltu myös sitä, voisiko lain tavoitteet saavuttaa tehokkaammin ja tarkoituksenmukaisemmin jollain muulla ohjauskeinolla kuin määräyksellä. Vaihtoehtoisina tai täydentävinä keinoina on tarkasteltu: - ohjeita ja suosituksia, jotka eivät ole pakottavia kuten määräys - yhteissääntelyä, jossa toimiala laatii menettelyohjeita lain tavoitteiden toteuttamiseksi ja jota harjoitetaan joka tapauksessa valtioneuvoston asetuksen 169/2016 ohjaamana tunnistuspalveluntarjoajien luottamusverkostossa n vetämänä - informaatio-ohjausta, jossa toimijat tai viranomainen tuottaa yhteismitallista julkista tietoa Määräys on valittu ohjauskeinoksi niissä tilanteissa, joissa on nähtävissä, että muut keinot eivät ole toimijoiden kannalta riittävän ennakoitavia ja tasapuolisia tai palveluiden käyttäjien ja niihin luottavien tahojen kannalta riittävän tehokkaita sääntelyn tavoitteiden saavuttamiseksi. Määräyksen, ohjeiden ja suositusten laatimisessa on joka tapauksessa vahvoja yhteissääntelyn piirteitä, koska ne laaditaan avoimessa työryhmäyhteistyössä toimijoiden kanssa. 3.2 Vaihtoehtojen vertailu Tunnistuspalveluiden auditointivaatimukset yleisesti Tunnistuslaissa tullaan edellyttämään (HE 74/2016), että tunnistuspalveluntarjoaja hankkii vaatimustenmukaisuuden arvioinnin. Arvioinnin voi lain 29 :n mukaan tehdä vaatimustenmukaisuuden arviointilaitos, muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Arvioinnin täytyy EU:n varmuustasoasetuksen liitteen 1 kohdan mukaan kattaa kaikki palvelujen tarjonnan kannalta merkitykselliset toimintalohkot. Viittaus varmuustasoasetukseen on tunnistuslain 8.1 :n 5 alakohdassa, joka koskee tieto-

9 MPS 72 9 (70) turvallisuuden hallintaa. Arviointielimen riippumattomuus- ja pätevyysvaatimuksista säädetään lain 33 :ssä. lle on tulossa tunnistuslain 42 :ssä määräysvaltuus tunnistuspalvelun vaatimustenmukaisuuden arviointiperusteista ja arviointielinten pätevyysvaatimuksista. Lakia tarkentavien auditointivaatimusten vaihtoehtojen ja vaikutusten arviointi on määräyksen valmistelun tärkein osa-alue tietoturvallisuuden, toimijoiden tasapuolisen kohtelun, toimijoille aiheutuvien taloudellisten vaikutusten ja viranomaistoiminnan resursoinnin kannalta. Seuraavissa kohdissa käsitellään vaihtoehtoja, joita auditointivaatimusten ja auditoijien riippumattomuus- ja pätevyysvaatimusten valmistelussa on harkittu. Määräyksen tavoitteena on tarkentaa lain yleiset vaatimukset siten, että toimijat pystyvät ennakoimaan, mitä sääntelyssä vaaditaan auditoinneilta ja auditoijilta. On huomattava, että kaikki toimijat ovat toteuttaneet auditointeja aikaisemminkin, vaikka tunnistuslaissa ei ole niitä nimenomaisesti edellytetty. on kerännyt vaikutusarvioinnin tueksi toimijoilta tiedot toteutetuista auditoinneista ja näissä hyödynnetyistä auditointikriteereistä Tunnistuspalveluiden auditointien kattavuusvaatimukset Arvioitava kysymys: onko auditoinnin katettava kaikki vaatimusten osa-alueet, joista säädetään tunnistuslaissa ja EU:n varmuustasoasetuksessa, johon laissa viitataan. Vaikutusarvioinnin lähtökohdat EU:n varmuustasoasetuksen mukaan määräajoin tehtävän auditoinnin täytyy kattaa kaikki palvelujen kannalta merkitykselliset toimintalohkot, jotta voidaan varmistaa sovellettavien toimintaperiaatteiden noudattaminen. Merkitykselliset toimintalohkot voidaan jaotella karkeasti kolmeen osaalueeseen, joita ovat palveluntarjoajan luotettavuus, tunnistusjärjestelmän luotettavuus ja tunnistusmenetelmän luotettavuus. Näistä kaksi jälkimmäistä liittyvät tietoturvallisuuden hallintaan ja toteuttamiseen, joihin tietoturvallisuusauditoinnit yleensäkin kohdistuvat. Vaatimusten täytyy kohdistua tasapuolisesti kaikkiin toimijoihin ja tästä syystä auditoitavien osa-alueiden täytyy olla kaikilla toimijoilla samat sen sijaan, että toimijat voisivat itse valita jossain rajoissa, mitkä osa-alueet auditoidaan ja minkä vaatimustenmukaisuudesta toimija antaa selvityksen itse. Yhteismitallisten raporttien valvonta on myös viranomaisen kannalta tehokasta. Linjaukset

10 MPS (70) Auditoinnin ei tarvitse kattaa palveluntarjoajan yleistä luotettavuutta tai käyttäjille ja luottaville osapuolille tarjottavia tietoja palvelusta (tunnistusperiaatteet, sopimusehdot, hinnastot). Näistä riittää toimijan oma selvitys. Auditoinnin täytyy kattaa kaikki tunnistuspalvelun tarjontaan vaikuttavan toiminnan tietoturvan ja tunnistusmenetelmän tietoturvan osa-alueet. Arvioinnin voi koota useamman auditoijan tai arviointielimen useisiin kriteeristöihin perustuvista auditoinneista. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Suosituksella voidaan helpottaa toimijoita hahmottamaan, miten nykyisistä auditoinneista saa koottua tarvittavan kokonaisuuden ja mitä mahdollisesti tarvitaan lisää. Suositus tai ohje laaditaan. Yhteissääntely. Ei relevantti. Tunnistuspalveluntarjoajien luottamusverkoston tekeillä olevat käytännesäännöt vastaavat velvoittavuudeltaan n suositusta. Auditointien kattavuuden määrittely liittyy siihen, missä määrin arviointityö on n valvonnan varassa ja miltä osin vaatimustenmukaisuuden varmistamista tukee säännöllinen riippumaton ja pätevä auditointi. Informaatio-ohjaus. Vaihtoehtona voisi tarkastella sitä, että tiedot toimijoiden auditointien kattavuudesta julkaistaisiin. On kuitenkin vaikea nähdä, miten tämä kannustaisi siihen, ettei osaa asioista olisi jätetty n arvioitavaksi, mikä olisi epätasapuolista ottaen huomioon sen, että rekisteröinti- ja valvontamaksu on kaikille toimijoille sama. Auditointien kattavuutta koskevien tietojen julkaiseminen sellaisenaan voi olla ongelmallista myös liikesalaisuuksien näkökulmasta Tunnistuspalvelun auditointikriteeristön tarkkuustaso määräyksessä Arvioitava kysymys: Millä tarkkuudella tunnistuspalvelun arviointivaatimukset eli auditointikriteeristö laaditaan määräykseen. Vaihtoehdot ovat yksityiskohtainen yhdenmukainen kriteeristö tai yleistason kriteeristö, jota täydennetään soveltamissuosituksella. Vaikutusarvioinnin lähtökohdat Yleisesti arviointikriteeristön määrittely määräyksessä edistää kilpailun tasapuolisuutta, kun kaikki joutuvat panostamaan arviointiin yhtäläisellä tasolla. Edelleen arviointien vähimmäistason määrittely määräyksessä edistää tietoturvallisuuden ylläpitoa. Sen arvioidaan sinänsä olevan keskimäärin hyvällä tasolla, mutta vähimmäistasolla on merkitystä alalle tulijoiden toiminnan tason kannalta. Luottamusverkoston toiminnan kannalta on oleellista, että sen jäsenet voivat luottaa varmuudella myös alalla aiemmin toimimattomien palveluntarjoajien täyttävän tietoturvallisuudelta vaaditun vähimmäistason.

11 MPS (70) n on helpompi arvioida tasapuolisesti yhdenmukaisten auditointiraporttien pohjalta sitä, että toimija täyttää tunnistuslaissa tai eidasasetuksessa sille asetetut vaatimukset myös uusien toimijoiden osalta. Sääntelyssä varaudutaan siihen, että markkinoille tulee uusia toimijoita erityisesti tunnistusvälityspalvelun, mutta myös tunnistusvälineiden tarjoajaksi. Vaihtoehto 1, tarkka kriteeristö määräyksessä. Yhdenmukainen toteutus ja ohjaus vähentäisivät viranomaistoiminnan kustannuksia, joita aiheutuisi yrityskohtaisesta vaatimusten selvittämisestä ja tulkinnasta sekä vähentäisivät riskiä siitä, että valvova viranomainen ei pitäisi yrityksen tulkintaa riittävänä. Yhdenmukainen kriteeristö on myös hyvä työkalu esimerkiksi sisäistä tarkastusta tekeville. Tunnistuspalvelu on tyypillisesti vain pieni osa tarkastettavaa tuotantokokonaisuutta eikä sisäinen tarkastus välttämättä pysty aivan helposti tunnistamaan kaikkia siihen liittyviä erityiskysymyksiä. Kriteeristö olisi siten hyvä tuki tähänkin. Tarkka auditointikriteeristö on kuitenkin vaikea määritellä riittävän joustavaksi. Toimijoiden saattaa olla hankalaa sovittaa tarkka kriteeristö täysmittaisesti käytössään oleviin auditointeihin. Tarkkaan kriteeristöön tarvitaan myös todennäköisesti muutoksia useammin kuin yleispiirteiseen kriteeristöön. Tällä on vaikutusta myös n työmäärään. Vaihtoehto 2, yleispiirteinen kriteeristö määräyksessä Yleispiirteinen kriteeristö on joustava siinä mielessä, että sen voi täyttää monenlaisilla auditoinneilla. Se myös kestää aikaa paremmin kuin tarkka kriteeristö. Toisaalta auditoinnin suunnitteluvaihe voi tässä vaihtoehdossa olla toimijalle työläämpi, koska täytyy varmistaa, että toimijan omassa käytössä olevien kriteeristöt kattavat kaikki vaatimukset. Tätä soveltamista voidaan tukea määräyksen yleistä kriteeristöä selittävällä suosituksella. Virastolle toimitettavan auditointiraportin voi koostaa useammista tehdyistä auditoinneista. Kun yleinen jaottelu on yhdenmukainen, raporttien valvonta on helpompaa. Linjaus Määräyksen luettelo asioista, jotka arvioinnin täytyy kattaa, laaditaan yleisellä tasolla ja siinä tukeudutaan EU:n varmuustasoasetuksen mukaiseen vaatimusten ryhmittelyyn. Tällöin toimijat voivat hyödyntää joustavasti auditointikriteeristöjä, joita ne muutoinkin jo käyttävät. Toisaalta toimijoiden täytyy arvioida ja varmistaa, että niiden käyttämät eri standardeihin kriteeristöt todella kattavat kaikki vaaditut tunnistusjärjestelmän arvioinnin osa-alueet. jou-

12 MPS (70) tuu myös tarkastuskertomuksia valvoessaan arvioimaan, että tämä toteutuu. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Laaditaan n suosituksena määräyksen yleistason vaatimuksia tarkentava auditointikriteeristö, jonka läpikäymällä ainakin täyttää auditointivaatimukset. Ks. tarkemmin kohta Yhteissääntely. Valmistelussa ei ole havaittu, että luottamusverkoston tekeillä oleviin käytännesääntöihin olisi tarvetta ottaa auditointiin liittyviä vaatimuksia. Alalle tulon kynnyksen ja mahdollisten kilpailuoikeudellisten kysymysten kannalta on myös parempi, että viranomainen vastaa vähimmäisvaatimusten asettamisesta. Tiedonvaihto erilaisten kriteeristöjen hyödyntämisestä ja tulkintakysymyksistä voi toki soveltua yhteissääntelyn piiriin. Informaatio-ohjaus. Valmistelussa on harkittu vaihtoehtona sitä, että tietoa toimijoiden käyttämistä auditointikriteeristöistä julkaistaisiin n verkkosivuilla olevassa rekisterissä. Tietoturvallisuuden ylläpito on kuitenkin perusvaatimus, jonka vähimmäistasoa ei voida pitää kilpailuasiana Minkä standardien pohjalta laaditaan tunnistuspalvelun auditoinnin suosituskriteeristö Arvioitava kysymys: mitä lähdekriteeristöjä käytetään mallikriteeristön laatimisessa. Mahdollisia olisivat esimerkiksi ISO ja ISO 27002, Katakri, PCI-DSS, Webtrust ja/tai Fivan määräykset. Vaikutusarvioinnin lähtökohdat Toimijat voivat käyttää suosituksena tai ohjeena laadittavaa mallikriteeristöä apuna auditoinneissa tai omien auditointiensa kattavuuden tarkistamisessa. Kriteeristöllä ei aseteta varsinaisia tietoturvavaatimuksia vaan tarkistuslista auditoitavista asioista. Sekä edellä käsitellyn määräykseen otettavan kriteeristön että ohjeellisen mallikriteeristön valmistelussa on selvitetty kyselyllä, mitä kriteeristöjä ja standardeja toimijat tällä hetkellä käyttävät. Tällä perusteella on pyritty arvioimaan, ensinnäkin sitä, mitkä standardit ovat yleisimmin käytössä ja toiseksi sitä, kuinka paljon toimijat mahdollisesti tarvitsevat uusia auditointeja. Kyselyn perusteella ei muodostunut selkeää kuvaa siitä, miten toimijoiden nykyiset auditoinnit kaiken kaikkiaan kattavat tunnistusjärjestelmän eri osa-alueet ja vastausten perusteella vaikuttaa siltä, ettei auditoinneissa ole erityisesti eritelty tunnistusjärjestelmän toteutusta tai vertailtu auditoitavia asioita tunnistusjärjestelmän vaatimuksiin. Edelleen kyselyn perusteella käytettävien standardien ja ohjeiden kirjo on laaja. Toisaalta vastausten

13 MPS (70) perusteella vahvistui se käsitys, että auditointeja sinänsä käytetään vakiintuneesti. Vaihtoehtona on valmistelussa harkittu kansallista Katakria, koska sen laatimisessa on huomioitu useita kriteeristöjä ja laadittu käyttökelpoisia konkreettisia kriteerejä. Kansainvälisiin standardeihin perustuvat kriteerit ja niihin perustuva auditointi tunnistetaan kuitenkin myös Suomen ulkopuolella. Kansalliset kriteerit voivat myös nostaa markkinoille tulon kynnystä. Linjaukset Määritellään mallikriteeristö pääosin ISO standardin perusteella, koska tämä on yleisimmin käytetty ja myös EU:n varmuustasoasetuksen soveltamisohjeen oletusstandardi. Tarvittavia tarkennuksia laaditaan ISO standardia täydentävän ISO standardin perusteella. Täydennyksenä tarkastellaan muita kansainvälisiä standardeja, joista Webtrustsäännöstö huomioidaan ISO tapaan EU:n varmuustasoasetuksen soveltamisohjeessa. ETSI:n standardissa ETSI EN V2.1.1 Electronic Signatures and Infra-structures (ESI); General Policy Requirements for Trust Service Providers puolestaan on varmennepohjaiseen tunnistamiseen soveltuvia elementtejä, vaikka standardi liittyy EU-sääntelykehyksessä luottamuspalveluihin (ks. viittaus kohdassa 20.1). Ei oteta mallikriteeristöön Katakriin perustuvia itsenäisiä tarkistuskohtia. Ei tarkastella mallikriteeristön valmistelussa yksityiskohtaisesti pankkisektorin sektorikohtaisia ohjeita tai standardeja, mutta toimijat voivat käyttää niitä edellyttäen, että auditoinnissa huomioidaan tunnistusjärjestelmän vaatimukset. Näiden vaatimusten huomioiminen on osoitettava lle toimitettavassa arviointikertomuksessa Tunnistuspalveluntarjoajan sisäisen tarkastuslaitoksen riippumattomuus- ja pätevyys Arvioitava kysymys: miten tunnistuspalveluiden sisäisen tarkastuksen vaatimukset määritellään ennakoitavasti ja yleispätevästi siten, että ne takaavat objektiivisesti luotettavan, riippumattoman ja pätevän arvioinnin ja samalla mahdollistavat esim. muuhun sektorikohtaiseen, kuten finanssialan säädäntöön, perustuvat tarkastuskehykset Näkökohtia vaikutusarviointiin Tunnistuslain 33 :n yleiset riippumattomuus- ja pätevyysvaatimukset koskevat myös sisäistä tarkastusta. voi määrätä arviointielimen pätevyysvaatimuksista ja tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista. Arviointiperusteiksi voidaan määrätä säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

14 MPS (70) Määräyksen vaatimusten tarkoitus on turvata sitä, että sisäisen tarkastuksen pätevyysvaatimukset ovat yleispäteviä, tasapuolisia ja ennakoitavia. Tavoitteena on ollut koota esimerkkiviitteitä sellaisiin säännöstöihin, joihin sisäisen tarkastuksen riippumattomuus ja pätevyys voi objektiivisesti arvioiden perustua sen sijaan, että se perustuisi vain toimijan omaan arvioon ja toimintatapaan. Sisäisen tarkastuksen pätevyysvaatimusten valmistelussa on pyritty selvittämään erityisesti pankkien sisäisen tarkastuksen sääntelyperustaa, koska sisäinen tarkastus on alalla vakiintuneesti käytössä ja sitä säännellään mm. Finanssivalvonnan määräyksillä ja ohjeilla. Työryhmältä ei saatu määräyksen valmistelun yhteydessä tietoa sisäisen tarkastuksen sääntelystä, standardeista tai ohjeistuksesta muilla aloilla. EU:n varmuustasoasetuksen soveltamisohjeessa todetaan seuraavaa: Standardissa SFS-EN ISO on johtamisjärjestelmien auditointia koskevia ohjeita, mukaan lukien sisäisen ja ulkopuolisen tarkastuksen periaatteet sekä ohjeita siitä, miten tarkastusprosessiin osallistuvien henkilöiden osaamista voidaan arvioida. Valmistelussa kyseinen standardi on kuitenkin arvioitu varsin yleispiirteiseksi. Lisäksi valmistelussa on saatu tietoturvallisuuden arviointisektorilta tieto, että sisäisestä auditoinnista on olemassa IIA-standardeja. Näihin ei ole valmistelussa perehdytty, eikä mikään nykyisistä toimijoista ole todennut käyttävänsä niitä. Linjaukset Määräyksen vaatimukset sisäiselle tarkastukselle laaditaan siten, että esimerkit antavat selvän käsityksen sitä, millaisiin säännöksiin, standardeihin tai ohjeisiin riippumattomuus ja pätevyys voi perustua. Tavoitteena on, että erityisesti pankit voivat hyödyntää sektorikohtaiseen sääntelyyn perustuvia tarkastuksiaan. Edellytyksenä on, että nämä tarkastukset kohdistuvat muun ohessa myös tunnistusjärjestelmään. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. on arvioinut valmistelussa, että vaatimukset on tarpeen määritellä ennakoitavasti pakottavalla säännöksellä, jotta on tarvittaessa myös perusteet hylätä toimijan subjektiiviseen näkemykseen tukeutuvat sisäiset arvioinnit. Yhteissääntely. Ei ole tarkasteltu. Informaatio-ohjaus. Ei ole tarkasteltu erikseen vertailukelpoisen tiedon tuottamista sisäisen tarkastuksen laadun ohjauskeinona. Muutoin valmistelussa on todettu, että tietoturvallisuus ja sen hallinta on perusvaatimus, jonka vähimmäistaso ei ole kilpailutekijä.

15 MPS (70) Tunnistuspalveluntarjoajien luottamusverkoston rajapinnat yleisesti Tunnistuslain 12 a.2 :n mukaan tunnistuspalveluntarjoajan on tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Valtioneuvoston luottamusverkostoasetuksen mukaan 12 a.2 :ssä tarkoitettuja teknisiä rajapintoja ovat 1) tunnistusvälineen tarjoajien välinen rajapinta, 2) tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välinen rajapinta ja 3) tunnistusvälityspalvelun tarjoajan ja tunnistuspalveluun luottavan osapuolen välinen rajapinta. Asetuksen mukaan luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on tarjottava 1 momentin 1 ja 2 kohdassa tarkoitetuissa rajapinnoissa kummassakin vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. voi määrätä 12 a :n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista. Seuraavissa kohdissa arvioidaan tarkemmin, - määrätäänkö käytettävistä protokollista, - miten määritellään rajapinnassa välitettävät vähimmäistiedot ja - miten suhtaudutaan siihen, että TUPAS-protokollan ominaisuudet tai käyttötavat eivät täytä yhteentoimivuuden ja tietoturvallisuuden kannalta määräysvalmistelussa tarpeelliseksi arvioituja vaatimuksia Rajapinnat: protokollat Arvioitava kysymys: millä tarkkuudella rajapintavaatimukset laaditaan määräykseen suhteessa yksittäisiin protokolliin, kuten SAML ja Open ID Connect. Mahdollistetaanko toisin sanoen myös muiden protokollien käyttö. Miten huomioidaan puhtaasti kansallinen TU- PAS-protokolla, joka ei kaikilta osin näytä pystyvän täyttämään vaatimuksia ja jonka kehityssuunnitelmista tai mahdollisuuksista ei ole ollut määräyksen valmistelussa varmaa tietoa. Arvioinnin lähtökohdat Valmistelussa on tarkasteltu kolmea protokollaa: SAML, Open ID Connect ja TUPAS. SAML on yleinen kansainvälisesti ja on myös määritelty eidas-asetusta tarkentavassa EU-sääntelyssä ja -ohjeistuksessa kansainvälisen välittämisen rajapinnaksi. Open ID Connect on yleistymässä ja on käytössä erityisesti mobiilivarmentamisessa. Koska pankkien tarjoamat tunnisteet perustuvat puhtaasti kansallisesti määriteltyyn vanhaan TUPAS-protokollaan, on määräystä valmisteltaessa harkittava poikkeusta siitä yleisesti noudatetusta periaatteesta, että noudatetaan ensisijaisesti kansainvälisesti yleisiä standardeja.

16 MPS (70) TUPAS-prokollan mukaan ottamisen vaikutukset toiminnan jatkuvuuteen ovat myönteisiä, koska nykyinen tarjonta asiointipalveluille voi jatkua ilman katkosta. Asiointipalveluiden kannalta tämä ei edellytä välittömiä muutoksia. Vaikutukset kilpailuun ja tekniseen kehitykseen voivat olla negatiivisia, koska TUPAS-protokollaan ei ole ollut tiedossa kehityssuunnitelmia ja se edellyttää uusilta välitystoimijoilta sopeutumista puhtaasti kansalliseen protokollaan, mikä voi heikentää markkinoille tulon kiinnostavuutta. TUPASprokollan oikeudet omistava Finanssialan keskusliitto on kuitenkin käynnistänyt sidosryhmiensä kanssa arvioinnin protokollan kehitysmahdollisuuksista. Protokollan tehtävä on määritellä yhteentoimivasti tiedot ja niiden siirtotapa, jotta tiedot voidaan siirtää toimijoiden välillä. Mitä vähemmän eri protokollia toimijoilla on käytössä, sitä helpompaa on tältä osin sopimusten aikaansaaminen luottamusverkoston toimijoiden välillä. Linjaukset Ei määrätä, mitä protokollia on käytettävä, vaan tämä jää toimijoiden sovittavaksi. Sen sijaan määrätään lopputuloksesta, joka protokollalla on saatava aikaa eli vähimmäistiedoista, jotka protokollan avulla on kyettävä siirtämään (ks. seuraava kohta) ja rajapinnan tietoturvavaatimuksista. Malliprofiilit laaditaan SAML ja Open ID Connect -protokollille ja suositellaan näiden käyttöä. TUPAS-protokollan kehitystyötä seurataan aktiivisesti Rajapinnat: välitettävät attribuutit ja muut tiedot Arvioitavat kysymykset: vaaditaanko kansallisesti samat vähimmäistiedot kuin eidas-asetus edellyttää rajat ylittävässä siirrossa. Miten huomioidaan eidas-asetuksen valinnaiset attribuutit. Otetaanko määräyksessä kantaa siihen, mitä tietoja välineen myöntäjän on välitettävä välityspalvelulle. Käytetäänkö HETUa vai SATUa. Vaikutusarvioinnin lähtökohdat Välitettävät vähimmäistiedot voidaan määritellä kansallisten käytäntöjen mukaisesti tai huomioiden eidas-asetuksen rajat ylittävää tunnistamista varten laadittu lista vähimmäistiedoista. Luonnollisen henkilön osalta ei- DAS-asetuksen mukaisissa vähimmäistiedoissa ei ole olennaista eroa kansalliseen käytäntöön. eidas-asetuksen mukaisia valinnaisia tietoja ei juurikaan ole käytössä. Oikeushenkilön vahvat sähköiset tunnistusvälineet eivät tähän asti ole lain mukaan mahdollisia, joten niiden tunnistetiedoista ei ole omaksuttuja käytäntöjä. Vähimmäistiedot riittävät siihen, että luonnollinen tai oikeushenkilö kyetään yksilöimään luotettavasti. Valinnaiset tiedot voivat olla tarpeen joillekin asiointipalveluille. Luonnollisten henkilöiden että eidas-asetuksen mukaiset

17 MPS (70) valinnaiset tiedot ovat sinänsä tietoja, jotka tarvittaessa ovat luotettavasti saatavissa väestötietojärjestelmästä. Oikeushenkilön osalta valinnaiset tiedot perustuvat EU-sääntelyyn, joten niiden voidaan olettaa olevan tarvittaessa sektorikohtaisesti saatavissa. Kun eidas-asetuksessa tavoitteena oleva rajat ylittävä tunnistaminen aikanaan tulee käyttöön julkisella ja mahdollisesti myös yksityisellä sektorilla, se on helpompi toteuttaa, kun välitettävät tiedot on jo valmiiksi määritelty eidas-asetuksen mukaisesti. Linjaukset Kansallisesti vaadittavat vähimmäistiedot määritellään sekä luonnollisen henkilön että oikeushenkilön osalta yhdenmukaisesti eidas-vaatimusten kanssa, jotta sama profiili kelpaa sekä kansallisesti että kansainvälisesti. Edellytetään, että rajapinnoissa on valmius myös eidas-asetuksen mukaan valinnaisten tietojen välittämiseen. Valinnaisten tietojen välittäminen on sopimuskysymys, johon ei oteta kantaa määräyksessä. Tekninen valmius helpottaa tarvittaessa sopimusten tekemistä. Henkilötunnisteena voi käyttää HETUa tai SATUA ja malliprofiileissa huomioidaan vaihtoehtona molemmat. Lisäksi varataan kenttä muulle tunnisteelle, joka voi olla esimerkiksi toimialakohtainen, sopimukseen perustuva tai rajat ylittävässä tunnistamisessa välitettävä tunniste. Valinnaisten tietojen osalta tulee mietittäväksi myös kysymys, kuuluuko tietojen hankkiminen esimerkiksi väestötietojärjestelmästä tunnistusvälineen myöntäjän vai välityspalvelun vastuulle. Laissa ei näyttäisi olevan perusteita ottaa tähän kantaa määräyksessä ja kysymykseen liittynee tunnistuslain 12 a :ssä säädetyn enimmäishinnan tulkintaa. Näin ollen asiaa ei käsitellä tässä määräyksessä Rajapinnat: TUPAS-kysymykset Arvioitava kysymys: Miltä osin TUPAS-protokollalta voi vaatia samoja asioita kuin muilta, miltä osin vaatimukset voi täyttää TUPASprotokollan ominaisuuksilla (vastaavat) tai muutoin, miltä osin on muutettava ja mitkä ovat vaadittavien muutosten siirtymäajat TUPAS-protokollan yleinen tarkastelu Valmistelussa on arvioitu TUPAS-protokollaa ja sen vakiintuneita käyttötapoja kahdesta näkökulmasta: tietoturvallisuusvaatimusten kannalta ja välitettävien attribuuttien kannalta. Tietoturvallisuus TUPAS-protokollan mahdollistamien salausmenetelmien kykyä täyttää määräyksen vaatimukset tarkastellaan vielä Finanssialan keskusliiton työryhmässä. Tarkastellaan ainakin välitettävien tietojen salaamista ylipäätään

18 MPS (70) (luottamuksellisuus) ja tietojen allekirjoittamista (eheys) ja näihin liittyen tiivistefunktioita, salausalgoritmejä ja allekirjoitusavaimia. Lisäksi käsitellään TLS 1.2 protokollan käyttämistä. Edelleen tarkastellaan kahdenvälisen luotetun, jollain varmenteella allekirjoitetun, "kättelytiedon" välittämistä luottamussuhdetta perustettaessa joko metadatan avulla tai muutoin. Välitettävät attribuutit TUPAS-protokolla ei mahdollista varmuustasotiedon välittämistä. Se ei myöskään mahdollista tiedon välittämistä siitä, onko asiointipalvelu julkinen vai yksityinen. TUPAS-protokollaa käytettäessä pakolliset henkilötiedot pystytään välittämään, mutta niiden tietojen muotoilu voi vaihdella, koska sitä ei ole määritelty yhtenäisesti. TUPAS-prokotollaa käytettäessä välityspalvelu tai asiointipalvelu ei siten lähtötilanteessa saa rajapinnan kautta niitä tietoja, jotka vaaditaan välitettäväksi. Tämä edellyttäisi mahdollisesti erillistä sopimista siitä, miten varmuustaso todetaan, mikä ei ole luottamusverkoston yhteentoimivuusvaatimusten idean mukaista. Henkilötietojen välitys TUPAS -asiointipalvelurajapinnassa Arvioitava kysymys: vaaditaanko muuttamaan nykyistä TUPASprotokollaa ja sen käyttöä siten, ettei henkilötunnuksen välittäminen selväkielisenä ole enää sallittua, vaan on käytettävä protokollassa ennestään määriteltyjä muita tapoja. Jos vaaditaan, kuinka pitkä siirtymäaika määrätään. Asiointipalvelun ja tunnistuksenvälityspalvelun välisen rajapinnan määrittelyt vaikuttavat siihen, miten asiointipalvelun täytyy toteuttaa oma järjestelmänsä. Rajapinnassa on tunnistettu valmistelussa TUPAS-protokollalle ominainen tietoturvakysymys, joka liittyy HETUn toimittamiseen selkokielisenä URLissa asiointipalvelulle. TUPAS-protokolla sinänsä mahdollistaa HE- TUn siirrolle useamman vaihtoehdon, myös turvallinen vaihtoehto on siis määritelty. Käytännössä toteutus kuitenkin sopeutetaan asiointipalvelun vaatimuksiin ja vallitseva tapa on HETUn selväkielinen välitys. arvioi, että salaamattoman HETUn välittäminen ei täytä EU:n varmuustasoasetuksen seuraavia vaatimuksia: Tekniset tarkastukset (LUE: Kontrollit tai toimenpiteet) MATALA 1. Käytössä on oikeasuhteiset tekniset tarkastukset palvelujen turvallisuuteen kohdistuvien riskien hallitsemiseksi ja käsiteltävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi.

19 MPS (70) 2. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. 5. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. Soveltamisohje: On tärkeää pitää erillään luottamuksellisuuden ja eheyden suojaamista koskevien vaatimusten arviointi. Eheyden (tai aitouden) suojaaminen määräytyy periaatteessa varmuustason mukaan, mutta henkilöihin liittyvän tiedon luottamuksellisuuteen vaikuttavat myös tietojen tyyppi sekä mahdolliset suojaamista koskevat lainsäädännölliset vaatimukset. Henkilötietojen luottamuksellisuus on suojattava ja käytössä on oltava turvatoimenpiteitä, jotka pohjautuvat riskiperusteista lähestymistapaa hyödyntävään arviointiin valitun tietoturvallisuuden hallintajärjestelmän mukaisesti. Turvatoimenpiteiden kattamia osa-alueita ovat esimerkiksi tietomurrot, väärinkäytökset, palvelunestohyökkäykset ja hajautetut palvelunestohyökkäykset Todentamismekanismi MATALA 2. Jos henkilön tunnistetiedot tallennetaan osana todentamismekanismia, nämä tiedot on suojattu niiden menetykseltä ja vaarantamiselta, mukaan lukien analyysi verkkoympäristön ulkopuolella. Soveltamisohje: Tallennettuihin henkilötietoihin pääsyä on valvottava huolellisesti. Henkilön tunnistetietojen suojaamisessa käytettäviä menetelmiä ovat esimerkiksi Euroopan unionin verkko- ja tietoturvaviraston ENISAn Algorithms, Key Sizes and Parameters Report -asiakirjan, kansallisten salausohjeiden tai muiden hyvien toimintatapojen mukainen salaaminen ja tiivistäminen. Käyttöoikeuksia on aina valvottava. Henkilötunnus on henkilötietolain perusteella katsottavat tunnisteeksi, jota on käsiteltävä erityisen huolellisesti. Edellä poimituista kohdista voidaan ainakin EU:n varmuustasoasetuksen alakohdan katsoa soveltuvan suoraan myös asiointipalvelurajapintaan. Vaikka tämän ja muiden poimittujen kohtien vaatimukset kohdistuvat suoranaisesti tunnistuspalveluntarjoajan omiin järjestelmiin, mutta ne tukevat myös henkilötiedon suojaamista asiointipalvelurajapinnassa. Jos henkilötunnusta on suojattava tiukasti palveluntarjoajan järjestelmässä, ei ole suhteessa näihin vaatimuksiin, jos sen voi luovuttaa asiointipalvelurajapinnassa tavalla, joka altistaa sen luottamuksellisuuden menettämiselle. Vaikutus henkilötietojen tietoturvaan. Nykyisen menettelyn säilyttäminen asiointipalvelurajapinnassa vaarantaa henkilötunnuksen tietoturvallisuuden. Selaimeen tallentuneet henkilötunnukset voivat paljastua muille selaimen käyttäjille, mikä on ainakin yhteiskäyttöisillä päätelaitteilla huomionarvoinen riski. Siirtyminen HETUn salaamiseen asiointipalvelurajapinnassa parantaisi selvästi henkilötunnuksen tietoturvaa.

20 MPS (70) Asiointipalvelun kannalta siirtyminen salatun henkilötunnuksen välittämiseen edellyttäisi muutoksia niiden omissa järjestelmissä (kyvykkyyttä purkaa salaus). Tunnistuspalvelun tarjoajan kannalta muutos edellyttäisi nykyisen asiointipalvelusopimuskannan muutoksia. Ongelmana tilanteessa on se, että asiointipalveluilla ei ole kannustinta siirtyä turvallisempaan menettelyyn. Tunnistuspalveluntarjoajien olisi siirryttävä turvallisempaan menettelyyn yhtenäisesti, jotta nykykäytännön jatkaminen ei antaisi perusteetonta kilpailuetua. Vain joidenkin toimijoiden siirtyminen uuteen käytäntöön saattaisi johtaa siihen, että asiointipalvelut eivät enää hyväksyisi näitä tunnisteita, mikä rajoittaisi joidenkin tunnistusvälineen haltijoiden mahdollisuuksia käyttää vahvaa sähköistä tunnistettaan asiointipalveluissa. arvioi edellä mainituilla perusteilla, että ainoa keino sysätä tietoturvallisuuden kehitystä tältä osin eteenpäin olisi määrätä henkilötunnuksen salaaminen asiointipalvelulle välitettäessä pakolliseksi. Tämä olisi myös eidas-asetuksen mukainen sääntelyratkaisu. Vaatimukselle olisi määrättävä siirtymäaika, jotta asiointipalveluilla ja tunnistuspalveluntarjoajilla olisi mahdollisuus tehdä muutokset aiheuttamatta katkoksia toimintaan ja jaksottamalla vaadittavaa muutostyötä. Siirtymäaika voisi kestää esimerkiksi asti, jolloin jäsenvaltioiden on viimeistään oltava valmiita vastaanottamaan toisista jäsenvaltioista tulevat notifioidut tunnisteet. Suhteessa muuhun lainsäädäntöön on otettava huomioon, että henkilötunnuksen ja muiden henkilötietojen käsittelyä säännellään henkilötietolaissa, jonka korvaa parin vuoden kuluttua EU:n tietosuoja-asetus. Näissä säännellään henkilötietojen käsittelyn tietoturvallisuutta ja tietosuoja-asetus tuo mukanaan myös huomattavat seuraamusmaksut. Henkilötietolakia ja vastaisuudessa tietosuoja-asetusta valvoo tietosuojavaltuutettu. Ei ole poissuljettua, että henkilötietojen tietoturvallisuuden sääntely edellyttäisi salaamista, mutta tietosuojavaltuutetun tulkintaa asiassa ei ole tässä vaiheessa selvitetty. Suhteessa henkilötietosäädäntöön eidas, tunnistuslaki ja tämä määräys ovat erityissäädäntöä. Henkilötietosäädäntö soveltuu siltä osin, kun erityissäädännössä ei ole säädetty muuta. 3.3 Tietoyhteiskuntavaikutukset Yleistä Tietoyhteiskuntavaikutuksia käsitellään kohdassa 3.1 ehdotuksen perusteet, sillä koko sääntelyn tavoitteena on edistää tietoyhteiskunnan kehittämistä lisäämällä luottamusta digitaalisiin palveluihin. Tässä kohdassa arvioidaan tunnistuspalvelun tietoturvallisuusvaatimusten sääntelytarvetta.

21 MPS (70) Lisäksi arvioidaan muihin kuin hyväksyttyihin luottamuspalveluihin liittyviä kysymyksiä luotetun listalle merkittävien palveluiden sekä kehittyneen sähköisen allekirjoituksen valvonnan osalta Tunnistuspalvelun tietoturvallisuus Arvioitava kysymys: onko tietoturvavaatimusten takia tarpeen jokin seuraavista: henkilöstön työtehtävien eriyttäminen, fyysisten työtilojen ja -välineiden eriyttäminen, teknisen palveluympäristön ja palvelinympäristöjen mahdollinen eriyttäminen muusta tuotannosta. Arvioinnin lähtökohdat Tunnistuslain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta ja kohdassa teknisistä tarkastuksista (toimenpiteistä) tietojen, viestintäkanavien ja salausteknisen aineiston suojaamiseksi sekä tietoturvallisuuden ylläpitämiseksi ja riskien, poikkeamien ja loukkausten hallitsemiseksi sekä henkilötietoja sisältävistä laitteista huolehtimiseksi. voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista. Korotettua ja korkeaa varmuustasoa on syytä tarkastella erikseen. Valmistelussa arvioitavat tekijät on valittu sillä perusteella, että niistä on työryhmätyössä herännyt auditointikriteeristöä valmisteltaessa toimijoiden kysymyksiä. Linjaukset Henkilöstön työtehtävien eriyttäminen on tarpeen ainakin siltä osin, ettei sama henkilö voi luoda tunnistusvälinettä ja hallinnoida lokitietoja. Tämän oletetaan toteutuvan jo tietoturvallisuuden hallinnan, suunnittelun ja auditoinnin kautta, eikä asiasta ole tarpeen määrätä erikseen. Työvälineiden eriyttäminen on tarpeen siltä osin, että hallintaverkkoon ja toimistoverkkoon ei käytetä samaa työasemaa ainakaan korkealla varmuustasolla. Korotetulla tasolla tyydytään siihen, että arvioidaan erityisesti tietoturvariskejä, joita liittyy työasemaan, jos sillä pääsee hallintaverkon lisäksi toimistoverkkoon. Asiasta määrätään, koska tarve vaatimusten selkeyttämiseen tässä suhteessa nousi työryhmässä vahvasti esille. Muilta osin eriyttäminen jätetään tässä vaiheessa yksityiskohdiltaan yleisen tietoturvallisuuden suunnittelun ja auditoinnin varaan. Määräykselle vaihtoehtoiset ohjauskeinot

22 MPS (70) Suositus/ohje. Yksityiskohtia toiminnan tietoturvallisuudesta huomioidaan tunnistuspalvelun suosituksena laadittavaan auditointikriteeristöön liitettävissä esimerkeissä hyvistä käytännöistä. Yhteissääntely. tai toimijat voivat tuoda tietoturvallisuuden toteutuksiin liittyviä kysymyksiä luottamusverkoston yhteissääntelyryhmään tiedonvaihtona hyvistä käytännöistä. Häiriötilanteisiin liittyvään tiedonvaihtoon säädetään tunnistuslain 16 :ssä velvoite ja toisaalta myös tiedon väärinkäyttökielto. Informaatio-ohjaus. Tiedon julkaiseminen ei lähtökohtaisesti tietoturva ja liikesalaisuussyistä sovellu yritysten yksityiskohtaisten toteutusten ohjaamiseen. Arvioitava kysymys: määrätäänkö vähimmäisvaatimukset eri rajapinnoissa käytettävälle salausalgoritmille, tiivistealgoritmille ja avainpituuksille ja mikä on vaatimustaso. Voidaanko määritellä korotetulle ja korkealle varmuustasolle eri vähimmäisvaatimukset. Arvioinnin lähtökohdat Tunnistuslain 8.1 :n 4 alakohdassa säädetään tunnistusjärjestelmän turvallisuus- ja luotettavuusvaatimuksista. Laissa viitataan myös EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa säädetään todentamismekanismin kyvykkyydestä suojautua ulkoiselta uhalta, korotetulla tasolla vakavuusasteeltaan kohtuulliselta (moderate) ja korkealla tasolla vakavuusasteeltaan korkealta (high). voi määrätä tunnistusjärjestelmän 8 :n 1 momentin 4 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista. Salausmenetelmien tasosta on käytettävissä eri lähteitä kuten ENISAn vuosittainen raportti tai eidas-asetuksen kansallisia solmupisteitä koskevat määrittelyt. n tehtäviin kuuluu muun säädännön perusteella salaustuotteiden arviointi ja menetelmien arvioinnissa voidaan hyödyntää myös tässä tehtävässä työstettyä tietoa. Vaatimusten määrittelyssä on huomioitava käytettävyys ja käyttäjien käytössä olevien selainten versiot. Lisäksi on huomioitava tunnistuspalveluntarjoajille ja asiointipalveluiden tarjoajille aiheutuvat muutostarpeet. Vaatimusten taso täytyy suhteuttaa uhkiin. eidas-asetukseen liittyvissä spesifikaatioissa ei ole eroteltu korotetun ja korkean tason salausvaatimuksia. Linjaukset Määrätään salausmenetelmien vaatimustasot siten, että ne perustuvat vähintään TLS 1.2 versioon, joka on ollut oletuksena yleisissä käyttäjien käyttämissä selaimissa jo vuodesta 2011 ja jolle on ollut olemassa tuki jo vuodesta 2009.

23 MPS (70) Vaatimukset määritellään verraten yksityiskohtaisesti määräyksessä. Salausmenetelmien vahvuus kehittyy sen verran hitaasti, että määräystä voidaan muuttaa tarvittaessa. Määrittelyssä hyödynnetään n työstämää tietoa salausmenetelmien vahvuudesta huomioiden, ettei aseteta tiukempia vaatimuksia kuin eidas-asetukseen liittyvässä ohjeistuksessa. Korotettua ja korkeaa tasoa ei erotella määräyksessä, mutta korkealle tasolle annetaan suositus. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Valmistelussa on arvioitu, että vähimmäisvaatimukset pystytään muotoilemaan yleispätevästi määräykseen. Korkean tason vaatimukset annetaan suosituksena. Yhteissääntely. Ei ole tarkasteltu. Informaatio-ohjaus. Ei liene relevantti, sillä tietoturvallisuuden vähimmäistaso ei ole kilpailuasia Muiden kuin hyväksyttyjen luottamuspalvelujen merkitseminen luotetulle listalle Arvioitava kysymys: olisiko Suomessa perusteita tai tarvetta merkitä luotettuun luetteloon (trusted list) muitakin palveluita kuin hyväksyttyjä luottamuspalveluita. Olisiko tämä mahdollista eidasasetuksen ja tunnistuslain perusteella. Näkökohtia vaikutusarviointiin eidas-asetus sallii kansallisten luottamuspalveluiden määrittelyn ja näiden merkitsemisen luotetulle listalle tällä statuksella. eidas-asetuksen johdantokappaleen 25 mukaan voidaan kansallisesti määritellä muita luottamuspalveluita, jotka tunnustettaisiin kansallisesti. Asetuksen 17.5 mukaan jäsenvaltio voi vaatia valvontaelintä perustamaan luottamusinfrastruktuurin kansallisen lain edellytysten mukaisesti. Tämä menettely voisi koskea niitä palvelutyyppejä, joille ei voi hakea hyväksyntää eli esimerkiksi osaa allekirjoituspalveluista. Sähköisiä palveluita kuten erilaisia allekirjoituspalveluita tarjoavat yritykset voisivat hyötyä siitä, että niiden palvelut merkittäisiin luotetulle listalle vaikka vain kansallistakin luottamusta nauttivina palveluina. Joissakin maissa toimitaankin näin jo vanhastaan aikaisemman sääntely puitteissa. (Ennen eidas-asetuksen voimaantuloa luotettu lista on perustunut sähköallekirjoitusdirektiiviin ja palveludirektiiviin.) Muiden kuin hyväksyttyjen luottamuspalveluiden luotettavuuden määrittely voisi lisätä myös käyttäjien ja asiointipalveluiden tarjoajien luottamusta ja luotettavuutta sähköisessä asioinnissa. Kansallisten luottamuspalveluiden toteuttaminen edellyttäisi vaatimusten ja prosessin määrittelyä sekä valvonnan resursointia.

24 MPS (70) Linjaukset Luotetulle listalle ei merkitä Suomessa muita kuin hyväksytyt luottamuspalvelut. Tunnistuslaissa ei säädetä kansallisista luottamuspalveluista ja sellaisten luottamusinfrastruktuurista, eikä ohjaukselle tai valvonnalle ole resursseja. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Ei relevantti. Viranomaisen vahvistama luotettava status edellyttäisi perustetta säädännössä. Yhteissääntely. Ei relevantti. Oman erityisesti luotettujen palveluiden ryhmittelyn luominen ja määrittely yhteissääntelynä olisi vaikeaa riittävän tasapuolisesti aiheuttamatta kilpailuoikeudellisia ongelmia. Informaatio-ohjaus. Ei relevantti. Luotettu lista itsessään on informaatioohjauksen luonteinen instrumentti. Mahdolliset muut kilpailevat kansallisesti määritellyt julkaisut (muut kuin luotettu lista) olisivat omiaan aiheuttamaan epäselvyyttä, eivätkä toimijat saavuttaisi niillä EU-tasoista statusta Sähköisten allekirjoitusten valvonta Arvioitava kysymys: miten osallistuu siihen arviointiin, onko jokin toteutus kehittynyt sähköinen allekirjoitus. Näkökohtia arviointiin eidas-asetuksen mukaan kehittyneet sähköiset allekirjoitukset eivät ole hyväksyttyjä luottamuspalveluita, jotka merkittäisiin asetuksen 22 artiklan mukaiseen luotettuun luetteloon tai joita valvontaelin valvoisi. Joissain laeissa edellytetään allekirjoittamista kehittyneellä sähköisellä allekirjoituksella, josta säädetään eidas-asetuksen 26 artiklassa. on tulee säännöllisesti kysymyksiä, joissa tiedustellaan, täyttääkö jokin tarjottu palvelu kehittyneeltä sähköiseltä allekirjoitukselta edellytettävät vaatimukset ja kelpaako se siten asiakirjojen allekirjoittamiseen. Joissain laeissa edellytetään allekirjoittamista kehittyneellä sähköisellä allekirjoituksella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 (eidas-asetus). eidas-asetuksen mukaan kehittyneet sähköiset allekirjoitukset eivät ole hyväksyttyjä luottamuspalveluita, jotka merkittäisiin asetuksen 22 artiklan mukaiseen luotettuun luetteloon tai joita valvontaelin valvoisi. Tunnistuslaissa ei ole säädetty kehittyneiden sähköisten allekirjoitusten valvonnasta tai valvonnan resursoinnista osalta, mikä vastaa nykytilannetta.

25 MPS (70) Sähköisen asiointipalvelun toteuttajan ja sähköisen allekirjoituspalvelun tarjoajan on arvioitava, täyttääkö tietty palvelu kehittyneen sähköisen allekirjoituksen tunnusmerkistön ja vaatimukset. Sekä asiointipalveluita toteuttavalla julkisella hallinnolla että allekirjoituspalveluiden tuottajilla olisi tarvetta arvioinnille, vastaavatko palvelut ei- DAS-asetuksen vaatimuksia. Tulkinnan tulisi olla yhtenäistä. Kehittyneitä sähköisiä allekirjoituksia käsitellään laajemmin C osassa kohdassa 2 Linjaukset tuottaa yleistä neuvontaa kehittyneestä sähköisestä allekirjoituksesta, mutta ei arvioi sitä, täyttävätkö yksittäiset toteutukset eidasasetuksen vaatimukset Sähköisen asiointipalvelun toteuttajan ja sähköisen allekirjoituspalvelun tarjoajan on arvioitava, täyttääkö tietty palvelu kehittyneen sähköisen allekirjoituksen tunnusmerkistön ja vaatimukset. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. laatii tulkintaohjeen. Tämän dokumentin C-osassa kohdassa 2 käsitellään kehittyneitä sähköisiä allekirjoituksia. Yhteissääntely. Ei ole tarkasteltu. Vaatimukset sinänsä ovat jo eidasasetuksessa eivätkä yhteissääntelyllä laadittavissa. Informaatio-ohjaus. Tiedonvaihto kehittyneen allekirjoituksen tarjoajista tai käyttäjien (esim. valtionhallinnossa) olisi hyvin mahdollista. Tieto ei vahvistaisi palveluntarjoajien palvelun statusta kehittyneenä sähköisenä allekirjoituksena, vaan tarjoaisi lähinnä vertaistietoa. ei ole toistaiseksi suunnitellut resursointia tiedonvaihdon organisoimiseen. 3.4 Taloudelliset vaikutukset Tunnistuspalveluntarjoajien auditointivaatimukset on koonnut valmistelun aikana tietoja nykyisten tunnistuspalveluntarjoajien teettämistä auditoinneista määräystyön tueksi. Kyselyn tavoitteena oli saada kattavasti tietoa jo tehdyistä auditoinneista ja toisaalta muodostaa arvio siitä, mitä lisätyötä määräyksessä asetettavat auditointivaatimukset mahdollisesti aiheuttaisivat toimijoille. Toimijoille tehdyssä kyselyssä ja EU:n varmuustasoasetuksen soveltamisohjeesta on kerätty listaa esimerkkistandardeista, joiden perusteella tunnistuspalvelun arviointeja tehdään. Selvityksen perusteella päädyttiin siihen, että tunnistuspalveluiden käyttämien ulkoisten ja sisäisten arviointielinten vaatimukset määritellään neutraalisti, jotta toimijat voivat hyödyntää mahdollisimman laajasti tällä hetkellä jo käyttämiään auditointikehyksiä. Ratkaisulla pyritään pitämään toimijoille tunnistuspalveluiden auditoin-

26 MPS (70) tivaatimuksista aiheutuvat kustannukset mahdollisimman maltillisina. Selvityksessä esille tulleet standardit on huomioitu määräyksessä vaihtoehtoina auditoijien riippumattomuuden ja pätevyyden osoittamisessa, jotta toimijat voisivat hyödyntää mahdollisimman paljon nykyisiä auditointejaan Tunnistuspalvelu ja sähköisen ensitunnistamisen rajapinnan sääntelytarve Arvioitava kysymys: vaaditaanko tunnistusvälineen myöntäjien välisessä rajapinnassa välittämään tieto ensitunnistamisen tekijästä, tunnistusasiakirjasta ja tunnistamisen ketjuttajista. n määräysvaltuus koskee lain vaatimusten teknistä tarkentamista. Ensitunnistamisrajapinnan mahdollista sääntelyä tarkastellaan taloudellisten vaikutusten alla, koska tunnistusvälineen tarjoajien välinen toiminta sähköisen ensitunnistamisen mahdollistamiseksi uusia välineitä myönnettäessä on ennen kaikkea kilpailukysymys. Sähköisen ensitunnistamisen rajapinta (SAML/TUPAS) on ollut toimijoiden välillä käytössä jo useita vuosia. Toiminta on perustunut kahdenvälisiin sopimuksiin. Teknisesti rajapinta vastaa asiointipalveluille tarjottua rajapintaa. Tunnistuslain 17 :n muutoksella on mahdollistettu se, että tunnistusvälineen tarjoajat voivat rajattomasti ketjuttaa tunnistamista eli luoda uusia sähköisiä tunnistusvälineitä luottamalla muiden tarjoamiin sähköisiin tunnisteisiin. Toisen tunnistusvälineeseen luottava välineen myöntäjä kantaa tunnistuslain 17.4 :n säännöksen perusteella vahinkovastuun ja ketjuttaminen edellyttääkin sitä, että ketjuttamista hyödyntävä välineen myöntäjä arvioi, millainen riski luotettuun tunnisteeseen mahdollisesti liittyy. Tähän riskiin vaikuttavia tekijöitä ovat se, kuinka kauan sitten ja minkä henkilöllisyystodistuksen perusteella alkuperäinen henkilökohtainen tunnistaminen on tehty, onko ketjussa useampi tunnistusvälineen myöntäjä, onko jokin ketjussa ollut tunnistusvälineen myöntäjä lopettanut toimintansa ja onko ketjussa oleville tunnistusvälineen myöntäjille tapahtunut tietoturvaloukkauksia, jotka ovat voineet vaikuttaa tiedon eheyteen. Määräystä valmisteltaessa on todettu, että tieto ensitunnistamisen tekemisestä ja ketjussa olevista toimijoista tukisi riskin arviointia ja hallintaa. Valmistelussa on harkittu vaatimusta siitä, että rajapinnoissa tulisi olla määriteltynä, miten ensitunnistamisen ja ketjutuksen tiedot välitettäisiin. Toisaalta toimijat ovat esittäneet valmistelun aikana näkemyksen, että sähköistä ensitunnistamista on käytetty ongelmitta jo tähänkin asti, joskin aikaisemman lain sallimalla tavalla vain nimenomaisella sopimuksella kahden tunnistajan välillä. Tästä ei n näkemyksen mukaan kuitenkaan voi päätellä, ettei ongelmia syntyisi useamman välineen ketjuttamisessa. Tietoturvaloukkausten selvittämistilanteessa on tärkeää, että tieto ketjuttamisesta on tavalla tai toisella selvitettävissä. Jos tunnistusvälineen tarjoaja myöntää esimerkiksi tunnisteita varastettujen tai väärennettyjen henkilöllisyystodistusten perusteella, on pystyttävä selvittämään, onko näil-

27 MPS (70) lä väärän henkilön hallussa olevilla sähköisillä tunnistusvälineillä haettu sähköisesti uusia tunnistusvälineitä. Tietoturvallisuuden ja sähköisen tunnistuksen yleisen luotettavuuden kannalta tietojen välittäminen olisi eduksi. Sisäasianhallinnossa vireillä oleva hanke palvelusta, josta tunnistusvälineen tarjoajat voisivat tarkistaa, onko henkilöllisyystodistus voimassa, kadonnut tai varastettu, vähentäisi riskiä ainakin henkilökohtaisen ensitunnistamisen osalta. Myös tunnistuslain 6 :ssä edellytetty VTJ-tarkistus välinettä myönnettäessä ja riittävän usein myös sen jälkeen vähentävät riskiä, että sähköisiä tunnistusvälineitä myönnettäisiin sellaisen henkilötunnuksen perusteella, jota ei löydy väestötietojärjestelmästä. Tunnistuslain muutosehdotuksen lausunnoissa monet lausunnonantajat katsoivat, että tunnistuksen rajoittamatonta ketjuttamista ei pitäisi sallia. Edelleen useissa lausunnoissa katsottiin, että sähköinen ensitunnistaminen ei ole helpottunut lain aikaisemman muutoksen myötä, koska ensitunnistaminen hinnoitellaan kalliiksi. 1 Näiden asioiden tarkentaminen ei kuulu n määräykseen tai määräysvaltuuteen, mutta vaikutusarvioinnissa on otettava huomioon, millaisia vaikutuksia eri sääntelyvaihtoehdoilla on kilpailuun. Linjaus Ensitunnistamis- ja ketjuttamistietojen välittäminen tunnistusvälineen tarjoajien välisessä rajapinnassa vaikuttaisi edistävän uusien tunnistusvälineiden myöntämistä ja siten myös kilpailua, koska se helpottaisi riskin arvioimista ja hallintaa. Toisaalta rajapinnan määrittelyyn ja toteutukseen tehtävät muutokset voisivat nostaa ensitunnistamisen hintoja, joita tunnistuslain muutosehdotuksesta annetuissa lausunnoissa on muutenkin moitittu kalliiksi ja kilpailua heikentäviksi. Tästä syystä tässä vaiheessa ei nähdä tarkoituksenmukaiseksi lisätä ensitunnistamisen rajapintaa koskevia vaatimuksia määräykseen. Pidemmän tähtäimen kehityksenä on kuitenkin tuotu esiin toivomus siitä, että rajapinnan kautta voitaisiin välittää tietoa ensitunnistamisesta (esim. mihin henkilökohtainen ensitunnistaminen on perustunut - passi, henkilökortti, sähköinen tunnistaminen). Tässä vaiheessa ei ole arvioitu tarkemmin sitä, onko työläämpää tehdä määrittely näille tiedoille nyt tulevaisuuden varalle vai myöhemmin, kun 1 Sikäli kun sähköisen tunnistuksen tarjoamisesta toisen toimijan tunnistusvälineen myöntämiseen peritään muusta asiointipalvelusta poikkeavaa hintaa, vaikka kysymyksessä on toimijoiden mukaan teknisesti sama rajapinta, on hinnoittelu sääntelyn kannalta mahdollisesti yleisen kilpailulainsäädännön alaan kuuluva asia. Tunnistuslaissa ei ole säädetty ensitunnistamisen ketjuttamisen hinnoittelulle esimerkiksi kustannussuuntautuneisuus- tai syrjimättömyysvaatimusta tai kattohintaa.

28 MPS (70) Arviointitoiminta tarve syntyy tai miten rajapinnoissa huomioidaan se, että joku on jo nyt valmis tarjoamaan tiedot. Myöskään määräykselle vaihtoehtoisia ohjauskeinoja ei ole tarkasteltu tarkemmin. On hyvä huomata, että luottamusverkoston yhteissääntelyryhmässä ei missään tapauksessa tulla käsittelemään hinnoittelukysymyksiä tai keskustelemaan hinnoittelusta. Teknisiä määrittelyjä ensitunnistamisrajapinnassa välitettäville tiedoille olisi toki mahdollista työstää yhteissääntelynä tai suosituksena. Arvioitava kysymys: voidaanko määräyksen vaatimuksilla edistää arviointielinten tarjontaa tai kilpailua Arvioinnin lähtökohdat Perusvaatimukset arviointielinten käyttämisestä ja vaatimuksista säädetään eidas-asetuksessa ja laissa. Määräyksen vaikutusarvioinnissa ei arvioida eidas-asetuksen tai tunnistuslain vaikutuksia, vaan niiden tavoitteet ovat myös määräyksellä edistettäviä tavoitteita. Vaatimustenmukaisuuden arviointilaitosten vaatimukset perustuvat EUtason säännöksiin ja standardointiin, joten pystyy vaikuttamaan laitosten syntymiseen sujuvalla prosessilla ja yhteistyöllä FINASin kanssa. Tästä on saatu hyvää kokemusta tietoturvallisuuden arviointilaitosten perustamisen yhteydessä. Tunnistuspalveluiden käyttämien ulkoisten arviointielinten suhteen eidasasetuksen (tarkemmin tunnistusmenetelmien varmuustasoista annetun täytäntöönpanoasetuksen (EU) 1502/2015) ja tunnistuslain vaatimukset ovat yleisluonteisemmat. Määräyksen antamisessa on pidettävä huolta siitä, että vaatimukset määritellään mahdollisimman neutraalisti. Kilpailun ja tarjonnan syntyminen on kiinni ennen kaikkea kysynnästä. Linjaus Arviointipalvelujen tarjontaa voidaan edistää lähinnä huolehtimalla siitä, että säännösympäristö on selkeä ja kansainvälisesti yhdenmukainen. Määräyksessä viitataan siksi (vain) kansainvälisiin standardeihin, joiden asema ei muutoin ole oikeudellisesti selvä. Määräykselle vaihtoehtoiset ohjauskeinot Suositus/ohje. Arviointielimiä koskevan ohjeen laatimisella Yhteissääntely. Tätä voidaan tarkastella siinä vaiheessa, kun arviointitoimintaa syntyy. Informaatio-ohjaus. Tässä vaiheessa ei ole olemassa vertailevaa tietoa, jonka julkaisemisella voitaisiin edistää kilpailua.

29 MPS (70) 3.5 Vaikutukset viranomaisten toimintaan Valmisteilla olevan tunnistuslain maksusäännösten perusteella n sähköisen tunnistamisen ja luottamuspalveluiden ohjaus- ja valvontatoiminnassa on nähtävissä, että valvontamaksujen tulokertymä ei riitä vastaamaan kaikkiin niihin ohjaustarpeisiin ja toimialan toiveisiin viranomaistoiminnalle, joita muuttuva säädäntö ja toimialan kehitys tuovat mukanaan. n on rahoitettava kaikki sähköiseen tunnistamiseen ja luottamuspalveluihin liittyvät kotimaiset ja kansainväliset ohjaus-, valvonta- ja neuvontatehtävät ja näihin tarvittavan osaamisen ylläpito valvontamaksujen tulokertymällä. Nykyisellä toimijamäärällä kertymän ennakoidaan pienenevän nykyisestä, vaikka resurssitarpeen ennakoidaan vähintään kaksinkertaistuvan, koska tehtävät ja asiantuntemusta edellyttävät asiat lisääntyvät merkittävästi. n on siksi määräysvalmistelussa pyrittävä myös tehostamaan omaa toimintaansa minimoimalla viraston resurssitarvetta, jotta voidaan turvata välttämättömimpien lakisääteisten valvontatehtävien hoitaminen. Viranomaistoiminnan tehokkuuden tarve on huomioitu erityisesti tunnistuspalvelujen auditointikriteeristöjen kohdalla siten, että kaikkia toimijoita koskevat yhtäläiset vaatimukset siitä, miltä osin toiminta tulee auditoida ja miltä osin riittää yhteisön oma selvitys vaatimusten täyttymisestä. Edelleen on tunnistuspalveluntarjoajan vastuulla selvittää ja osoittaa käyttämiensä auditointien kohdistuminen ja riittävyys tunnistusjärjestelmän vaatimuksiin. B-OSA Pykäläkohtaiset perustelut ja soveltamisohjeet Luku 1 Yleiset säännökset Tässä luvussa käsitellään määräyksen luvussa 1 annettuja velvoitteita. 1 Määräyksen tarkoitus Tämän määräyksen tarkoituksena on 1) edistää vahvojen sähköisten tunnistusvälineiden ja tunnistuksenvälityspalveluiden tarjoajien palveluiden tietoturvallisuutta ja teknistä yhteentoimivuutta, 2) tarkentaa vahvan sähköisen tunnistamisen palveluiden vaatimustenmukaisuuden arvioinnin kriteerit ja arviointielinten riippumattomuus- ja pätevyyskriteerit, 3) täydentää hyväksyttyjen sähköisten luottamuspalveluiden vaatimuksia ja niiden vaatimustenmukaisuuden arvioinnin riippumattomuus- ja pätevyyskriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä, sekä 4) täydentää sähköisen allekirjoituksen tai sähköisen leiman sertifioinnin kriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä. Perustelut

30 MPS (70) Pykälässä kuvataan lyhyesti määräykseen pääasialliset tavoitteet. Säännös on informatiivinen eikä esimerkiksi määrittele tarkemmin vaatimusten soveltamisalaa. 2 Soveltamisala Tätä määräystä sovelletaan vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annetun lain (617/2009, jäljempänä tunnistuslaki) tarkoittamiin lle ilmoitettuihin vahvan sähköisen tunnistamisen tunnistusvälineiden ja tunnistuksenvälityspalvelujen tarjontaan sekä näiden vaatimustenmukaisuuden arviointiin. Tätä määräystä sovelletaan Euroopan parlamentin ja neuvoston (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta antamassa asetuksessa (jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus tai eidas-asetus) tarkoitettuihin sähköisiin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin. Tätä määräystä sovelletaan Euroopan komissiolle ilmoitettaviin vahvan sähköisen tunnistamisen järjestelmiin tai edellä 2 momentissa tarkoitettuihin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin vain, jollei eidasasetuksesta tai sen nojalla annetuista komission täytäntöönpanosäädöksistä muuta johdu. Perustelut Määräystä sovelletaan, kuten aikaisempiakin määräyksiä, vahvan sähköisen tunnistusvälineen tarjoamiseen. Vahvoja sähköisiä tunnistusvälineitä ovat sellaiset, joista on tehty ilmoitus lle, ja jotka täyttävät säädetyt vaatimukset. Määräystä sovelletaan myös tunnistusvälityspalveluihin, joista on tehty ilmoitus lle. Tunnistusvälityspalveluilla tarkoitetaan tunnistustapahtumien välittämistä asiointipalveluille. Sama yritys voi toimia halutessaan sekä välineen tarjoajana että välityspalveluna. Määräystä sovelletaan eidas-asetuksen mukaisiin hyväksyttyihin luottamuspalveluihin, joilla tarkoitetaan asetuksen vaatimukset täyttämiä luottamuspalveluja. Määräystä ei sovelleta luottamuspalveluihin, joille ei ole haettu hyväksyntää. n on valvottava myös ei-hyväksyttyjen luottamuspalvelujen tietoturvallisuutta siltä osin, että ne toteutettavat tarvittavat tekniset ja organisatoriset toimenpiteet hallitakseen tarjoamiensa luottamuspalvelujen tietoturvaan kohdistuvat riskit.. Valvontatilanteessa tietoturvallisuusvaatimuksien tulkinnassa verrattaneen toimintaa kuitenkin samoihin standardeihin, jotka koskevat hyväksyttyjä palveluja. Täsmälliset viittaukset EU-säädäntöön ovat tarpeen selkeyttävänä informaationa mm. siksi, että määräysluonnos notifioidaan Euroopan parlamentin ja neuvoston direktiivin 98/34/EY, muut. 98/48/EY (eli ns. transparenssidirektiivi) mukaisesti.

31 MPS (70) 3 Määritelmät Tässä määräyksessä tarkoitetaan: 1) Rajapinnalla tiedonsiirtoon liittyviä määrittelyjä ja toteutuksia. 2) eidas-rajapinnalla kansallisen solmupisteen rajapintaa toisen valtion kansalliseen solmupisteeseen. Muutoin tässä määräyksessä sovelletaan samoja määritelmiä kuin tunnistuslaissa ja eidasasetuksessa. Perustelut Rajapinnan määritelmä kattaa tiedonsiirtoon käytetyn protokollan mukaisten tekijöiden tarkemman määrittelyn ja optionaaliset tekijät. Se kattaa myös käytännön toteutuksen eli siirrettävien tietosisältöjen valikoiman ja muodon. Määräyksen kannalta keskeisiä ovat myös useat tunnistuslain 2 :ssä ja eidas-asetuksen 3 artiklassa säädetyt määritelmät. Nämä on kuvattu tarkemmin luvussa 1.4. Luku 2 Tunnistuspalvelun tietoturvavaatimukset Tässä luvussa käsitellään määräyksen luvussa 2 annettuja velvoitteita, jotka koskevat tunnistuspalvelun tietoturvavaatimuksia. 4 Tunnistuspalvelun tarjoajan tietoturvallisuuden hallinnan vaatimukset Tunnistuspalveluntarjoajan on käytettävä tunnistusjärjestelmän tietoturvallisuuden hallinnassa ISO/IEC standardia tai muuta yleisesti tunnettua vastaavaa tietoturvallisuuden hallinnan standardia. Tietoturvallisuuden hallinta voi perustua myös useamman standardin yhdistelmään. Tietoturvallisuuden hallinnan tulee kattaa seuraavat tunnistuspalvelun tarjontaan vaikuttavat osa-alueet 1) tunnistuspalveluntarjoajan toimintaympäristö kokonaisuutena; 2) tietoturvallisuuden hallinnan johtaminen, organisointi ja ylläpito; 3) tunnistuspalvelun tarjontaan liittyvien tietoturvallisuusriskien hallinta; 4) tietoturvallisuuden resursointi, pätevyys, henkilöstön tietoisuus tietoturvallisuudesta, viestintä ja dokumentointi ja dokumentoidun tiedon hallinta; 5) tunnistuspalvelun tarjonnan suunnittelu ja ohjaus tietoturvavaatimusten täyttämiseksi; ja 6) tietoturvallisuuden hallinnan tehokkuuden ja toimivuuden arviointi. Perustelut Pykälässä määrätään yleisellä tasolla siitä, mitä tunnistusjärjestelmän tietoturvallisuuden hallinnassa täytyy ottaa huomioon. Tunnistuspalvelun tarjonnalla tarkoitetaan koko tunnistusjärjestelmää, joka kattaa koko tunnistuspalvelun kokonaisuuden. EU:n varmuustasoasetuksen liitteen 1 kohdassa edellytetään, että tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. Tunnistuslain 8.1 :n 5 alakohdassa säädetään tietoturvallisuuden hallinnasta ja viitataan mm. varmuustasoasetuksen kohtaan

32 MPS (70) Pykälän 1 momentissa tarkennetaan lain ja varmuustasoasetuksen vaatimusta. Ainakin ISO/IEC standardi on yleisesti tunnettu ja pätevä tietoturvallisuuden hallinnan standardi. Myös muuta standardia tai standardien yhdistelmää voi käyttää, edellyttäen, että standardi todella kohdistuu tietoturvallisuuden hallintaan. Standardi voi olla kansainvälinen, kuten ISO, mutta myös kansallinen kuten KATAKRI. Pykälän 2 momentissa luetellaan toiminnan osa-alueet, jotka tietoturvallisuuden hallinnan täytyy kattaa. Vaatimukset vastaavat pitkälti aikaisemman määräyksen 8 2 :ää tietoturvallisuuden hallinnasta. Vaatimuksia on nyt tiivistetty käyttäen apuna ISO/IEC vaatimusten ylätason ryhmittelyä. Pykälän vaatimukset liittyvät ISO/IEC standardiin seuraavasti Määräys 2 ja soveltaminen ISO/IEC ) tunnistuspalveluntarjoajan toimintaympäristö kokonaisuutena 4 organisaation toimintaympäristö - olennaisten sisäisten ja ulkoisten teknisten, oikeudellisten ja yhteisön hallinnollisten vaatimusten, tarpeiden ja asioiden tunteminen ja huomioiminen 2) tietoturvallisuuden hallinnan johtaminen, organisointi ja ylläpito - dokumentoidaan tietoturvapolitiikassa tai vastaavissa ohjausasiakirjoissa 5 johtajuus 9.2 sisäinen auditointi 9.3 johdon katselmus 10 hallintajärjestelmän parantaminen 3) riskien hallinta (tunnistuspalvelun tarjontaan liittyvien tietoturvallisuusriskien) 4) tietoturvallisuuden resursointi, pätevyys, henkilöstön tietoisuus tietoturvallisuudesta, viestintä ja dokumentointi ja dokumentoidun tiedon hallinta 5) tunnistuspalvelun tarjonnan suunnittelu ja ohjaus tietoturvavaatimusten täyttämiseksi 6) tietoturvallisuuden hallinnan tehokkuuden ja toimivuuden arviointi 6 suunnittelu 7 tukitoiminnot 8 toiminta 9.1 seuranta, mittaus, analysointi, arviointi - eli miten hyvin tietoturvallisuuden hallinta tehoaa/vaikuttaa niihin tekijöihin, prosesseihin ja ongelmiin, jotka vaikuttavat tunnistusjärjestelmän tietoturvallisuu-

33 MPS (70) teen 5 Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet Tunnistusjärjestelmä on suunniteltava, toteutettava ja ylläpidettävä siten, että huomioidaan järjestelmän 1) tietoliikenneturvallisuus a) verkon rakenteellinen turvallisuus b) tietoliikenneverkon vyöhykkeistäminen c) suodatussäännöt vähimpien oikeuksien periaatteilla d) suodatuksen ja valvontajärjestelmien hallinnointi koko elinkaaren ajan e) hallintayhteydet 2) tietojärjestelmäturvallisuus a) pääsyoikeuksien hallinta b) järjestelmien käyttäjien tunnistaminen c) järjestelmien koventaminen d) haittaohjelmasuojaus e) turvallisuuteen liittyvien tapahtumien jäljitys f) poikkeamien havainnointikyky ja toipuminen g) kansainvälisesti tai kansallisesti suositellut salausratkaisut muutoin kuin 7 :ssä säädetyltä osin 3) käyttöturvallisuus a) muutosten hallinta b) salassa pidettävän aineiston käsittely-ympäristö c) etäkäyttö ja -hallinta d) ohjelmistohaavoittuvuuksien hallinta e) varmuuskopiointi Edellä 1 momentin 1) e) ja 3) c) alakohtien toteutuksessa on erityisesti 1) korotetulla varmuustasolla tehtävä dokumentoitu riskiarvio, jos tunnistuspalvelun tuotannon hallintaverkkoon on pääsy organisaation yleisesti käytössä olevalla päätelaitteella, jolla on pääsy myös muihin organisaation palveluihin kuten sähköpostiin ja 2) korkealla varmuustasolla käytettävä tunnistuspalvelun tuotannon hallintaverkkoon pääsyssä sellaista organisaation päätelaitetta, jossa on estetty pääsy muihin organisaation palveluihin ja jossa ei ole käytettävissä muita kuin hallintaverkon käytön kannalta välttämättömiä toimintoja. Perustelut Pykälässä tarkennetaan tietoturvallisuuden toteuttamisessa tarvittavia toimenpiteitä. Vaatimuksista säädetään yleisellä tasolla tunnistuslain 8.1 :n 4 alakohdassa, jossa viitataan EU:n varmuustasoasetuksen liitteen kohtiin 2.2.1, ja Kohdassa edellytetään korotetulla varmuustasolla todentamismekanismille tietoturvatoimenpiteitä vakavuusasteeltaan kohtuullisten tietoturvauhkien (arvaaminen, salakuuntelu, toisto, manipulointi) estämiseksi. Kohdassa säädetään toimenpiteistä tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi, sähköisen viestinnän kanavien suojaamisesta salakuuntelua, manipulointia ja toistoa vastaan, salausteknisen aineiston suojaamisesta, valmiudesta reagoida riskin muutoksiin, poikkeamiin ja tietoturvaloukkauksiin sekä laitteiden ja välineiden tietoturvallisuudesta.

34 MPS (70) Pykälän 1 momentin tietoliikenne-, tietojärjestelmä- ja käyttöturvallisuus turvaavat säädännössä vaaditun tietoturvallisuuden toteutumista. 1 momentin 1 e alakohdan hallintayhteydet tarkoittavat sekä organisaation sisäisiä että ulkoisia tietoliikenneyhteyksiä. 1 momentin 2 b alakohdan käyttäjien tunnistaminen tarkoittaa käytännössä sitä, että käyttäjätunnusten täytyy olla henkilökohtaisia, eivätkä ne voi olla yhteiskäyttöisiä. 1 momentin 2 g alakohdassa tarkoitettuja salausratkaisuja löytyy esimerkiksi ENISAn, n kyberturvallisuuskeskuksen NCSA:n (National Communications Security Authority, NCSA-FI) tuottamasta aineistosta, NISTin (National Institute of Standards and Technology) FIPSstandardeissa (Federal Information Processing Standards) tai SANSin (The SANS Institute) lähteistä. Pykälän 2 momentissa tarkennetaan 1 momentin yleisiä vaatimuksia hallintayhteyksien ja myös niiden etäkäytön osalta, sillä työntekijöiden päätelaitteet, joilla nämä pääsevät kriittisiin/keskeisiin hallintajärjestelmiin, voivat helposti muodostua tietoturvariskiksi, ellei asiaan kiinnitetä erityistä huomiota. Jos päätelaitteella on käytössä esimerkiksi sähköpostiohjelmisto tai muita vastaavia ohjelmistoja, sen saastumisen riski haittaohjelman takia on todellinen ja tämä altistaa myös tunnistusjärjestelmän hallinnan. Käytettävyys- ja käytännöllisyyssyyt toisaalta puoltavat sitä, että työntekijä voi hoitaa kaikkia työtehtäviään samalla päätelaitteella. Siksi korotetulla varmuustasolla edellytetään vain sitä, että tehdään huolellinen riskiarvio ja luonnollisesti huolehditaan erilaisilla toimenpiteillä siitä, että päätelaitteen saastumisen riski olisi hallittavissa. Korkealla varmuustasolla edellytetään, että hallintaverkkoon pääsee vain päätelaitteella, josta on poistettu kaikki hallintaverkon hallinnan kannalta tarpeettomat yhteydet ja toiminnot. [lisätään viite koventamisohjeeseen] Etäkäyttö on silti mahdollista ja siirtokanavana voi olla suojattu putki eiluotetun verkon (internetin tai eidas -auditoimattoman organisaatioverkon) kautta. 6 Tunnistusmenetelmän tietoturvavaatimukset Tunnistusvälinettä ei saa luoda ennen hakijan ensitunnistamista. Palveluntarjoajan on varmistettava, etteivät tunnistusvälineeseen liittyvät salaiset tiedot paljastu sen henkilöstölle missään tilanteessa. Palveluntarjoaja ei saa kopioida tunnistusvälineeseen liittyviä salaisia tietoja, koska niiden tulisi olla ainoastaan hakijan tiedossa tai käytettävissä. Perustelut Vaatimukset ovat olleet voimassa myös aikaisemmassa määräyksessä 8.

35 MPS (70) Pykälän 1 momentin vaatimus tarkoittaa sitä, että tunnistusvälineitä ei voida luoda ikään kuin varastoon odottamaan mahdollisia asiakkaita siten, että henkilötiedot on liitetty tunnistusvälineeseen. Käytännössä väline, kuten kortti, valmistetaan tyypillisesti ensitunnistamisen tekemisen jälkeen. Olennaista on, että prosessi välineen luomiseksi ja myöntämiseksi käynnistyvät ensitunnistamisesta. Pykälän 2 momentin mukaan on varmistettava, etteivät tunnistusvälineeseen liittyvät salaiset tiedostot paljastu sen henkilöstölle missään tilanteessa Pykälän 3 momentin vaatimus tarkoittaa käytännössä sitä, että esimerkiksi tunnistusvälineeseen liittyvä PIN-koodi ei saa paljastua missään vaiheessa rekisteröintipisteen henkilöstölle, eikä sitä voi välittää sellaisten tietojärjestelmien kautta, joissa siitä jää kopio, kuten sähköpostitse. 7 Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Tunnistuspalveluntarjoajien välisissä ja tunnistuspalveluntarjoajan ja asiointipalvelun välisissä rajapinnoissa käytettävässä SSL/TLS-, Ipsec- tai SSH -protokollissa on käytettävä salauksessa, avaintenvaihdossa sekä salaukseen liittyvässä allekirjoituksessa seuraavia menetelmiä: 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE -menetelmiä tai elliptisiä käyriä käyttäviä ECDHE -menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHE -menetelmässä vähintään 2048 bittiä ja ECDHE -menetelmässä vähintään 224 bittiä. IANA:n IKEv2-määritysten mukaiset DH-ryhmät , 23, 24 ja 26 toteuttavat edellä mainitut edellytykset. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulisi olla vähintään 2048 bittiä. Käytettäessä elliptisen käyrän menetelmää ECDSA:ta, alla olevan kunnan koon tulisi olla vähintään 224 bittiä. 3) Symmetrinen salaus: Vaihtoehtoisia salausalgoritmejä ovat AES, Serpent ja 3DES. AES:n ja Serpentin kanssa avaimen pituuden tulee olla vähintään 128 bittiä ja 3DES:ssä tulee käyttää kolmea erillistä avainta. Vaihtoehtoisia salausmoodeja ovat CBC, GCM, XTS ja CTR. 4) Tiivistefunktiot: Tiivistefunktioksi soveltuvat SHA-2, SHA-3 ja Whirlpool. SHA-2:lla tarkoitetaan seuraavia funktioita SHA224, SHA256, SHA384 ja SHA512. Mikäli yhteyskäytännössä käytetään SSL/TLS-protokollaa, tulee käyttää vähintään TLS versiota 1.2 tai uudempaa versiota Salausasetukset tulee teknisesti pakottaa edellä lueteltuihin vähimmäistasoihin, jotta asetusneuvotteluissa ei päädyttäisi vähimmäistasoja heikompiin asetuksiin. Tiedon säilytyksessä tunnistusjärjestelmässä sovelletaan edellä 1 momentissa allekirjoittamisen, symmetrisen salaamisen ja tiivistefunktioiden vaatimuksia. 7.1 Perustelut Vaatimukset liittyvät sekä tiedon salaamiseen sitä säilytettäessä että tietoa siirrettäessä. Pykälän neljännessä momentissa selvennetään sitä, että avaintenvaihtoon liittyvät vaatimukset eivät luonnollisestikaan sovellu tiedon säilyttämiseen. Levysalauksessa käytetään vain symmetristä salausta. Rajapinnoille asetetut vaatimukset koskevat käytännössä tietoliikennettä. Ne soveltuvat myös, kun siirretään tietoa alihankkijalle.

36 MPS (70) Pykälässä otetaan huomioon kaikki relevantit tietoliikenneprotokollat eli SSL/TLS, Ipsec ja SSH. Jos toimija käyttää muita, toteutuksen tulisi täyttää vastaava taso. Asioiden järjestys pykälässä perustuu tyypilliseen kryptografian suunnittelujärjestykseen. Vaatimukset vastaavat myös sitä, mitä eidas-sääntelyssä edellytetään kansallisten solmupisteiden välillä dokumentissa eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML 2. Allekirjoitus: RSA on NCSA:n arvioima/suosittelema standardi ja ECDSA tarjoaa vastaavan luotettavuustason. Muita vaihtoehtoja ei käytännössä ole tarjolla. Arvot on otettu NCSA:n suosituksesta, joka on laadittu salaustuoteratkaisujen turvallisuuden arviointia varten niissä tilanteissa, joissa tietoa siirrettään ei-luotetussa verkossa (esimerkiksi internet tai sisäverkko tai muu verkko, jonka tietoturvallisuutta ei ole kattavasti arvioitu). Yhteyskäytännössä tulee käyttää TLS versiota 1.2 tai uudempaa versiota. Versiota 1.1 ei hyväksytä, koska sille ei ole nähtävissä tarvetta ottaen huomioon, että selaimet ovat tukeneet 1.2 -versiota jo vuodesta Pykälän kolmannen momentin vaatimus teknisestä pakottamisesta tarkoittaa sitä, että järjestelmiä konfiguroitaessa ei saa sallia heikompia oletusarvoja tai sallia sitä, että järjestelmä voisi ohittaa vaatimukset. Lyhenteitä AES = Advanced Encryption Standard (salausmenetelmä) DH = Diffie-Hellman (avaintenvaihtoprotokolla) DHE = DH ephemeral-avaimilla ECDH = Elliptic Curve Diffie-Hellman (avaintenvaihtoprotokolla) ECDHE = ECDH ephemeral-avaimilla ECDSA = Elliptic Curve Digital Signature Algorithm (allekirjoitusmenetelmä) Ipsec RSA = SHA = Secure Hash Algorithm (tiivistefunktio) SSH SSL/TLS 7.2 Suositus salauksesta korkealla varmuustasolla Korkealla varmuustasolla tunnistusjärjestelmässä suositellaan sovellettavaksi 7 :n 1 momentin vaatimuksista suluissa olevia arvoja seuraavasti 2 _crypto_requirements_for_the_eidas_interoperability_framework_v1.0.pdf

37 MPS (70) 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE-menetelmiä tai elliptisiä käyriä käyttäviä ECDHE-menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHEmenetelmässä vähintään 2048 (3072) bittiä ja ECDHEmenetelmässä vähintään 224 (256) bittiä. IANA:n IKEv2- määritysten mukaiset DH-ryhmät , 23, 24 ja 26 (15-21) toteuttavat edellä mainitut edellytykset. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulisi olla vähintään 2048 (3072) bittiä. Käytettäessä elliptisen käyrän menetelmää ECDSA:ta, alla olevan kunnan koon tulisi olla vähintään 224 (256) bittiä. 3) Symmetrinen salaus: Vaihtoehtoisia salausalgoritmejä ovat AES, Serpent ja 3DES (AES ja Serpent). AES:n ja Serpentin kanssa avaimen pituuden tulee olla vähintään 128 (128) bittiä ja 3DES:ssä tulee käyttää kolmea erillistä avainta. Vaihtoehtoisia salausmoodeja ovat CBC, GCM, XTS ja CTR. 4) Tiivistefunktiot: Tiivistefunktioksi soveltuvat SHA-2, SHA-3 ja Whirlpool. SHA-2:lla tarkoitetaan seuraavia funktioita SHA224, SHA256, SHA384 ja SHA512 (SHA256, SHA384, SHA512 ja SHA- 3) 8 Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Salausmenetelmien tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset. Osapuolten tunnistamisessa ja tunnistamisessa tarvittavan tiedon välityksessä tulee käyttää metadataa tai vastaavia menettelyitä, jotka takaavat vastaavan tietoturvatason. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla. Perustelut Salausmenetelmien vaatimusten perustelut on käsitelty edellä 7 :n kohdalla. Tunnistamisessa ja tunnistamistiedon välityksessä täytyy käyttää metadataa tai vastaavia menettelyitä. Metadatan tarkoitus on kahdenvälisen luotetun, jollain varmenteella allekirjoitetun, "kättelytiedon" välittäminen luottamussuhdetta perustettaessa. SAML-protokollassa metadata sisältää esimerkiksi tunnistuspalveluntarjoajan (idp:n) pysyvän tai muuttuvan nimen ja varmenteen viestittelyn salaamiseen ja allekirjoittamiseen. Open ID Connectissa metadatan toteutus on hieman erilainen, mutta perustarkoitus on sama. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla. Pelkkä siirtotien salaus ei siis riitä. Asiaa käsitellään vaikutusarvioinnin kohdassa

38 MPS (70) 9 Tietoturvavaatimukset asiointipalvelurajapinnassa Tunnistusvälityspalvelun tarjoajan ja asiointipalvelun välisen rajapinnan tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset. Henkilötunnuksen välityksessä tulee huolehtia sen luottamuksellisuudesta, eheydestä ja käytettävyydestä siten, että välitys on tietoturvallista käyttäjän päätelaitteeseen asti. Perustelut Salausmenetelmien vaatimusten perustelut on käsitelty edellä 7 :n kohdalla. Pykälän 2 momentin vaatimus perustuu vaikutusarvioinnin kohdassa kuvattuun henkilötunnuksen käsittelyn vaatimuksiin. Vaatimukseen liittyvää siirtymäaikaa käsitellään 25 :n kohdalla. 10 Tietoturvavaatimukset kansallisen solmupisteen rajapinnassa Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välisen rajapinnan tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset. Perustelut Kansallisella solmupisteellä tarkoitetaan EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvää kansallista rajapintaa. Tunnistuslain mukaan solmupistettä ylläpitää Väestörekisterikeskus. eidas-asetuksen mukainen rajat ylittävä tunnistaminen notifioiduilla tunnistusvälineillä toteutetaan kansallisten solmupisteiden välityksellä. Tässä pykälässä säädetään siitä, että luottamusverkoston ja kansallisen solmupisteen välillä täytyy noudattaa samoja salausvaatimuksia kuin muissakin luottamusverkoston sisä- tai ulkorajapinnoissa. Kansallisten solmupisteiden välisten rajapintojen vaatimukset määritellään asiakirjassa eidas - Cryptographic requirements for the Interoperability Framework, TLS and SAML, Version 1.0, 6 November Tunnistuspalveluntarjoajan häiriöilmoitukset lle lle tunnistuslain 16 :n mukaisesti tehtävässä häiriöilmoituksessa on annettava seuraavat tiedot 1) tunnistusväline tai välityspalvelu, johon häiriö vaikuttaa 2) kuvaus häiriöstä ja sen tiedossa olevista syistä 3) kuvaus häiriön vaikutuksista, mukaan lukien vaikutus uusien tunnistusvälineiden myöntämiseen, käyttäjiin, luottaviin osapuoliin, muihin luottamusverkoston toimijoihin ja rajat ylittävään käyttöön 4) kuvaus korjaustoimenpiteistä 5) kuvaus häiriöstä tiedottamisesta Häiriön merkittävyyden arvioinnissa merkittävyyttä lisää se, että häiriö liittyy sähköisen henkilöllisyyden virheellisyyteen tai väärinkäyttöön tai tietoturvauhkaan tai -häiriöön, joka vaarantaa tunnistamisen eheyden ja luotettavuuden. Merkittävyyttä lisää myös se, että häiriöllä on vaikutuksia luottamusverkostoon _crypto_requirements_for_the_eidas_interoperability_framework_v1.0.pdf

39 MPS (70) 11.1 Perustelut Pykälän 1 momentissa säädetään niistä tiedoista, jotka tunnistusvälineen tai tunnistusvälityspalvelun tarjoajan on annettava lle tehtävässä häiriöilmoituksessa. Ilmoituksessa edellytetään häiriökuvauksen lisäksi tietoa vaikutuksista eri tahoihin. Pykälän 2 momentissa määritellään yleisellä tasolla niitä tekijöitä, jotka ovat olennaisia häiriön merkittävyyden eli ilmoituskynnyksen kannalta. Tällaisia merkittäviä häiriöitä ovat muun muassa: - tunnistusvälineen myöntäminen väärälle henkilölle - sellaiset sulkulistojen toimivuuteen liittyvät häiriöt, joissa ajantasaista sulkulistaa ei ole saatavilla - tunkeutumiset palveluntarjoajan järjestelmiin - tunnistusvälineen tarjoajan varmenteiden allekirjoitusavaimien paljastumiset - tunnistusvälineiden vakavat väärinkäytökset kuten tapaukset, jotka liittyvät tunnusten ketjuttamiseen - vakavat sisäiset väärinkäytökset. Sähköisen henkilöllisyyden virheitä tai väärinkäytöksiä pidetään merkittävinä hyvin matalalla kynnyksellä, samoin esimerkiksi haavoittuvuuksia tai virheitä, jotka vaarantavat tunnistamistiedon oikeellisuuden. Sen sijaan käytettävyys- tai laatuongelmien ilmoituskynnys on lähtökohtaisesti korkeampi ja niiden merkittävyyttä lisää lähinnä se, että ongelma vaikuttaa muihin luottamusverkoston toimijoihin. Mikäli kaikkia tarvittavia tietoja ei ole heti saatavilla, ne voidaan toimittaa lle myös jälkikäteen. Tärkeintä on, että ilmoitus tapahtumasta tulee viipymättä n tietoon. [Valmistelu kesken siltä osin, kun laaditaan ohjeita tai säännös häiriöilmoituksen toimittamisen käytännöistä: sähköposti, salausmenettely yms.] Yleisesti arvioi, että häiriöilmoituksia tulisi tehdä viranomaiselle matalammalla kynnyksellä kuin tähän asti on tehty, sillä toimijoiden menettelyissä on tässä suhteessa paljon eroja. Tunnistuspalveluiden häiriöilmoitusvaatimukset pyritään laatimaan mahdollisimman yhdenmukaisiksi niiden ohjeiden kanassa, joita ENISA parhaillaan laatii luottamuspalveluiden häiriöistä ilmoittamista varten. Tietojen luottamuksellisuus lle tehdyssä ilmoituksessa annettuja tietoja käsitellään viranomaisen toiminnan julkisuudesta annetun lain (621/1999) mukaisesti ja tietoa luovutetaan ulkopuolisille tai luottamusverkoston jäsenille vain lain sallimilla edellytyksillä Toimijoiden väliset ilmoitukset Tunnistuslaissa säädetään myös toimijoiden välisen ilmoittamisen velvollisuudesta sopimuspuolilleen eli mahdollisesti vain osalle luottamusverkoston

40 MPS (70) jäsenistä sekä n mahdollisuudesta teknisesti välittää toimijoiden välisiä ilmoituksia. Virastolle tehtävän häiriöilmoituksen tiedot ja ilmoitusprosessi pyritään mahdollisuuksien mukaan määrittelemään siten, että viranomaiselle ja toimijoiden toisilleen tekemien ilmoitusten sisällöt ja prosessit tukevat toisiaan. Tällä hetkellä lla ei kuitenkaan ole järjestelmää, jolla olisi mahdollista ilman erityistä teknistä kehitystyötä välittää tietoa automaattisesti toimijoiden välillä salattuna ja siten, että tieto välittyisi vain osalle luottamusverkostosta. Luku 3 Tietojen välittäminen luottamusverkostossa Tässä luvussa käsitellään luottamusverkostoon yhteentoimivuusvaatimuksia ja välitettäviä vähimmäistietoja. 12 Luottamusverkostossa välitettävät vähimmäistiedot Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä 1) luonnollista henkilöä koskevassa tunnistustapahtumassa ainakin henkilön yksilöivä tunniste, henkilön etunimi, henkilön sukunimi ja henkilön syntymäaika 2) oikeushenkilöä koskevassa tunnistustapahtumassa ainakin oikeus-henkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation yksilöivä tunniste, 3) tieto tunnistusvälineen korotetusta tai korkeasta varmuustasosta. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on oltava valmius välittää 1) tieto siitä, koskeeko tunnistustapahtuma julkisen hallinnon vai yksityistä asiointipalvelua; 2) luonnollista henkilöä koskevassa tunnistustapahtumassa etunimi (-nimet) ja sukunimi (-nimet) syntymähetkellä, syntymäpaikka, nykyinen osoite ja sukupuoli; 3) oikeushenkilöä koskevassa tunnistustapahtumassa a) nykyinen osoite; b) arvonlisäverotunniste; c) verorekisterinumero; d) Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY 4 3 artiklan 1 kohdassa tarkoitettu tunniste; e) komission täytäntöönpanoasetuksessa (EU) N:o 1247/ tarkoitettu oikeushenkilötunnus (LEI); f) komission täytäntöönpanoasetuksessa (EU) N:o 1352/ tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero); g) neuvoston asetuksen N:o 389/ artiklan 12 kohdassa tarkoitettu valmisteveronumero Tunnistetiedot Tunnistusvälineen tarjoaja välittää tunnistusvälityspalvelulle tunnistetiedot. 4 Euroopan parlamentin ja neuvoston direktiivi 2009/101/EY, annettu 16 päivänä syyskuuta 2009, niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi (EUVL L 258, , s. 11). 5 Komission täytäntöönpanoasetus (EU) N:o 1247/2012, annettu 19 päivänä joulukuuta 2012, kauppatietorekistereihin OTC- johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 mukaisesti annettavien kauppailmoitusten muotoa ja antamistiheyttä koskevista teknisistä täytäntöönpanostandardeista (EUVL L 352, , s. 20). 6 Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, , s. 10). 7 Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, , s. 1).

41 MPS (70) Luonnollisen henkilön tunnistetietoihin sisältyy henkilön yksilöivä tunniste, joka on joko henkilötunnus HETU tai henkilön sähköinen asiointitunnus SA- TU säädösten sen salliessa. Osapuolet sopivat käytettävästä yksilöivästä tunnisteesta keskenään. Lisäksi tunnistetietoihin sisältyvät henkilön etu- ja sukunimi ja syntymäaika koodattuna käytetyn protokollastandardin mukaisella tavalla. Oikeushenkilön tunnistustapahtumassa tulee välittää ainakin oikeushenkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation tunniste Valinnaiset tiedot 12.4 Muut tiedot Osapuolten niin sopiessa tunnistetietoihin voidaan sisällyttää muita valinnaisia protokollastandardeissa määriteltyjä tietoja. Pykälän 2 momentissa lueteltuja tietoja varten täytyy määritellä tietokentät käytettävään prokollaan, jotta tietojen välittäminen voidaan ottaa helposti käyttöön, jos niin sovitaan. Lista vastaa EU:n komission yhteentoimivuusasetuksessa (EU) 2015/1501 määriteltyjä optionaalisia tietoja. Oikeushenkilön optionaalisten tietojen käyttökelpoisuutta ei ole määräyksen valmistelussa arvioitu yksityiskohtaisesti. Oikeushenkilöiden sähköisten tunnistusvälineiden kysyntä ja tarjonnan syntyminen ylipäätään jää nähtäväksi. Jos oikeushenkilön tunnistusvälineitä ryhdytään myöntämään, on kuitenkin oletettavaa, että eidas-sääntelyssä listatuilla tunnistetiedoilla on merkitystä kyseisten alojen rajat ylittävässä asioinnissa. Siten määräyksessä on tarkoitus lähtökohtaisesti edellyttää näitä määriteltäväksi. Varmuustaso Kansallisessa luottamusverkostossa käytettävän tunnistusvälineen varmuustaso voi olla eidas-asetuksen määrittelemä korotettu tai korkea. Tieto välineen varmuustasosta tulee välittää tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa. Julkinen vai yksityinen asiointipalvelu Rajat ylittävässä tunnistamistapahtumassa rajapinnassa tulee tarvittaessa pystyä välittämään myös organisaation nimi ja yksilöivä tunniste Kuva: Luottamusverkoston rajapinnat

42 MPS (70) Luottamusverkostoon kuuluvat kuvassa katkoviivalla merkityt toimijat. Tässä määräyksessä säädetään vaatimuksia seuraaville rajapinnoille - tunnistusvälineen tarjoaja - tunnistusvälityspalvelun tarjoaja (tunnistuslain 12 ja valtioneuvoston asetuksen 3 2 kohta) - tunnistusvälityspalvelun tarjoaja - asiointipalvelu (tunnistuslain 12 ja valtioneuvoston asetuksen 3 3 kohta) - tunnistusvälityspalvelun tarjoajan ja kansallisen eidas-solmupisteen välinen rajapinta (tunnistuslaki 30, eidas-asetus 12 artikla ja komission täytäntöönpanoasetus (EU) 2015/1501 8, ei suoraan mainitse rajapintaa] 12.6 Rajapinnat, joista ei määrätä Tunnistusvälineiden tarjoajien välinen rajapinta (ensitunnistaminen) Tunnistusvälineiden tarjoajien välisellä rajapinnalla tarkoitetaan sähköisessä ensitunnistamisessa käytettävää rajapintaa. Muut tunnistusvälineiden tarjoajien väliset rajapinnat voidaan tulkita tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan väliseksi rajapinnaksi ja rajapintaa koskevat siten kyseisen rajapinnan vaatimukset. Sähköisen ensitunnistamisen rajapinta (SAML/TUPAS) on ollut käytössä jo useita vuosia, koska sähköinen ensitunnistaminen mahdollistettiin tunnistuslaissa (17 ) jo ennen luottamusverkostopykälän (12 a ) lisäämistä. 8 Komission täytäntöönpanoasetus (EU) 2015/1501 yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 8 kohdan mukaisesti

43 MPS (70) Tästä syystä tässä vaiheessa ei nähdä tarkoituksenmukaiseksi lisätä sähköisen ensitunnistamisen rajapintaa koskevia vaatimuksia määräykseen. Pidemmän tähtäimen kehityksenä on kuitenkin tuotu esiin toivomus siitä, että rajapinnan kautta voitaisiin välittää tietoa ensitunnistamisesta (esim. mihin henkilökohtainen ensitunnistaminen on perustunut: passi, henkilökortti, sähköinen tunniste) Tunnistusvälineen haltijan ja tunnistusvälineen tarjoajan välinen rajapinta Tunnistusvälineen haltijan selain on tunnistustapahtuman kuluessa yhteydessä asiointipalveluun, tunnistusvälityspalveluun ja tunnistusvälineen tarjoajan palveluun. Tunnistusvälineen haltijan ja asiointipalvelun välisellä yhteydellä voinee olla aluksi käytössä http, mutta tunnistamistapahtumassa kaikilla tunnistusvälineyhteyksillä tulee olla käytössä https ja TLS 1.2. Vaatimukset ovat tältä osin käytännössä samat kuin tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välillä. Määräyksenantovaltuus ulottuu vain tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan rajapintaan, joita nämä tarjoavat luottamusverkostosta ulospäin asiointipalvelulle ja tunnistusvälineen haltijalle. Koska tunnistusvälineen haltijan kannalta tunnistustapahtuman eri yhteydet tehdään samalla selainistunnolla, em. rajapinnoille asetetut vaatimukset koskevat käytännössä välillisesti myös asiointipalvelun ja tunnistusvälineen haltijan välistä rajapintaa Väestötietojärjestelmän rajapinta Tunnistuspalvelun tarjoaja käyttää väestötietojärjestelmän rajapintaa (VTJrajapinta) ensitunnistamisen yhteydessä sekä varmistaessaan aika ajoin tunnistamispalvelussa käyttämiensä tietojen ajantasaisuuden. Väestörekisterikeskuksen tarjoama liitäntä on yleisellä tasolla määritelty dokumentissa VTJkysely-palvelu; Sovelluskyselyiden rajapintakuvaus, joka on ladattavissa VRK:n sivuilta Tunnistuspalvelun tarjoajat ja VRK sopivat keskenään rajapinnan tarkemmasta toteutuksesta, eikä määräykseen M72 sisällytetä mitään tätä rajapintaa koskevia vaatimuksia Yritys- ja yhteisörekisterien rajapinta Oikeushenkilön tunnistamisessa tarvittavat tiedot yritysten osalta tultaneen hakemaan patentti- ja rekisterihallituksen tietokannasta. Tunnistuspalvelun tarjoajat ja PRH sopivat rajapinnan toteutuksesta keskenään, eikä määräykseen M72 sisällytetä mitään tätä rajapintaa koskevia vaatimuksia. 12 a TUPAS-protokollaa käytettäessä välitettävät tiedot Jos tunnistusvälineen tarjoajan ja välityspalvelun tai asiointipalvelun rajapinnassa käytetään TUPASprotokollaa, tunnistuspalvelun tarjoajan on dokumentoitava tiedot siitä, miltä osin tässä määräyksessä säädettyjen tietojen välittäminen rajapinnassa ei ole mahdollista ilman protokollan muutoksia sekä toimenpiteet, joilla määräyksen vaatimukset voidaan täyttää

44 MPS (70) Perustelut TUPAS-protokollaa käytetään laajalti vahvassa sähköisessä tunnistamisessa. TUPAS on Finanssialan keskusliiton omistama tavaramerkki ja protokollan kehittäminen on finanssialan hallussa. Määräyksen valmistelussa tehdyn arvion perusteella TUPAS-protokollassa ei ole valmiutta välittää tietoa tunnistuspalvelun varmuustasosta tai siitä, koskeeko tunnistustapahtuma julkista vai yksityistä asiointipalvelua. Oikeushenkilön osalta asiaa ei ole vielä tarkasteltu, koska oikeushenkilön tunnistusvälineitä ei ole Suomessa ollut käytössä. Määräyksellä on tarkoitus ensi vaiheessa määritellä prosessi, jolla asia selvitetään ja ratkaistaan muun luottamusverkoston kannalta hyvissä ajoin ennen Siirtymävaiheessa olisi selvitysvelvollisuus yhteentoimivuusongelmista ja kompensoivista toimenpiteistä. Seuraavassa vaiheessa määräykseen voidaan tarvittaessa lisätä erityissäännökset TUPASprotokollan käyttötilanteita varten tai poistaa koko säännös. Myös pykälän poikkeuksellinen numerointi on valittu siksi, että säännöksen tarpeellisuudesta ja kehityksestä ei ole vielä tietoa. Finanssialaan keskusliitto on käynnistänyt toukokuussa 2016 protokollan teknisen tarkastelun ja kehitystarpeiden arvioinnin suhteessa sääntelyn vaatimuksiin. Työstä vastaa finanssiala, mutta finanssialan keskusliitto on sopinut tiedonvaihdosta n kanssa, jotta kehitystyötä pystyään seuraamaan ja kommentoimaan siltä osin, kun se on tarpeen tunnistuspalveluiden sääntelyn tasapuolisten vaatimusten kannalta. Kehittämiseen avoimuus on tarpeen myös siltä kannalta, että sillä on vaikutuksia muiden luottamusverkostoon kuuluvien tunnistuspalveluntarjoajien toimintaan ja näiden tulee pystyä ennakoimaan muutoksia omassa toiminnassaan. 12 b Korttipohjaista tunnistusvälinettä käytettäessä välitettävät tiedot Jos tunnistusvälineen tarjoaja ainoastaan laskee liikkeelle tunnistusvälineitä, mutta ei osallistu tunnistustapahtumaan, välineen tarjoajan on dokumentoitava tiedot välityspalvelun saatavilla olevista tunnistustapahtumassa välitettävistä tiedoista. Perustelut Pykälä koskee käytännössä Väestörekisterikeskuksen tunnistusvarmenteita, joita on henkilökorteilla, organisaatiokorteilla ja terveydenhuollon organisaatiokorteilla. Sirulla olevaan tunnistusvarmenteeseen perustuva tunnistaminen eroaa verkkopankkitunnuksiin ja mobiilivarmenteisiin perustuvasta tunnistamisesta siinä suhteessa, että VRK ainoastaan laskee tunnistusvälineet liikkeelle myöntäessään niitä, mutta se ei osallistu yksittäisen tunnistustapahtuman toteuttamiseen.

45 MPS (70) Väestörekisterikeskus on käynnistänyt huhtikuussa 2016 suunnittelun, jonka tarkoitus on ratkaista, miten kortteihin perustuva tunnistaminen sovitetaan luottamusverkostoon välityspalveluiden välitettäväksi. Määräyksellä on tarkoitus ensi vaiheessa määritellä prosessi, jolla asia selvitetään ja ratkaistaan muun luottamusverkoston kannalta hyvissä ajoin ennen Siirtymävaiheessa olisi selvitysvelvollisuus asian ratkaisemisesta ja seuraavassa vaiheessa määräykseen voidaan tarvittaessa lisätä erityissäännökset tai poistaa koko säännös. Myös pykälän poikkeuksellinen numerointi on valittu siksi, että säännöksen tarpeellisuudesta ja kehityksestä ei ole vielä tietoa. 13 Rajat ylittävän tunnistamisen edellyttämät tiedot Tunnistauduttaessa suomalaisella tunnistusvälineellä ulkomaiseen asiointipalveluun tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä samat tiedot kuin luottamusverkostossa on välitettävä 12 :n mukaan kansallisessa tunnistautumisessa. Tiedot tulee olla mahdollista välittää edelleen välityspalvelun ja kansallisen solmupisteen välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun. Tunnistauduttaessa ulkomaisella tunnistusvälineellä suomalaiseen asiointipalveluun kansallisen solmupisteen ja välityspalvelun tarjoajan välisessä rajapinnassa on välitettävä kansainvälisessä eidasrajapinnassa määritellyt minimitiedot ja rajapinnassa on oltava valmius välittää kansainvälisessä eidasrajapinnassa määritellyt valinnaiset tiedot. Henkilön yksilöivä tunnistetieto välitetään siinä muodossa, missä kansallinen solmupiste vastaanottaa sen kansainvälisestä eidas-rajapinnasta. Tiedot tulee olla mahdollista välittää edelleen välityspalvelun ja asiointipalvelun välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välinen rajapinta Suomen notifioimia tunnistusvälineitä on mahdollista käyttää tulevaisuudessa ulkomaisiin julkisen hallinnon asiointipalveluihin tunnistautumisessa ja toisaalta ulkomaisilla notifioiduilla tunnistusvälineillä on mahdollisuus tulevaisuudessa tunnistautua suomalaisiin julkisen hallinnon asiointipalveluihin. eidas-asetuksen mukaan valtioiden täytyy kyetä tähän viimeistään Tunnistamistapahtumat Suomen ja muiden maiden välillä tullaan välittämään Väestörekisterikeskuksen hallinnoiman kansallisen solmupisteen (PEPS, Pan European Proxy Server) kautta. Lähtökohtana on, että tunnistustapahtumat välitetään molemmissa suunnissa luottamusverkoston tunnistusvälityspalvelun tarjoajan kautta. Välityspalvelun tarjoajan ja PEPSin välinen rajapinta on määriteltävä kansallisesti. Rajapintaa koskevat samat yleiset vaatimukset kuin tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välistä rajapintaa. Muilta osin välityspalvelun tarjoaja ja solmupisteen toteuttaja sopivat rajapinnan ominaisuuksista keskenään. Tarkoituksenmukaista kuitenkin on, että protokollaksi valitaan jokin luottamusverkostossa käytössä oleva protokolla.

46 MPS (70) 13.2 Asiointipalvelun tyyppi Rajat ylittävässä tunnistamisessa tunnistautumisen julkisen hallinnon asiointipalveluihin tulee olla ilmaista, mutta yksityisten asiointipalveluiden tunnistamisesta eidas-asetus ja täytäntöönpanosäännökset mahdollistavat korvauksen perimisen tunnistusvälineen käytöstä. Tämän vuoksi tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun, tulee pystyä siirtämään myös tämän rajapinnan yli. 14 Tiedonsiirrossa käytettävä protokolla ja muut vaatimukset 14.1 Perustelut Tunnistusvälineen tarjoaja, tunnistusvälityspalvelun tarjoaja ja asiointipalvelun tarjoaja sekä kansallisen solmupisteen toteuttaja sopivat keskenään niiden välisten rajapintojen muista kuin tässä määräyksessä säädetyistä ominaisuuksista ja käytettävästä protokollasta. Pykälän tarkoitus on selventää sitä, että luottamusverkoston osapuolet sopivat keskenään siitä, mitä protokollaa käyttävät tietojen välittämisessä ja mitä tietoja välittävät tässä määräyksessä määrättyjen vähimmäistietojen lisäksi. Määräyksen valmistelun yhteydessä on tarkasteltu SAML 2.0- ja Open ID Connect -protokollia. laatii näistä protokollista malliprofiilit vaadittujen tietojen välittämistä varten. Kansallisen TUPAS-protokollan käytettävyyden ja kehitystarpeiden selvittämisestä kerrotaan 12 a :n kohdalla. Protokollia käsitellään vaikutusarvioinnin kohdassa Suositus SAML- tai Open ID Connect -protokollan ja profiilien käytöstä Luottamusverkostossa suositellaan käytettäväksi SAML tai Open ID Connect -protokollaa ja näiden kansallisesti laadittuja protokollien profiileja, jotka viestintävirasto julkaisee erillisenä ohjeena/suosituksena. Luku 4 Tunnistuspalvelun auditointikriteerit 15 Auditointikriteerit Tunnistuspalvelun auditoinnin täytyy kattaa vaatimukset, jotka kohdistuvat 1) tunnistuspalvelun tarjoamiseen vaikuttavien toimintojen (tunnistusjärjestelmän) a) tietoturvallisuuden hallintaan b) tietojen säilyttämiseen c) tiloihin ja henkilökuntaan d) teknisiin toimenpiteisiin 2) tunnistusmenetelmään eli tunnistusvälineen a) hakemiseen ja rekisteröintiin b) hakijan henkilöllisyyden todistamiseen ja varmentamiseen c) tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen d) myöntämiseen, toimittamiseen ja aktivointiin e) voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin f) uusimiseen ja korvaamiseen

47 MPS (70) g) todentamismekanismeihin Edellä 1 momentissa mainittujen osa-alueiden auditoinnin on perustuttava tunnistuslain ja tämän määräyksen vaatimuksiin, EU:n tai muun kansainvälisen toimielimen antamiin säännöksiin tai ohjeisiin, julkaistuihin ja yleisesti tai alueellisesti sovellettuihin tietoturvallisuutta koskeviin ohjeisiin tai yleisesti käytettyihin tietoturvallisuusstandardeihin tai menettelyihin. Perustelut Pykälän 1 momentissa luetellaan ne tunnistuspalvelun toteutuksen ja tarjonnan osa-alueet, joiden osalta säädännön vaatimusten täyttyminen täytyy osoittaa joko ulkoisella tai sisäisellä auditoinnilla. Auditointikriteerit perustuvat säädösten vaatimuksiin, erityisesti EU:n komission varmuustasoasetuksen (EU) 2015/1502 (nk. LOA-asetus) vaatimuksiin. Tietoturvavaatimuksia tarkennetaan myös tämän määräyksen 2 luvussa. Tunnistuspalveluntarjoaja voi täyttää säännöksessä määrätyt auditoinnin vaatimukset yhdellä tai useammalla valitsemallaan auditoinnilla. Esimerkkejä kansainvälisistä tai kansallisesti yleisesti käytetyistä standardeista, joihin perustuvia auditointeja toimijat voivat tietyin edellytyksin hyödyntää, luetellaan jäljempänä arviointielimen pätevyyttä koskevan 18 :n kohdalla. Pykälän 2 momentissa säädetään siitä, mitä vaatimuksia vasten auditointi on tehtävä. Vaatimukset, jotka tunnistusjärjestelmän on täytettävä, säädetään tunnistuslaissa, EU:n varmuustasoasetuksessa ja niitä tarkennetaan tässä määräyksessä. Auditoinnissa voidaan lisäksi ottaa huomioon myös muita lähteitä. Auditoijan pätevyysvaatimuksista säädetään tunnistuslain 33 :ssä ja vaatimuksia tarkennetaan määräyksen 18 :ssä. Auditoinnin hankkivan tunnistuspalveluntarjoajan on huolehdittava sitä, että auditoinnissa otetaan huomioon myös nimenomaisesti tunnistusjärjestelmään ja tunnistusmenetelmään kohdistuvat vaatimukset, vaikka palvelun tuotanto- ja hallintaympäristö usein on vain osa muuta tuotanto- ja hallintaympäristöä ja vaikka auditointi kohdistuisi kokonaisuutena tähän laajempaan kokonaisuuteen. 16 Selvitys muiden vaatimusten täyttämisestä Tunnistuspalveluntarjoajan on osoitettava omalla kirjallisella selvityksellään tai edellä 15 :ssä tarkoitetulla auditoinnilla seuraavien tunnistuspalveluntarjoajan luotettavuuteen ja tunnistuspalvelusta annettaviin tietoihin liittyvät vaatimukset 1) julkaistut ilmoitukset ja käyttäjätiedot (tunnistusperiaatteet, sopimusehdot ja hinnastot) 2) vakiintunut organisaatio 3) valmius ottaa vahinkoriskejä 4) riittävät taloudelliset varat 5) vastuu alihankkijoista 6) suunnitelma toiminnan päättämisen varalta Perustelut Pykälään on koottu ne tunnistuspalveluntarjoajan luotettavuutta koskevat osa-alueet, jotka eivät liity erityisesti tunnistusjärjestelmään vaan ylei-

48 MPS (70) semmin toimijan luotettavaan toimintakykyyn - ja vastuullisuuteen. Näiden vaatimusten täyttämisen voi osoittaa yrityksen omalla selvityksellä viranomaiselle aloitus- tai muutosilmoituksen yhteydessä. Vaatimusten täyttämisen voi osoittaa myös soveltuvalla auditoinnilla. Määräyksen valmistelussa ei ole tullut toimialalta ehdotuksia tällaisista yleisiä luotettavuusvaatimuksia koskevista standardeista, joten tässä ei esitetä esimerkkejä. 17 Kansallisen solmupisteen arviointiperusteet Kansallisen solmupisteen tietoturvallisuuden arvioinnin tulee perustua ISO/IEC standardiin ja Euroopan komission täytäntöönpanopäätökseen (EU) 2015/ Perustelut Säännös on lähinnä informatiivinen. Komission täytäntöönpanopäätöksessä (EU) 2015/1501 mainitaan oletuksena standardiin ISO/IEC perustuva tietoturvallisuuden hallinta. Määräyksessä vahvistetaan tämä olettama, koska tämä on myös käytännössä Väestörekisterikeskuksen toimintaan soveltuva ratkaisu. Komission täytäntöönpanopäätöksessä säädetään joitain vaatimuksia solmupisteen toiminnalle. Luku 5 Tunnistuspalvelun arviointielimen pätevyys 18 Tunnistuspalvelun ulkoisen arviointielimen vaatimukset Tunnistuslain 33 :ssä arviointielimelle säädettyjen riippumattomuus- ja pätevyysvaatimusten täyttymisen voi osoittaa 1) ISO/IEC standardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 2) Webtrust -säännöstöön perustuvalla kansainvälisesti tunnetun itsesääntelyjärjestelyn mukaisesti osoitetulla pätevyydellä; 3) PCI DSS - maksukorttistandardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 4) BIS:in (Bank for International Settlements) ohjeen noudattamisella;tai 5) Muiden edellisiin rinnastettavien yleiseen tietoturvallisuuden hallintaan taikka sektorikohtaiseen sääntelyyn tai standardointiin liittyvien säännösten, ohjeiden tai standardien edellyttämän pätevyyden osoittamisella tai noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin edellä 1 momentissa tarkoitetut säännökset, ohjeet tai standardit kohdistuvat tunnistusjärjestelmään. Perustelut lle tunnistuslain 10 :n mukaisesti annettavassa muutosilmoituksessa ja sen liitteissä annetaan valvovalle viranomaiselle tiedot auditoinneista sekä muu selvitys, jonka perusteella voidaan arvioida, että auditoinnin tekijä täyttää tunnistuslain 33 :n vaatimukset arviointielimen riippumattomuudelle ja pätevyydelle. 9 Komission täytäntöönpanopäätös yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 8 kohdan mukaisesti

49 MPS (70) Auditoinnin tekevä arviointielin voi tunnistuslain 29 :n mukaisesti olla joko sisäinen tarkastuslaitos, muu ulkoinen arviointilaitos tai akkreditoitu vaatimustenmukaisuuden arviointilaitos. Esimerkkejä mahdollisista arviointielimistä ovat akkreditoitu ISO tarkastuslaitos, muu ulkoinen ISO auditoija tai vastaavat muihin relevantteihin standardeihin perustuvat arvioijat. Pykälän 1 momentissa luetellaan esimerkkejä sellaisista kansainvälisistä standardeista tai sääntely- tai itsesääntelykehyksistä, joihin arviointielimen riippumattomuus ja pätevyys voi perustua. Luettelo ei ole tyhjentävä ja 5 kohdassa todetaan yleisesti edellytykset sille riippumattomuuden ja pätevyyden osoittamiselle. Tarkoitus on, että toimijat voisivat tukeutua mahdollisimman joustavasti erilaisiin jo muutoinkin käyttämiinsä arviointeihin. Pykälän 2 momentista ilmenee, että edellytyksenä eri standardien tai säännöstöjen käyttämiselle riippumattomaan ja pätevään tunnistusjärjestelmän arviointiin on se, että arviointi todella kohdistuu tunnistusjärjestelmän vaatimuksiin. On tunnistuspalvelun tarjoajan vastuulla huolehtia siitä, että näin todella on ja että arviointi kattaa kaikki tässä määräyksessä määritellyt osa-alueet. Auditointiraportista on ilmettävä selkeästi auditoinnin kohdistuminen tosiasiassa tunnistusjärjestelmän vaatimuksiin. Seuraavassa on suuntaa-antava ja informatiivinen lista standardeista tai muista lähteistä, joiden mukaisia arviointeja toimijat käyttävät ja jotka voivat soveltua myös tunnistusjärjestelmän arviointiin. Tässä ei ole erityisesti eritelty riippumattomuuden ja pätevyyden perusteita. Esimerkkilista voi myös soveltua seuraavassa pykälässä käsiteltyjen sisäisten tarkastuslaitosten pätevyyden arviointiin: - ISO PCI DSS, PCI/QSA - Webtrustin Trust Services Principles and Criteria for Certification Authorities ja Webtrust for Certification Authorities - SSL Baseline Requirements Audit Criteria - Information Security Forumin (ISF) "Standard of Good Practice" - ISF:n IRAM-kriteeristö (Information Risk Analysis Methodology) - ETSI TS (CA policy) - ISRS 4400 ja ISAE Katakri - Vahti - Euroopan keskuspankin tai FIVA:n määräykset tai ohjeet - FIVA:n määräys ja ohje 2.4 "Asiakkaan tunteminen - rahanpesun ja terrorismin rahoittamisen estäminen" - Euroopan keskuspankin Cybersecurity questionnary BISin (Bank for International Settlements) ohje External audits of banks,

50 MPS (70) 19 Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset Tunnistuslain 33 :ssä sisäiselle tarkastuslaitokselle säädettyjen riippumattomuusvaatimusten täyttymisen voi osoittaa: 1) BIS:in (Bank for International Settlements) ohjeen The internal audit function for Banks noudattamisella; 2) Finanssivalvonnan määräys- ja ohjekokoelman sisäistä tarkastusta koskevien ohjeiden noudattamisella; 3) Finanssivalvonnan määräys- ja ohjekokoelman standardin 4.1 Sisäisen valvonnan järjestäminen noudattamisella; 4) muiden ETA-alueen jäsenvaltioiden 2 ja 3 kohtaa vastaavien valvontaviranomaisten antamien ohjeiden tai määräysten noudattamisella; tai 5) muilla edellisiin rinnastettavilla viranomaissääntelyyn tai yleiseen riippumattoman sisäisen tarkastuksen hallintaan liittyvien standardien noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin 1 momentissa tarkoitettujen säännösten, ohjeiden tai standardien mukaisesti organisoitu sisäinen tarkastus kohdistuu tunnistusjärjestelmään. Perustelut lle tunnistuslain 10 :n mukaisesti annettavassa muutosilmoituksessa ja sen liitteissä annetaan valvovalle viranomaiselle tiedot auditoinneista sekä muu selvitys, jonka perusteella voidaan arvioida, että auditoinnin tekijä täyttää tunnistuslain 33 :n vaatimukset arviointielimen riippumattomuudelle ja pätevyydelle. Auditoinnin tekevä arviointielin voi tunnistuslain 29 :n mukaisesti olla joko sisäinen tarkastuslaitos, muu ulkoinen arviointilaitos tai akkreditoitu vaatimustenmukaisuuden arviointilaitos. Asiaa käsitellään vaikutusarvioinnin kohdassa Ks. mm. Finanssivalvonnan määräys- ja ohjekokoelma nts/4.1.std5.pdf Luotettava hallinto ja toiminnan järjestäminen Kappale 5.6. Sisäinen tarkastus _3.aspx BIS: The internal audit function in banks Luku 6 Hyväksytyt luottamuspalvelut 20 Hyväksytyn luottamuspalvelun tarjoajan arviointikriteerit Eidas-asetuksessa asetettujen vaatimusten lisäksi hyväksytyn luottamuspalvelun tarjoajan tulee täyttää standardin SFS-EN vaatimukset. Varmenteita tarjoavan hyväksytyn luottamuspalvelun tarjoajan tulee momentin 1 vaatimusten lisäksi täyttää standardin SFS-EN vaatimukset.

51 MPS (70) Sähköisten allekirjoitusten tai leimojen hyväksyttyjä varmenteita tai hyväksyttyjä verkkosivuvarmenteita myöntävän hyväksytyn luottamuspalvelun tarjoajan tulee edellä 1 ja 2 momenteissa säädettyjen vaatimusten lisäksi täyttää standardin SFS-EN vaatimukset. Hyväksyttyjä aikaleimoja myöntävän hyväksytyn luottamuspalvelun tarjoajan tulee edellä1 momentissa säädettyjen vaatimusten lisäksi täyttää standardin SFS-EN vaatimukset. Vaatimusten täyttämisen voi osoittaa edellä 1-4 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus Perustelut Standardit perustuvat komission ETSIlle antamaan nimenomaiseen standardointimandaattiin, joka liittyy eidas-asetuksen tarkoittamiin palveluihin. Määräyksessä viitataan niihin standardeihin, jotka ovat valmiita. Standardit eivät ole pakollisia, vaan palvelut voi toteuttaa muullakin tavalla. Standardit osoittavat kuitenkin se, millainen luotettavuus palveluissa täytyy pystyä toteuttamaan. Jos palvelun toteuttaa viitatun standardin mukaisesti, eidas-asetuksen vaatimukset tulevat huomioiduksi. Jos käytetään muuta standardia, palvelun toteuttajan on osoitettava, että palvelu täyttää vastaavat vaatimukset. Asiaa käsitellään vaikutusarvioinnin kohdassa 3.1. Seuraavassa on ryhmitelty viitattuja standardeja. Hyväksytyn luottamuspalvelun tarjoajan yleiset vaatimukset ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers Varmenteita myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V1.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [ETSI EN V1.1.0 Checklist - This document form is informative Annex D to EN ] Hyväksyttyjä varmenteita myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V2.1.1 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [ETSI EN v2.1.0 Checklist - This document form is informative Annex B to EN ]

52 MPS (70) Hyväksyttyjä aikaleimoja myöntävän luottamuspalvelun tarjoajan vaatimukset ETSI EN V1.1.1 Electronic Signatures and Infra-structures (ESI); Policy and Security Requirements for Trust Service Providers issuing Electronic Time-Stamps [ETSI EN V1.1.0 Checklist - This document form is informative Annex H to EN ] 20.2 Luottamuspalveluiden määritelmät ja kuvaukset yleisesti EU-säädännössä luottamuspalveluita ovat sähköiset allekirjoitukset ja leimat, niihin liittyvät validointi- ja säilyttämispalvelut, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen. Hyväksytty sähköinen allekirjoitus on kehittynyt sähköinen allekirjoitus, joka on luotu hyväksytyllä luontivälineellä ja perustuu hyväksyttyyn varmenteeseen. Käytännössä tämä tarkoittaa allekirjoitusvälineen kuten sirukortin sertifiointia ja hyväksytyn tarkastuslaitoksen tekemää allekirjoitusvälineen tarjoajan auditointia. Sähköinen allekirjoitus on sähköisessä muodossa oleva tieto, jota allekirjoittaja käyttää allekirjoittamiseen. Esimerkiksi sähköpostin loppuun kirjoitettu nimi on sähköinen allekirjoitus. Sähköisissä allekirjoituksissa allekirjoittaja on aina luonnollinen henkilö. Kehittynyt sähköinen allekirjoitus on sähköinen allekirjoitus joka varmentaa sähköisen asiakirjan tietosisällön ja allekirjoittajan henkilöllisyyden. Jos sähköistä asiakirjaa muutetaan jälkikäteen, aiemmin tehty allekirjoitus ei täsmää muutetun asiakirjan sisällön kanssa. Esimerkiksi henkilön hallussa olevalla varmenteella, kuten mobiilivarmenteella tai HST-kortilla tehty allekirjoitus on kehittynyt sähköinen allekirjoitus. eidas-asetuksen määritelmät 10) sähköisellä allekirjoituksella sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen; 11) kehittyneellä sähköisellä allekirjoituksella sähköistä allekirjoitusta, joka täyttää 26 artiklassa säädetyt vaatimukset; 12) hyväksytyllä sähköisellä allekirjoituksella kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen; 14) sähköisen allekirjoituksen varmenteella sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen;

53 MPS (70) 15) sähköisen allekirjoituksen hyväksytyllä varmenteella sähköisen allekirjoituksen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset; 22) sähköisen allekirjoituksen luontivälineellä asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen; 23) hyväksytyllä sähköisen allekirjoituksen luontivälineellä sähköisen allekirjoituksen luontivälinettä, joka täyttää liitteessä II säädetyt vaatimukset; Kuva 1 sähköisen allekirjoituksen tasot Sähköisellä leima on sähköinen allekirjoitus joka on aina tehty oikeushenkilön toimesta. Leimalla voidaan varmentaa esimerkiksi allekirjoitetun asiakirjan, koodin, sovelluksen tai muun binääritiedoston eheys ja alkuperä. Sähköisellä leimalla on samat tasot kuin sähköiselle allekirjoitukselle.

54 MPS (70) eidas-asetuksen määritelmät 25) sähköisellä leimalla sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon viimeksi mainitun tiedon alkuperän ja eheyden varmistamiseksi; 26) kehittyneellä sähköisellä leimalla sähköistä leimaa, joka täyttää 36 artiklassa säädetyt vaatimukset; 27) hyväksytyllä sähköisellä leimalla kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen; 29) sähköisen leiman varmenteella sähköistä todistusta, joka liittää sähköisen leiman validointitiedot oikeushenkilöön ja vahvistaa kyseisen henkilön nimen; 30) sähköisen leiman hyväksytyllä varmenteella sähköisen leiman varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset; 31) sähköisen leiman luontivälineellä asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen leiman luomiseen; 32) hyväksytyllä sähköisen leiman luontivälineellä sähköisen leiman luontivälinettä, joka täyttää soveltuvin osin liitteessä II säädetyt vaatimukset; Validointi on sähköisiä allekirjoituksia ja leimoja täydentävä palvelu, jolla varmistetaan sähköisen allekirjoituksen tai leiman aitous. eidas-asetuksen määritelmät 41) validoinnilla prosessia sen tarkistamiseksi ja vahvistamiseksi, että sähköinen allekirjoitus tai leima on pätevä. Säilyttämispalvelulla taataan sähköisen allekirjoituksen tai leiman luotettavuus pitkiksi ajoiksi. Palveluntarjoaja varmentaa alkuperäisen allekirjoituksen tai leiman uudestaan edellisen varmennuksen vanhentuessa. Sähköinen aikaleima on sähköiseen allekirjoitukseen liitettävä aikaleima, joka todistaa allekirjoituksen tekohetken tai ainakin kellonajan, jota ennen allekirjoitus on tehty, jos aikaleimaus tehdään jälkikäteen. eidas-asetuksen määritelmät 33) sähköisellä aikaleimalla sähköisessä muodossa olevia tietoja, jotka sitovat muut sähköisessä muodossa olevat tiedot tiettyyn ajankohtaan ja muodostavat todisteen viimeksi mainittujen tietojen olemassaolosta kyseisenä ajankohtana; 34) hyväksytyllä sähköisellä aikaleimalla sähköistä aikaleimaa, joka täyttää 42 artiklassa säädetyt vaatimukset;

55 MPS (70) Sähköisellä rekisteröidyllä jakelupalvelulla siirretään tietoa tietoturvallisesti kolmansien osapuolten välillä. Sekä lähettäjä että vastaanottaja tunnistetaan luotettavasti ja huolehditaan tiedon muuttumattomuudesta. eidas-asetuksen määritelmät 36) sähköisellä rekisteröidyllä jakelupalvelulla palvelua, jonka avulla tietoa voidaan siirtää sähköisesti kolmansien osapuolten välillä ja joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita, muun muassa vahvistuksen tietojen lähettämisestä ja vastaanottamisesta, ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä; 37) hyväksytyllä sähköisellä rekisteröidyllä jakelupalvelulla sähköistä rekisteröityä jakelupalvelua, joka täyttää 44 artiklassa säädetyt vaatimukset; Verkkosivustojen todentamispalvelut tarjoavat välineen, jonka avulla verkkosivustolla vieraileva henkilö voi varmistua siitä, että sivusto on aito ja laillinen. eidas-asetuksen määritelmät 38) verkkosivustojen todentamisen varmenteella todistusta, jonka avulla verkkosivusto voidaan todentaa ja joka liittää verkkosivuston siihen luonnolliseen henkilöön tai oikeushenkilöön, jolle varmenne on myönnetty; 39) verkkosivustojen todentamisen hyväksytyllä varmenteella verkkosivustojen todentamisen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä IV säädetyt vaatimukset; 21 Hyväksytyn luottamuspalvelun arviointikriteerit Hyväksytyn luottamuspalvelun myöntämien varmenteiden tulee täyttää eidas-asetuksessa sähköisen allekirjoituksen ja leiman varmenteille sekä verkkosivujen varmenteille asetettujen vaatimusten lisäksi standardeissa SFS-EN EN , SFS-EN EN , SFS-EN EN , SFS-EN EN ja SFS-EN EN esitetyt vaatimukset soveltuvin osin. Hyväksytyssä aikaleimapalvelussa tulee käyttää standardin ETSI EN mukaista protokollaa (yhteyskäytäntö) ja tokenia (suojaustunnus, turvatunniste). Vaatimusten täyttämisen voi osoittaa edellä 1-2 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus Perustelut Hyväksyttyjä aikaleimoja myöntävän luottamuspalvelun tarjoajan vaatimukset

56 MPS (70) ETSI EN V1.1.1 Electronic Signatures and Infra-structures (ESI); Policy and Security Requirements for Trust Service Providers issuing Electronic Time-Stamps [ETSI EN V1.1.0 Checklist - This document form is informative Annex H to EN ] Luottamuspalvelukohtaiset tekniset vaatimukset Varmenneprofiilit - yleinen ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures Varmenneprofiilit - luonnollinen henkilö ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons Varmenneprofiilit - oikeushenkilö ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons Varmenneprofiilit - verkkosivuvarmenteet ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 4: Certificate profile for web site certificates Varmenneprofiilit - QCStatements ETSI EN V2.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements Aikaleimapalvelu ETSI EN V1.1.0 ( ) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles 20.2 Luottamuspalvelut, joiden vaatimuksista ei määrätä Hyväksytyn sähköisen rekisteröidyn jakelupalvelun vaatimukset säädetään eidas-asetuksen 44 artiklassa. Palveluiden standardointi on kesken, joten määräyksessä ei viitata tarkempiin vaatimuksiin. Sähköisen rekisteröidyn jakelupalvelun standardit on tarkoitus valmistella ETSIssä standardisarjaan EN , mutta niitä ei ole vielä määräyksen antamishetkellä käytettävissä.

57 MPS (70) Tekeillä on standardi ETSI EN Policy & security requirements for electronic registered delivery service providers, jonka pohjana tulee olemaan REM-spsefikaatioita koskeva TS REM-spesifikaatiotkin on tarkoitus uusia tulevaisuudessa ja julkaista standardisarjana EN TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 1: Architecture - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 2: Data requirements, Formats and Signatures for REM - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 3: Information Security Policy Requirements for REM Management Domains - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 4: REM-MD Conformance Profiles - TS Ver Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 5: REM-MD Interoperability Profiles Luku 7 Luottamuspalvelujen vaatimustenmukaisuuden arviointilaitokset 22 Arviointilaitosten pätevyyden arviointi Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistuslain 33 :n 1 momentin 3 kohdan ja 4 kohdan vaatimusten täyttymisen edellytyksenä on, että arviointilaitos täyttää standardin SFS-EN vaatimukset. Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistuslain 33 :n 1 momentin 2 kohdan vaatimuksen täyttymisen edellytyksenä on riittävä pätevyys 20 :ssä lueteltujen luottamuspalveluiden tarjoajien ja 21 :ssä lueteltujen luottamuspalveluiden arviointikriteerien mukaisten arviointien suorittamiseen Arviointilaitoksen akkreditointi ja hyväksyntä Vaatimustenmukaisuuden arviointilaitoksen aseman saaminen edellyttää tunnistuslain mukaisten riippumattomuus- ja pätevyysvaatimusten osoittamista FINASilta haettavalla akkreditoinnilla. Kun FINAS tekee vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) tarkoittaman päätöksen arviointilaitoksen akkreditoinnin kriteereistä, se voi huomioida muitakin riippumattomuuden ja pätevyyden arviointiin liittyviä vaatimuksia kuin tässä määräyksessä viitatut standardit. Lisäksi laitoksen tulee hakea hyväksyntä lta. Hyväksynnän edellytyksenä on FINASin akkreditointi ja selvitys tunnistuslain 33.1 :n 4 kohdan edellyttämien ohjeista ja niiden seurannasta.

58 MPS (70) Seuraavassa kaaviossa kuvataan yleisen akkreditointisääntelyn ja eidasasetuksen sektorikohtaisen valvonnan suhteita sähköisen luottamuspalvelun vaatimustenmukaisuuden arviointilaitoksen hyväksymisessä. Lähde ENISAn [+ viite/linkki] 22.2 Akkreditoinnissa käytettävät standardit Komissio ei ole laatinut täytäntöönpanopäätöstä, jolla tarkennettaisiin ei- DAS-asetuksen 20.4 artiklan nojalla vaatimuksenmukaisuuden arviointilaitosta koskevat standardit. Eurooppalaisten akkreditointiorganisaatioiden yhteistyöelin EA (European Co-operation for Accreditation) on laatinut dokumentin EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article Siinä määritellään, miten luottamuspalveluiden vaatimustenmukaisuuden arviointilaitosten (Conformity Assessment Bodies - CAB) akkreditoinnissa siirrytään aiemmasta käytännöstä eidas-asetuksen mukaiseen käytäntöön ja mitä vaatimuksia akkreditoinnissa edellytetään arviointilaitoksen täyttävän ja minkä asioiden osalta sillä pitää olla pätevyys. Pohjana ovat ETSIn laatimat standardit. Koska komissio ei ole valmistelemassa asiaa koskevaa täytäntöönpanosäännöstä, EA:n dokumentissa luetellut standardit toimivat pohjana vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa ja hyväksynnässä. Vaatimustenmukaisuuden arviointilaitoksen vaatimukset on määritelty standardissa ETSI EN V2.2.2 ( ) Electronic Signatures and