Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

Samankaltaiset tiedostot
Määräys sähköisistä tunnistus- ja luottamuspalveluista

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Tunnistus- ja luottamuspalveluiden arviointikertomukset

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Telia Tunnistus - Palvelukuvaus

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Määräys. 1 Soveltamisala

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Määräyksen 72 perustelut ja soveltaminen. Sähköinen tunnistaminen ja sähköiset luottamuspalvelut

Tunnistusmääräyksen 72A Tupas-muutos. 2. kuulemistilaisuus

Viestintäviraston määräyksen 72/2016 muuttaminen

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Tunnistus- ja luottamuspalveluiden ilmoitukset

Määräykset ja ohjeet 26/2013

Määräykset ja ohjeet 5/2014

Määräykset ja ohjeet 14/2013

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

Tietoturvaa verkkotunnusvälittäjille

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Määräykset ja ohjeet X/2013

Määräykset ja ohjeet 26/2013

MPS 7 MÄÄRÄYKSEN 7 PERUSTELUT JA SOVELTAMINEN

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

(ETA:n kannalta merkityksellinen teksti)

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

HE 74/2016 vp. Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos: KOMISSION ASETUS (EY) N:o /2009, annettu [ ] päivänä [ ] kuuta [ ],

Määräykset ja ohjeet 20/2013

Määräykset ja ohjeet 14/2013

Määräys radiolaitteiden vaatimustenmukaisuuden varmistamisesta

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

Määräys RADIOLAITTEIDEN VAATIMUSTENMUKAISUUDEN VARMISTAMISES- TA JA MERKITSEMISESTÄ. Annettu Helsingissä 3 päivänä heinäkuuta 2003

Euroopan unionin neuvosto Bryssel, 14. joulukuuta 2017 (OR. en)

Luonnos. KOMISSION ASETUKSEKSI (EU) n:o /2010, annettu [ ], yhteisen ilmatilan käyttöä koskevista vaatimuksista ja toimintaohjeista

Määräys hätäliikenteen teknisestä toteutuksesta ja varmistamisesta

Määräykset ja ohjeet 20/2013

Sähköisen tunnistamisen eidastilannekatsaus

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ],

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

SISÄLLYS. eurooppalaiseen sopimukseen liitetyn tiemerkintöjä käsittelevän pöytäkirjan muutosten voimaansaattamisesta N:o 187.

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

Määräykset ja ohjeet 20/2013

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Määräykset ja ohjeet 3/2013

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 15. marraskuuta 2012 (15.11) (OR. en) 16273/12 TRANS 397 SAATE

Euroopan unionin virallinen lehti. (Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

OP Tunnistuksen välityspalvelu

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Määräys suuren häiriöriskin aiheuttavien radiolähettimien tarkastusmenettelystä

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Määräykset ja ohjeet 3/2013

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOASETUS

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Riippumattomat arviointilaitokset

Direktiivin 98/34/EY ja vastavuoroista tunnustamista koskevan asetuksen välinen suhde

Ehdotus NEUVOSTON DIREKTIIVI

Euroopan unionin neuvosto Bryssel, 21. maaliskuuta 2017 (OR. en)

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Määräykset ja ohjeet 20/2013

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Hyväksytyt asiantuntijat

Määräykset ja ohjeet 5/2018

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 3. lokakuuta 2013 (OR. en) 13408/13 Toimielinten välinen asia: 2013/0020 (NLE) TRANS 466 MAR 126

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

(ETA:n kannalta merkityksellinen teksti)

A7-0277/102

Tietoa henkilötietojesi suojasta Yleisötiedotus

Määräykset ja ohjeet 3/2013

Hyväksytyt asiantuntijat

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Ref. Ares(2014) /07/2014

Transkriptio:

LUONNOS 13.5.2016 1 (12) Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista Annettu Helsingissä x päivänä yykuuta 2016 Viestintävirasto on määrännyt x päivänä yykuuta 20xx annetun vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) 42 :n nojalla, sellaisena kuin se on muutettuna laissa xxx/2016: Luku 1Yleiset säännökset 1 Määräyksen tarkoitus 2 Soveltamisala Tämän määräyksen tarkoituksena on 1) edistää vahvojen sähköisten tunnistusvälineiden ja tunnistuksenvälityspalveluiden tarjoajien palveluiden tietoturvallisuutta ja teknistä yhteentoimivuutta, 2) tarkentaa vahvan sähköisen tunnistamisen palveluiden vaatimustenmukaisuuden arvioinnin kriteerit ja arviointielinten riippumattomuus- ja pätevyyskriteerit, 3) täydentää hyväksyttyjen sähköisten luottamuspalveluiden vaatimuksia ja niiden vaatimustenmukaisuuden arvioinnin riippumattomuusja pätevyyskriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä, sekä 4) täydentää sähköisen allekirjoituksen tai sähköisen leiman sertifioinnin kriteereitä siltä osin, kun näistä ei ole säädetty Euroopan unionin lainsäädännössä. Tätä määräystä sovelletaan vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annetun lain (617/2009, jäljempänä tunnistuslaki) tarkoittamiin Viestintävirastolle ilmoitettuihin vahvan sähköisen tunnistamisen tunnistusvälineiden ja tunnistuksenvälityspalvelujen tarjontaan sekä näiden vaatimustenmukaisuuden arviointiin. Tätä määräystä sovelletaan Euroopan parlamentin ja neuvoston (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta antamassa asetuksessa (jäljempänä sähköisestä tunnistamisesta ja

2 (12) 3 Määritelmät luottamuspalveluista annettu EU:n asetus tai eidas-asetus) tarkoitettuihin hyväksyttyihin sähköisiin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin. Tätä määräystä sovelletaan Euroopan komissiolle ilmoitettaviin vahvan sähköisen tunnistamisen järjestelmiin tai 2 edellä momentissa tarkoitettuihin luottamuspalveluihin ja näiden vaatimustenmukaisuuden arviointiin sekä sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointiin vain, jollei eidas-asetuksesta tai sen nojalla annetuista komission täytäntöönpanosäädöksistä muuta johdu. Tässä määräyksessä tarkoitetaan: 1) Rajapinnalla tiedonsiirtoon liittyviä määrittelyjä ja toteutuksia. 2) eidas-rajapinnalla kansallisen solmupisteen rajapintaa toisen valtion kansalliseen solmupisteeseen. Muutoin tässä määräyksessä sovelletaan samoja määritelmiä kuin tunnistuslaissa ja eidas-asetuksessa. Luku 2 Tunnistuspalvelun tietoturvavaatimukset 4 Tunnistuspalvelun tarjoajan tietoturvallisuuden hallinnan vaatimukset Tunnistuspalveluntarjoajan on käytettävä tunnistusjärjestelmän tietoturvallisuuden hallinnassa ISO/IEC 27001 -standardia tai muuta yleisesti tunnettua vastaavaa tietoturvallisuuden hallinnan standardia. Tietoturvallisuuden hallinta voi perustua myös useamman standardin yhdistelmään. Tietoturvallisuuden hallinnan tulee kattaa seuraavat tunnistuspalvelun tarjontaan vaikuttavat osa-alueet 1) tunnistuspalveluntarjoajan toimintaympäristö kokonaisuutena; 2) tietoturvallisuuden hallinnan johtaminen, organisointi ja ylläpito; 3) tunnistuspalvelun tarjontaan liittyvien tietoturvallisuusriskien hallinta; 4) tietoturvallisuuden resursointi, pätevyys, henkilöstön tietoisuus tietoturvallisuudesta, viestintä ja dokumentointi ja dokumentoidun tiedon hallinta; 5) tunnistuspalvelun tarjonnan suunnittelu ja ohjaus tietoturvavaatimusten täyttämiseksi; ja 6) tietoturvallisuuden hallinnan tehokkuuden ja toimivuuden arviointi. 5 Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet Tunnistusjärjestelmä on suunniteltava, toteutettava ja ylläpidettävä siten, että huomioidaan järjestelmän

3 (12) 1) tietoliikenneturvallisuus a) verkon rakenteellinen turvallisuus b) tietoliikenneverkon vyöhykkeistäminen c) suodatussäännöt vähimpien oikeuksien periaatteilla d) suodatuksen ja valvontajärjestelmien hallinnointi koko elinkaaren ajan e) hallintayhteydet 2) tietojärjestelmäturvallisuus a) pääsyoikeuksien hallinta b) järjestelmien käyttäjien tunnistaminen c) järjestelmien koventaminen d) haittaohjelmasuojaus e) turvallisuuteen liittyvien tapahtumien jäljitys f) poikkeamien havainnointikyky ja toipuminen g) kansainvälisesti tai kansallisesti suositellut salausratkaisut muutoin kuin 7 :ssä säädetyltä osin 3) käyttöturvallisuus a) muutosten hallinta b) salassa pidettävän aineiston käsittely-ympäristö c) etäkäyttö ja -hallinta d) ohjelmistohaavoittuvuuksien hallinta e) varmuuskopiointi Edellä 1 momentin 1) e) ja 3) c) alakohtien toteutuksessa on erityisesti 1) korotetulla varmuustasolla tehtävä dokumentoitu riskiarvio, jos tunnistuspalvelun tuotannon hallintaverkkoon on pääsy organisaation yleisesti käytössä olevalla päätelaitteella, jolla on pääsy myös muihin organisaation palveluihin kuten sähköpostiin ja 2) korkealla varmuustasolla käytettävä tunnistuspalvelun tuotannon hallintaverkkoon pääsyssä sellaista organisaation päätelaitetta, jossa on estetty pääsy muihin organisaation palveluihin ja jossa ei ole käytettävissä muita kuin hallintaverkon käytön kannalta välttämättömiä toimintoja.

4 (12) 6 Tunnistusmenetelmän tietoturvavaatimukset Tunnistusvälinettä ei saa luoda ennen hakijan ensitunnistamista. Palveluntarjoajan on varmistettava, etteivät tunnistusvälineeseen liittyvät salaiset tiedot paljastu sen henkilöstölle missään tilanteessa. Palveluntarjoaja ei saa kopioida tunnistusvälineeseen liittyviä salaisia tietoja, koska niiden tulisi olla ainoastaan hakijan tiedossa tai käytettävissä. 7 Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Tunnistuspalveluntarjoajien välisissä ja tunnistuspalveluntarjoajan ja asiointipalvelun välisissä rajapinnoissa käytettävässä SSL/TLS-, Ipsec- tai SSH -protokollissa on käytettävä salauksessa, avaintenvaihdossa sekä salaukseen liittyvässä allekirjoituksessa seuraavia menetelmiä: 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE - menetelmiä tai elliptisiä käyriä käyttäviä ECDHE -menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHE -menetelmässä vähintään 2048 bittiä ja ECDHE -menetelmässä vähintään 224 bittiä. IANA:n IKEv2-määritysten mukaiset DHryhmät3 14-21, 23, 24 ja 26 toteuttavat edellä mainitut edellytykset. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulisi olla vähintään 2048 bittiä. Käytettäessä elliptisen käyrän menetelmää ECDSA:ta, alla olevan kunnan koon tulisi olla vähintään 224 bittiä. 3) Symmetrinen salaus: Vaihtoehtoisia salausalgoritmejä ovat AES, Serpent ja 3DES. AES:n ja Serpentin kanssa avaimen pituuden tulee olla vähintään 128 bittiä ja 3DES:ssä tulee käyttää kolmea erillistä avainta. Vaihtoehtoisia salausmoodeja ovat CBC, GCM, XTS ja CTR. 4) Tiivistefunktiot: Tiivistefunktioksi soveltuvat SHA-2, SHA-3 ja Whirlpool. SHA-2:lla tarkoitetaan seuraavia funktioita SHA224, SHA256, SHA384 ja SHA512. Mikäli yhteyskäytännössä käytetään SSL/TLS-protokollaa, tulee käyttää vähintään TLS versiota 1.2 tai uudempaa versiota. Salausasetukset tulee teknisesti pakottaa edellä lueteltuihin vähimmäistasoihin, jotta asetusneuvotteluissa ei päädyttäisi vähimmäistasoja heikompiin asetuksiin. Tiedon säilytyksessä tunnistusjärjestelmässä sovelletaan edellä 1 momentissa allekirjoittamisen, symmetrisen salaamisen ja tiivistefunktioiden vaatimuksia. 8 Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Salausmenetelmien tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset.

5 (12) Osapuolten tunnistamisessa ja tunnistamisessa tarvittavan tiedon välityksessä tulee käyttää metadataa tai vastaavia menettelyitä, jotka takaavat vastaavan tietoturvatason. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla. 9 Tietoturvavaatimukset asiointipalvelurajapinnassa Tunnistusvälityspalvelun tarjoajan ja asiointipalvelun välisen rajapinnan tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset. Henkilötunnuksen välityksessä tulee huolehtia sen luottamuksellisuudesta, eheydestä ja käytettävyydestä siten, että välitys on tietoturvallista käyttäjän päätelaitteeseen asti. 10 Tietoturvavaatimukset kansallisen solmupisteen rajapinnassa Tunnistusvälityspalvelun tarjoajan ja kansallisen solmupisteen välisen rajapinnan tulee täyttää edellä 7 :n 1-3 momentissa määrätyt vaatimukset. 11 Tunnistuspalveluntarjoajan häiriöilmoitukset Viestintävirastolle Viestintävirastolle tunnistuslain 16 :n mukaisesti tehtävässä häiriöilmoituksessa on annettava seuraavat tiedot 1) tunnistusväline tai välityspalvelu, johon häiriö vaikuttaa 2) kuvaus häiriöstä ja sen tiedossa olevista syistä 3) kuvaus häiriön vaikutuksista, mukaan lukien vaikutus uusien tunnistusvälineiden myöntämiseen, käyttäjiin, luottaviin osapuoliin, muihin luottamusverkoston toimijoihin ja rajat ylittävään käyttöön 4) kuvaus korjaustoimenpiteistä 5) kuvaus häiriöstä tiedottamisesta Häiriön merkittävyyden arvioinnissa merkittävyyttä lisää se, että häiriö liittyy sähköisen henkilöllisyyden virheellisyyteen tai väärinkäyttöön tai tietoturvauhkaan tai -häiriöön, joka vaarantaa tunnistamisen eheyden ja luotettavuuden. Merkittävyyttä lisää myös se, että häiriöllä on vaikutuksia luottamusverkostoon. Luku 3 Tietojen välittäminen luottamusverkostossa 12 Luottamusverkostossa välitettävät vähimmäistiedot Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä 1) luonnollista henkilöä koskevassa tunnistustapahtumassa ainakin henkilön yksilöivä tunniste, henkilön etunimi, henkilön sukunimi ja henkilön syntymäaika

6 (12) 2) oikeushenkilöä koskevassa tunnistustapahtumassa ainakin oikeushenkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation yksilöivä tunniste, 3) tieto tunnistusvälineen korotetusta tai korkeasta varmuustasosta. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on oltava valmius välittää 1) tieto siitä, koskeeko tunnistustapahtuma julkisen hallinnon vai yksityistä asiointipalvelua; 2) luonnollista henkilöä koskevassa tunnistustapahtumassa etunimi (- nimet) ja sukunimi (-nimet) syntymähetkellä, syntymäpaikka, nykyinen osoite ja sukupuoli; 3) oikeushenkilöä koskevassa tunnistustapahtumassa a) nykyinen osoite; b) arvonlisäverotunniste; c) verorekisterinumero; d) Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY 1 3 artiklan 1 kohdassa tarkoitettu tunniste; e) komission täytäntöönpanoasetuksessa (EU) N:o 1247/2012 2 tarkoitettu oikeushenkilötunnus (LEI); f) komission täytäntöönpanoasetuksessa (EU) N:o 1352/2013 3 tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero); g) neuvoston asetuksen N:o 389/2012 4 2 artiklan 12 kohdassa tarkoitettu valmisteveronumero. 12 a TUPAS-protokollaa käytettäessä välitettävät tiedot Jos tunnistusvälineen tarjoajan ja välityspalvelun tai asiointipalvelun rajapinnassa käytetään TUPAS-protokollaa, tunnistuspalvelun tarjoajan on dokumentoitava tiedot siitä, miltä osin tässä määräyksessä säädettyjen tietojen välittäminen rajapinnassa ei ole mahdollista ilman protokollan muutoksia sekä toimenpiteet, joilla määräyksen vaatimukset voidaan täyttää. 1 Euroopan parlamentin ja neuvoston direktiivi 2009/101/EY, annettu 16 päivänä syyskuuta 2009, niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi (EUVL L 258, 1.10.2009, s. 11). 2 Komission täytäntöönpanoasetus (EU) N:o 1247/2012, annettu 19 päivänä joulukuuta 2012, kauppatietorekistereihin OTC- johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 mukaisesti annettavien kauppailmoitusten muotoa ja antamistiheyttä koskevista teknisistä täytäntöönpanostandardeista (EUVL L 352, 21.12.2012, s. 20). 3 Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, 18.12.2013, s. 10). 4 Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, 8.5.2012, s. 1).

7 (12) 12 b Korttipohjaista tunnistusvälinettä käytettäessä välitettävät tiedot Jos tunnistusvälineen tarjoaja ainoastaan laskee liikkeelle tunnistusvälineitä, mutta ei osallistu tunnistustapahtumaan, välineen tarjoajan on dokumentoitava tiedot välityspalvelun saatavilla olevista tunnistustapahtumassa välitettävistä tiedoista. 13 Rajat ylittävän tunnistamisen edellyttämät tiedot Tunnistauduttaessa suomalaisella tunnistusvälineellä ulkomaiseen asiointipalveluun tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä samat tiedot kuin luottamusverkostossa on välitettävä 12 :n mukaan kansallisessa tunnistautumisessa. Tiedot tulee olla mahdollista välittää edelleen välityspalvelun ja kansallisen solmupisteen välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun. Tunnistauduttaessa ulkomaisella tunnistusvälineellä suomalaiseen asiointipalveluun kansallisen solmupisteen ja välityspalvelun tarjoajan välisessä rajapinnassa on välitettävä kansainvälisessä eidas-rajapinnassa määritellyt minimitiedot ja rajapinnassa on oltava valmius välittää kansainvälisessä eidas-rajapinnassa määritellyt valinnaiset tiedot. Henkilön yksilöivä tunnistetieto välitetään siinä muodossa, missä kansallinen solmupiste vastaanottaa sen kansainvälisestä eidas-rajapinnasta. Tiedot tulee olla mahdollista välittää edelleen välityspalvelun ja asiointipalvelun välillä. Lisäksi on välitettävä tieto siitä, kohdistuuko tunnistustapahtuma julkisen hallinnon asiointipalveluun vai yksityiseen asiointipalveluun. 14 Tiedonsiirrossa käytettävä protokolla ja muut vaatimukset Tunnistusvälineen tarjoaja, tunnistusvälityspalvelun tarjoaja ja asiointipalvelun tarjoaja sekä kansallisen solmupisteen toteuttaja sopivat keskenään niiden välisten rajapintojen muista kuin tässä määräyksessä säädetyistä ominaisuuksista ja käytettävästä protokollasta. Luku 4 Tunnistuspalvelun auditointikriteerit 15 Auditointikriteerit Tunnistuspalvelun auditoinnin täytyy kattaa vaatimukset, jotka kohdistuvat 1) tunnistuspalvelun tarjoamiseen vaikuttavien toimintojen (tunnistusjärjestelmän) a) tietoturvallisuuden hallintaan b) tietojen säilyttämiseen c) tiloihin ja henkilökuntaan d) teknisiin toimenpiteisiin 2) tunnistusmenetelmään eli tunnistusvälineen a) hakemiseen ja rekisteröintiin

8 (12) b) hakijan henkilöllisyyden todistamiseen ja varmentamiseen c) tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen d) myöntämiseen, toimittamiseen ja aktivointiin e) voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin f) uusimiseen ja korvaamiseen g) todentamismekanismeihin Edellä 1 momentissa mainittujen osa-alueiden auditoinnin on perustuttava tunnistuslain ja tämän määräyksen vaatimuksiin, EU:n tai muun kansainvälisen toimielimen antamiin säännöksiin tai ohjeisiin, julkaistuihin ja yleisesti tai alueellisesti sovellettuihin tietoturvallisuutta koskeviin ohjeisiin tai yleisesti käytettyihin tietoturvallisuusstandardeihin tai menettelyihin. 16 Selvitys muiden vaatimusten täyttämisestä Tunnistuspalveluntarjoajan on osoitettava omalla kirjallisella selvityksellään tai edellä 15 :ssä tarkoitetulla auditoinnilla seuraavien tunnistuspalveluntarjoajan luotettavuuteen ja tunnistuspalvelusta annettaviin tietoihin liittyvien vaatimusten täyttyminen 1) julkaistut ilmoitukset ja käyttäjätiedot, kuten tunnistusperiaatteet, sopimusehdot ja hinnastot 2) vakiintunut organisaatio 3) valmius ottaa vahinkoriskejä 4) riittävät taloudelliset varat 5) vastuu alihankkijoista 6) suunnitelma toiminnan päättämisen varalta 17 Kansallisen solmupisteen arviointiperusteet Kansallisen solmupisteen tietoturvallisuuden arvioinnin tulee perustua ISO/IEC 27001 -standardiin ja Euroopan komission täytäntöönpanopäätökseen (EU) 2015/1501 5. Luku 5 Tunnistuspalvelun arviointielimen pätevyys 18 Tunnistuspalvelun ulkoisen arviointielimen vaatimukset Tunnistuslain 33 :ssä arviointielimelle säädettyjen riippumattomuus- ja pätevyysvaatimusten täyttymisen voi osoittaa 1) ISO/IEC 27001 -standardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 5 Komission täytäntöönpanopäätös yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti

9 (12) 2) Webtrust -säännöstöön perustuvalla kansainvälisesti tunnetun itsesääntelyjärjestelyn mukaisesti osoitetulla pätevyydellä; 3) PCI DSS - maksukorttistandardiin perustuvalla akkreditoinnilla tai osoittamalla muutoin pätevyys standardin mukaiseen arviointiin; 4) BIS:in (Bank for International Settlements) ohjeen noudattamisella; tai 5) muiden edellisiin rinnastettavien yleiseen tietoturvallisuuden hallintaan taikka sektorikohtaiseen sääntelyyn tai standardointiin liittyvien säännösten, ohjeiden tai standardien edellyttämän pätevyyden osoittamisella tai noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin edellä 1 momentissa tarkoitetut säännökset, ohjeet tai standardit kohdistuvat tunnistusjärjestelmään. 19 Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset Tunnistuslain 33 :ssä sisäiselle tarkastuslaitokselle säädettyjen riippumattomuusvaatimusten täyttymisen voi osoittaa 1) BIS:in (Bank for International Settlements) ohjeen The internal audit function for Banks noudattamisella; 2) Finanssivalvonnan määräys- ja ohjekokoelman sisäistä tarkastusta koskevien ohjeiden noudattamisella; 3) Finanssivalvonnan määräys- ja ohjekokoelman standardin 4.1 Sisäisen valvonnan järjestäminen noudattamisella; 4) muiden ETA-alueen jäsenvaltioiden 2 ja 3 kohtaa vastaavien valvontaviranomaisten antamien ohjeiden tai määräysten noudattamisella; tai 5) muilla edellisiin rinnastettavilla viranomaissääntelyyn tai yleiseen riippumattoman sisäisen tarkastuksen hallintaan liittyvien standardien noudattamisella. Pätevyyden osoittaminen tunnistusjärjestelmän arviointiin edellyttää sitä, että osoitetaan myös, miten ja miltä osin 1 momentissa tarkoitettujen säännösten, ohjeiden tai standardien mukaisesti organisoitu sisäinen tarkastus kohdistuu tunnistusjärjestelmään. Luku 6 Hyväksytyt luottamuspalvelut 20 Hyväksytyn luottamuspalvelun tarjoajan arviointikriteerit Eidas-asetuksessa asetettujen vaatimusten lisäksi hyväksytyn luottamuspalvelun tarjoajan tulee täyttää standardin SFS-EN 319 401 vaatimukset. Varmenteita tarjoavan hyväksytyn luottamuspalvelun tarjoajan tulee momentin 1 vaatimusten lisäksi täyttää standardin SFS-EN 319 411-1 vaatimukset. Sähköisten allekirjoitusten tai leimojen hyväksyttyjä varmenteita tai hyväksyttyjä verkkosivuvarmenteita myöntävän hyväksytyn luottamuspalvelun

10 (12) tarjoajan tulee edellä 1 ja 2 momentissa säädettyjen vaatimusten lisäksi täyttää standardin SFS-EN 319 411-2 vaatimukset. Hyväksyttyjä aikaleimoja myöntävän hyväksytyn luottamuspalvelun tarjoajan tulee edellä momentissa säädettyjen vaatimusten lisäksi täyttää standardin SFS-EN 319 421 vaatimukset. Vaatimusten täyttämisen voi osoittaa edellä 1-4 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus. 21 Hyväksytyn luottamuspalvelun arviointikriteerit Hyväksytyn luottamuspalvelun myöntämien varmenteiden tulee täyttää ei- DAS-asetuksessa sähköisen allekirjoituksen ja leiman varmenteille sekä verkkosivujen varmenteille asetettujen vaatimusten lisäksi standardeissa SFS-EN EN 319 412-1, SFS-EN EN 319 412-2, SFS-EN EN 319 412-3, SFS- EN EN 319 412-4 ja SFS-EN EN 319 412-5 esitetyt vaatimukset soveltuvin osin. Hyväksytyssä aikaleimapalvelussa tulee käyttää standardin ETSI EN 319 422 mukaista protokollaa (yhteyskäytäntö) ja tokenia (suojaustunnus, turvatunniste). Vaatimusten täyttämisen voi osoittaa edellä 1-2 momenteissa mainittujen standardien noudattamisella tai muulla tavalla, jolla saavutetaan vastaava luotettavuus. Luku 7 Luottamuspalvelujen vaatimustenmukaisuuden arviointilaitokset 22 Arviointilaitosten pätevyyden arviointi Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistuslain 33 :n 1 momentin 3 kohdan ja 4 kohdan vaatimusten täyttymisen edellytyksenä on, että arviointilaitos täyttää standardin SFS-EN 319 403 vaatimukset. Luottamuspalveluiden vaatimustenmukaisuuden arviointilaitoksen osalta tunnistuslain 33 :n 1 momentin 2 kohdan vaatimuksen täyttymisen edellytyksenä on riittävä pätevyys 20 :ssa lueteltujen luottamuspalveluiden tarjoajien ja 21 :ssa lueteltujen luottamuspalveluiden arviointikriteerien mukaisten arviointien suorittamiseen.

11 (12) Luku 8 Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi 23 Sähköisen allekirjoituksen tai leiman luontivälineen vaatimukset Käyttäjän hallussa olevan (sirupohjaisen) sähköisen allekirjoituksen tai leiman luontivälineen vaatimuksista säädetään EU:n komission täytäntöönpanopäätöksessä (EU) 2016/650 6. 24 Sertifiointilaitosta koskevat vaatimukset Tunnistuslain 36 ammattitaitoista henkilöstöä koskevan vaatimuksen täyttymisen edellytyksenä on riittävä pätevyys eidas-asetuksessa ja edellä 23 :ssä mainitussa komission täytäntöönpanopäätöksessä asetettujen vaatimusten todentamiseen sertifioitavana olevassa välineessä. Edellä 1 momentissa tarkoitetun pätevyyden voi osoittaa akkreditoinnilla tai muulla selvityksellä. Pätevyyden osoituksena voi olla myös kuuluminen eräiden Euroopan jäsenvaltioissa toimivien sertifiointielinten välisen SOGIS- MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement) sopimuksen piiriin Luku 9 Voimaantulosäännökset 25 Voimaantulo ja siirtymäsäännökset Tämä määräys tulee voimaan x.x.2016 ja on voimassa toistaiseksi. Tällä määräyksellä kumotaan Viestintäviraston määräys 7 B/2009 M tunnistuspalvelun tarjoajien ja yleisölle laatuvarmenteita tarjoavien varmentajien ilmoitusvelvollisuudesta Viestintävirastolle, annettu 27.8.2009, ja määräys 8 C/2010 M tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista, annettu 20.10.2010. Jos tunnistuspalvelun rajapinnoissa käytetään TUPAS-protokollaa, 2 luvun 8 :n 3 momentin vaatimus henkilötietojen sanomakohtaisesta salauksesta ja 9 :n 2 momentin vaatimus henkilötietojen suojaamisesta päätelaitteeseen asti tulee toteuttaa viimeistään 18.9.2018. Tunnistuspalveluntarjoajan on laadittava 12 a :ssä ja 12 b :ssä tarkoitettu selvitys 31.8.2016 mennessä. Määräyksen 3 lukua sovelletaan 1.5.2017 alkaen. 26 Tiedonsaanti ja julkaiseminen Tämä määräys on julkaistu Viestintäviraston määräyskokoelmassa ja se on saatavissa Viestintäviraston asiakaspalvelusta: 6 KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2016/650, annettu 25 päivänä huhtikuuta 2016, hyväksyttyjen allekirjoituksen ja leiman luontivälineiden tietoturva-arviointia koskevien standardien vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 30 artiklan 3 kohdan ja 39 artiklan 2 kohdan mukaisesti

12 (12) Käyntiosoite Postiosoite Itämerenkatu 3 A, Helsinki PL 313, 00181 Helsinki Puhelin 0295 390 100 Faksi 0295 390 270 WWW-sivusto http://www.viestintävirasto.fi/ Y-tunnus 0709019-2 Helsingissä [pv] päivänä [kk]kuuta 20[vv] Nimi tehtävänimike Nimi tehtävänimike

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute