Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Samankaltaiset tiedostot
Tunnistus- ja luottamuspalveluiden arviointikertomukset

Tunnistus- ja luottamuspalveluiden ilmoitukset

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Valtioneuvoston asetus

(ETA:n kannalta merkityksellinen teksti)

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

asuntoluottodirektiivin mukaisista luotonvälittäjiä koskevista notifikaatioista

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Riippumattomat arviointilaitokset

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

ASETUKSET. (ETA:n kannalta merkityksellinen teksti)

LIITE. ETA:n SEKAKOMITEAN PÄÄTÖS N:o /2015, annettu..., ETA-sopimuksen liitteen XX (Ympäristö) muuttamisesta. asiakirjaan

Määräys sähköisistä tunnistus- ja luottamuspalveluista

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

Euroopan unionin neuvosto Bryssel, 19. heinäkuuta 2019 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

Euroopan unionin virallinen lehti. (Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

Määräys sähköisistä tunnistus- ja luottamuspalveluista

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 30. heinäkuuta 2012 (30.07) (OR. en) 12991/12 ENV 654 ENT 191 SAATE

Helsinki 25. maaliskuuta 2009 Asiakirja: MB/12/2008 lopullinen

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Määräys luottolaitosten ulkomailla olevista sivukonttoreista ja palvelujen tarjoamisesta ulkomailla

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16

(ETA:n kannalta merkityksellinen teksti)

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 27. heinäkuuta 2012 (27.07) (OR. en) 12945/12 ENV 645 ENT 185 SAATE

Valtuuskunnille toimitetaan oheisena asiakirja D045714/03.

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

Ehdotus NEUVOSTON DIREKTIIVI

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

Euroopan unionin neuvosto Bryssel, 1. joulukuuta 2014 (OR. en)

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

(ETA:n kannalta merkityksellinen teksti)

TÄRKEÄ OIKEUDELLINEN HUOMAUTUS

Tietosuojaseloste Espoon kaupunki

Julkaistu Helsingissä 12 päivänä tammikuuta /2015 Valtioneuvoston asetus

Paikkatiedon luovuttamisen pelisäännöt

EU-vaatimustenmukaisuusvakuutus, CE-merkintä ja siirtymäaika

Varustekorttirekisteri - Tietosuojaseloste

Rekisterinpitäjä Kotkan kaupunki, Hyvinvointipalvelut, Hyvinvointilautakunta. Varhaiskasvatusjohtaja Raili Liukkonen

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

Euroopan unionin neuvosto Bryssel, 16. tammikuuta 2018 (OR. en)

LIITE. asiakirjaan. Ehdotus neuvoston päätökseksi

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

Tietosuojaseloste / Tapahtumatukiselvitys

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 15. marraskuuta 2012 (15.11) (OR. en) 16273/12 TRANS 397 SAATE

EV 6/2011 vp HE 6/2011 vp. (ETY) N:o 339/93 kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 765/2008.

Euroopan unionin neuvosto Bryssel, 25. huhtikuuta 2017 (OR. en)

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2016/1083, annettu 5 päivänä heinäkuuta 2016, amiinit, N-C 10-16

LIITE. asiakirjaan. Ehdotus neuvoston päätökseksi

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos: KOMISSION ASETUS (EY) N:o /2009, annettu [ ] päivänä [ ] kuuta [ ],

Määräykset ja ohjeet 26/2013

Tietosuojaseloste Espoon kaupunki

Euroopan unionin neuvosto Bryssel, 21. helmikuuta 2017 (OR. en)

KOMISSION DIREKTIIVI (EU) /, annettu ,

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 6. syyskuuta 2010 (06.09) (OR. en) 12962/10 DENLEG 78 SAATE

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

(ETA:n kannalta merkityksellinen teksti)

LIITE. asiakirjaan. Komission delegoitu asetus

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 4. joulukuuta 2001 (OR. fr) 12394/2/01 REV 2 ADD 1. Toimielinten välinen asia: 2000/0080 (COD) DENLEG 46 CODEC 960

Tietosuojaseloste KasvaNet -oppimisympäristö

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

(6) Tässä asetuksessa säädetyt toimenpiteet ovat Euroopan meri- ja kalatalousrahaston komitean lausunnon mukaiset,

Määräys RADIOLAITTEIDEN VAATIMUSTENMUKAISUUDEN VARMISTAMISES- TA JA MERKITSEMISESTÄ. Annettu Helsingissä 3 päivänä heinäkuuta 2003

Euroopan unionin neuvosto Bryssel, 22. helmikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Määräykset ja ohjeet 26/2013

Tietosuojaseloste / Arska-myyntipalvelun aineistopyynnöt

6355/17 team/pmm/hmu 1 DG D 1 A

Tietosuojaseloste Espoon kaupunki

(ETA:n kannalta merkityksellinen teksti)

Maa- ja metsätalousministeriön asetus elävien eläinten eläinlääkinnällisestä rajatarkastuksesta

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

KOMISSION ASETUS (EU) /, annettu ,

Transkriptio:

Ohje Tunnistus- ja luottamuspalveluiden arviointikertomukset n ohje

Ohje 1 (14) Sisältö 1 Johdanto... 2 1.1 Ohjeen tarkoitus... 2 1.2 Ohjeen voimaantulo... 2 2 Tunnistuspalvelun tarkastuskertomus... 3 2.1 Tarkastuskertomuksen toimittaminen... 3 2.2 Tarkastuskertomuksen sisältö... 4 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot... 4 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 6 2.2.3 Tarkastuksen tulosten todentaminen... 8 2.2.4 Poikkeamien raportointi... 8 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus... 8 3.1 Arviointikertomuksen toimittaminen... 8 3.2 Arviointikertomuksen sisältö... 10 3.2.1 Arviointikertomuksesta ilmenevät perustiedot... 10 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 12 3.2.3 Poikkeamien raportointi... 14

Ohje 2 (14) 1 Johdanto 1.1 Ohjeen tarkoitus 1.2 Ohjeen voimaantulo Tämä ohje koskee sähköisen tunnistuspalvelun vaatimustenmukaisuuden arvioinnin lopputuloksena annettavan tarkastuskertomuksen sisältöä sekä hyväksytyn luottamuspalvelun vaatimuksenmukaisuuden vahvistamisen lopputuloksena annettavaa arviointikertomusta. Ohje on tarkoitettu tunnistuspalveluiden vaatimuksenmukaisuuden arviointia tekeville arviointielimille ja vaatimustenmukaisuuden arviointilaitoksille, jotka tarkastavat hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden. Ohjeen tarkoituksena on kuvata arvioinnin lopputuloksena annettavien kertomusten vähimmäissisältöä ja esittämistapaa. lle toimitettavista ilmoituksista on julkaistu erillinen ohje (214/2016 O). Tunnistuspalvelujen auditointikriteeristöä koskee n ohje (211/2016 O). n tehtävänä on valvoa tunnistus- ja luottamuspalvelulain (617/2009) 42 :n nojalla lain ja EU:n eidas-asetuksen 1 noudattamista. Tämä ohje on annettu lain 42 :n yleisen valtuuden nojalla. Ohje tulee voimaan. Ohje on voimassa toistaiseksi ja sitä täydennetään ja muutetaan tarvittaessa. Tällöin ohjeen numero 215 säilyy, mutta päivämäärä vaihtuu ja vuosiluku vaihtuu tarvittaessa. Ohjeen muutetut versiot listataan seuraavaan taulukkoon Ohjeen versio ja päivämäärä Tehdyt muutokset Versio 1.0 Ohje julkaistu 1 Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta.

Ohje 3 (14) Voimassa oleva ohje julkaistaan n verkkosivulla https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkais ut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat.html 2 Tunnistuspalvelun tarkastuskertomus 2.1 Tarkastuskertomuksen toimittaminen SÄÄNNÖKSET 31 Tarkastuskertomus Tunnistuspalveluntarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan lle. Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta. Tunnistuspalvelua koskeva tarkastuskertomus toimitetaan lle: 1. kun uusi tunnistuspalveluntarjoaja tekee lle ilmoituksen toiminnan aloittamisesta; tai 2. siirtymävaiheessa viimeistään 31.1.2017, jos ennen 1.7.2016 ilmoituksen tehneet tunnistuspalveluntarjoajat haluavat jatkaa vahvan sähköisen tunnistuspalvelun tarjoajina. Tarkastuskertomus toimitetaan aloitusilmoituksen liitteenä, kun uusi tunnistuspalveluntarjoaja ilmoittaa lle toiminnan aloittamisesta. Tarkastuskertomus toimitetaan siirtymävaiheessa eli edellä mainitun kohdan 2. tarkoittamassa tilanteessa muutosilmoituksen liitteenä. Aloitus- ja muutosilmoitusten vähimmäissisältö on kuvattu n ohjeessa 214/2016 O. Tunnistuspalvelun tarkastuskertomus on voimassa käytetyn standardin määrittelemän ajan, mutta kuitenkin enintään kaksi vuotta. Tarkastuskertomuksen voimassaoloaika eli enintään kaksi vuotta lasketaan päivämäärästä, jolloin on hyväksynyt tarkastuskertomuksen. Tunnistuspalveluntarjoajan on toimitettava lle uusi tarkastuskertomus viimeistään kahden vuoden kuluttua edellisen tarkastuskertomuksen hyväksymisestä, mikäli se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista. Uusi tarkastuskertomus toimitetaan lle

Ohje 4 (14) 2.2 Tarkastuskertomuksen sisältö tunnistuspalvelua koskevan muutosilmoituksen liitteenä siten kuin n ohjeessa 214/2016 O on määritelty. Tarkastuskertomus voi perustua kokonaan tai osittain standardeihin, joiden määrittelemä arviointiväli on vähemmän kuin kaksi vuotta. Tunnistuspalveluntarjoajan vastuulla on huolehtia siitä, että arvioinnit tehdään tällaisissa tapauksissa standardin määrittelemin määräajoin. Tunnistuspalveluntarjoajan on toimitettava lle vapaamuotoinen ilmoitus siitä, että jokin tarkastuskertomuksen osa-alue on arvioitu uudelleen ja on voimassa. Tämän ohjeen mukainen tarkastuskertomus on toimitettava viimeistään kahden vuoden kuluttua edellisen tarkastuskertomuksen hyväksymisestä. Tarkastuskertomuksen täytyy perustua tunnistus- ja luottamuspalvelulain 4 luvun mukaisen arviointielimen tekemään arviointiin. Tunnistuspalvelun arvioija voi olla korotetulla tasolla ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Korkealla tasolla arviointielimen on oltava ulkoinen arviointilaitos. 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot Tunnistuspalvelun tarkastuskertomuksesta täytyy käydä ilmi vähintään seuraavat koskevat perustiedot. Arviointielintä koskevat perustiedot 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta tunnistuspalvelusta 5. Arvioitavan tunnistuspalvelun nimi/nimet. Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta

Ohje 5 (14) 6. Kuvaus siitä, minkä osan tunnistusjärjestelmästä arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin; 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Tarkastuksen tulee kohdistua siihen osaan tunnistuspalveluntarjoajan järjestelmää, jossa tunnistuspalvelua tuotetaan. Tunnistuspalveluntarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta arviointielimeltä siten, että kukin arvioi osaa tunnistusjärjestelmästä. On tärkeää, että tarkastuskertomuksesta ilmenee yksiselitteisesti, kattaako arviointielimen laatima tarkastuskertomus vain osan tunnistusjärjestelmästä vai sen kokonaan. Arviointielimen on kuvattava selkeästi, mitkä osat tunnistusjärjestelmästä sen suorittama arviointi kattaa. Samoin tarkastuskertomuksesta tulee käydä ilmi se, että tunnistuspalveluntarjoajan järjestelmistä on tarkastettu ne kaikki osat, joissa tunnistuspalvelua tuotetaan. Tarkastuskertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan tarkastuskertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 2.2.2. mainitun osa-alueen arviointiin on käytetty. Tarkastuskertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Tarkastuskertomuksen on liitettävä vähintään dokumentaatio, josta käy ilmi: Tunnistusmenetelmän kuvaus (väline), erityisesti kuvaus todentamisesta Tunnistusjärjestelmän kuvaus (järjestelmäarkkitehtuuri) Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja

Ohje 6 (14) velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. Arvioinnin yhteydessä laadittava dokumentaatio on säilytettävä vähintään tarkastuskertomuksen voimassaolon ajan. Lisäksi on otettava huomioon se, että sovellettavat menetelmät saattavat myös asettaa edellytyksiä dokumentaation säilyttämiselle ja säilytysajalle. 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Tunnistuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu sähköinen tunnistuspalvelu täyttää tunnistus- ja luottamuspalvelulaissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset sekä n määräyksessä 72 15 :ssä määritellyt vaatimuksenmukaisuuden arviointiperusteet. EU:lle notifioitavan sähköisen tunnistamisen järjestelmän vaatimusten mukaisuuden arvioinnista säädetään eidas-asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa (LoA) 2. on laatinut auditointikriteerit 3, joissa on kuvattu yksi mahdollinen tapa osoittaa tunnistuspalvelulle asetettujen vaatimusten täyttäminen. n laatiman auditointikriteeristön käyttäminen ei ole pakollista. Arviointielin voi käyttää muutakin vastaava kriteristöä tai menetelmää, kunhan arviointielin kykenee näyttämään tarkastuskertomuksessa, että käytetyllä menetelmällä voidaan osoittaa tässä luvussa mainittujen vaatimusten täyttäminen. Tarkastuskertomukseen ei tarvitse sisällyttää yksityiskohtaista selvitystä jokaisen n laatimassa auditointikriteeristössä tai muussa käytetyssä menetelmässä kuvatun vaatimuksen täyttämisestä. Tarkastuskertomuksesta tulee käydä ilmi seuraavat tunnistuspalvelulle asetettujen vaatimusten täyttämistä koskevat, Määräyksen 72 15 :ssä määrätyt tiedot sekä millä menetelmällä ko. vaatimusten täyttämistä on arvioitu. 2 Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti) 3 n ohje 211/2016 O, Tunnistuspalveluntarjoajan auditoinnin mallikriteeristö.

Ohje 7 (14) Tunnistuspalvelun tarjoamiseen vaikuttavat toiminnot (tunnistusjärjestelmä) 1. tietoturvallisuuden hallintaa koskevat vaatimukset (lain 8.1 5-kohta ja 13 ja M72 4 ja 5, LoA 2.4.3); 2. tietojen säilyttämistä koskevat vaatimukset (lain 13, 24 ja M72 7.4, LoA 2.4.4); 3. tiloja ja henkilökuntaa koskevat vaatimukset (lain 8.1 4-kohta, 13, LoA 2.4.5); ja 4. teknisiä toimenpiteitä koskevat vaatimukset (lain 8.1 4-5-kohdat, M72 5, LoA 2.4.6). Tunnistusmenetelmä eli tunnistusväline 5. hakemiseen ja rekisteröintiin liittyvät vaatimukset (lain 6, 20 ja 24, LoA 2.1.1. Luonnollisen henkilön tunnistusvälineet lisäksi lain 7, 17 ja oikeushenkilön tunnistusvälineet lisäksi lain 7 a, 17 a ) 6. hakijan henkilöllisyyden todistamiseen ja varmentamiseen liittyvät vaatimukset (lain 8.1 2-kohta ja 24 ja LoA 2.1.2 2.1.4. Lisäksi luonnollisen henkilön tunnistusvälineet lain 7, 17 ja oikeushenkilön tunnistusvälineet lain 7 a ja 17 a,) 7. tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen liittyvät vaatimukset (lain 8.1 3-4 kohdat, LoA 2.2.1) 8. myöntämiseen, toimittamiseen ja aktivointiin liittyvät vaatimukset (lain 21, LoA 2.2.2) 9. voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin liittyvät vaatimukset (lain 25.3, LoA 2.2.3) 10.uusimiseen ja korvaamiseen liittyvät vaatimukset (lain 22, LoA 2.2.4) 11.todentamismekanismeihin liittyvät vaatimukset (lain 8.1 4-kohta, 8 a 2.mom, M 72 7-9 ja LoA 2.3.1) Tarkastuskertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Tarkastuskertomuksessa täytyy listata, mitä palveluntarjoajan

Ohje 8 (14) dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa ja mitä menetelmiä on käytetty. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. 2.2.3 Tarkastuksen tulosten todentaminen 2.2.4 Poikkeamien raportointi kiinnittää erityistä huomiota arvioinnissa käytettyihin menetelmiin ja niiden kuvaamiseen. Arvioinnissa käytettävien lähteiden määrälle ei aseteta ehdotonta vaatimusta. Kaikkien osa-alueiden arviointia ainoastaan kirjallisen dokumentaation pohjalta ei kuitenkaan voida pitää riittävänä. Tunnistuspalveluntarjoaja harkitsee itse, mistä lähteistä arviointi teetetään ja mitä osa-alueita verifioidaan useista lähteistä. Tarkastuskertomuksessa on kuvattava, mitä menetelmiä kunkin luvun 2.2.2 osa-alueen arvioinnissa on käytetty. Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen tarkastuskertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi tarkastuskertomuksesta. Tällöin tarkastuskertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. ei laadi poikkeamien vakavuusasteikkoa, vaan niiden arviointi jää tunnistuspalveluntarjoajan ja arvioijan välisen harkinnan varaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat. 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus 3.1 Arviointikertomuksen toimittaminen SÄÄNNÖKSET eidas-asetus 20 artikla Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

Ohje 9 (14) 1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta. 2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille. [ ] eidas-asetus 21 artikla Hyväksytyn luottamuspalvelun aloittaminen 1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa. 2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset. Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta. Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen. 3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin. [ ] Tunnistus- ja luottamuspalvelulaki 32

Ohje 10 (14) 3.2 Arviointikertomuksen sisältö Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. n oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 :ssä. voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä eidasasetuksessa säädetään. eidas-asetuksessa käsitellään nimenomaisesti ainoastaan säännöllistä vaatimustenmukaisuuden arviointia ja arviointikertomuksen toimittamista valvovalle viranomaiselle. Arviointikertomus on toimitettava lle: 1. ennen toiminnan aloittamista, jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja; ja 2. Vähintään 24 kuukauden välein sen jälkeen, kun luottamuspalvelun tarjoaja on toimittanut toiminnan aloittamisen yhteydessä annettavan arviointikertomuksen lle. Jos ilmoitettu palvelu täyttää hyväksytylle luottamuspalvelulle asetetut vaatimukset, n on kolmen kuukauden kuluessa arviointikertomuksen vastaanottamisesta myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava palvelut luotettuun luetteloon. Lisäksi tarkastuskertomus vaaditaan vähintään 24 kuukauden välein luottamuspalvelua koskevan aloitusilmoituksen antamisen jälkeen. Hyväksyttyjä luottamuspalveluja koskevia ilmoituksia on kuvattu tarkemmin n ohjeessa 214/2016 O. 3.2.1 Arviointikertomuksesta ilmenevät perustiedot Hyväksytyn luottamuspalvelun arviointikertomuksesta tulee käydä ilmi vähintään seuraavat perustiedot. Vaatimuksenmukaisuuden arviointilaitosta koskevat perustiedot

Ohje 11 (14) 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta luottamuspalvelusta 5. Arvioitavan hyväksytyn luottamuspalvelun tai hyväksytyn luottamuspalvelun aseman vahvistamista hakevan palvelun nimi/nimet sekä palvelutyypit ilmoitusohjeen 214/2016 O luvun 4.1.1. alakohdan 4 mukaisesti eli: a. hyväksytty sähköisen allekirjoituksen varmenne (eidas-asetus 28 artikla); b. hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 33 artikla); c. hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 34 artikla); d. hyväksytty sähköisen leiman varmenne (eidasasetus 38 artikla); e. hyväksytty sähköinen aikaleima (eidas-asetus 42 artikla); f. hyväksytty sähköinen rekisteröity jakelupalvelu (eidas-asetus 44 artikla); tai g. verkkosivujen todentamisen hyväksytty varmenne (eidas-asetus 45 artikla). Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta 6. Kuvaus siitä, minkä osan luottamuspalvelusta arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin;

Ohje 12 (14) 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Arviointikertomuksessa on kuvattava, minkä/mitä hyväksyttyjä luottamuspalveluja arviointi kattaa sekä kattaako arvio palvelun kokonaan vai osan siitä. Hyväksytyn luottamuspalvelun tarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta vaatimuksenmukaisuuden arviointilaitokselta. On tärkeää, että arviointikertomuksesta ilmenee yksiselitteisesti, kattaako vaatimuksenmukaisuuden arviointilaitoksen laatima arviointikertomus vain osan luvun 3.2.2 vaatimuksista vai kaikki ko. vaatimukset. Arviointikertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan arviointikertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 3.2.2. mainitun osa-alueen arviointiin on käytetty. Arviointikertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Luottamuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu hyväksytty luottamuspalvelu täyttää eidas-asetuksessa säädetyt vaatimukset. Arviointikertomuksesta tulee käydä ilmi, että hyväksytty luottamuspalvelu täyttää seuraavat vaatimukset: Palveluntarjoajaa koskevat erityisvaatimukset 1. Tietojen käsittelyä ja suojaamista koskevat vaatimukset (eidas-asetus 5 art);

Ohje 13 (14) 2. Vastuuta ja todistustaakkaa koskevat säännökset (eidas-asetus 13 art, kohdat 1-2 ja tunnistus- ja luottamuspalvelulaki 41 ); 3. Esteettömyyttä vammaisten näkökulmasta koskevat vaatimukset (eidas-asetus 15 art); 4. Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset (eidas-asetus 19 art, kohta 1); ja 5. Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset (eidas-asetus art 24, kohta 2, pl. 2 k). Hyväksyttyä luottamuspalvelua koskevat erityisvaatimukset 6. Määräys 72, 20 21 :n mukaiset luottamuspalvelun yleiset arviointikriteerit; 7. Hyväksyttyä varmennetta koskevat vaatimukset (eidasasetus 24 art, alakohdat 1 a-d, 2 k ja 3-4); 8. Sähköisten allekirjoitusten hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 28 art, kohta 1); 9. Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyjä validointipalveluja koskevat vaatimukset (eidas-asetus 33 art); 10.Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä säilyttämispalvelua koskevat vaatimukset (eidas-asetus 34 art); 11. Sähköisten leimojen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 38 art); 12.Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset (eidas-asetus 42 art); 13.Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset (eidas-asetus 44 art); ja 14.Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 45 art). Arviointikertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Arviointikertomuksessa täytyy listata, mitä palveluntarjoajan

Ohje 14 (14) 3.2.3 Poikkeamien raportointi dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen arviointikertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi arviointikertomuksesta. Tällöin arviointikertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. ei laadi poikkeamien vakavuusasteikkoa, vaan niiden arviointi jää tunnistuspalveluntarjoajan ja arvioijan välisen harkinnan varaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute