Ohje Tunnistus- ja luottamuspalveluiden arviointikertomukset n ohje
Ohje 1 (14) Sisältö 1 Johdanto... 2 1.1 Ohjeen tarkoitus... 2 1.2 Ohjeen voimaantulo... 2 2 Tunnistuspalvelun tarkastuskertomus... 3 2.1 Tarkastuskertomuksen toimittaminen... 3 2.2 Tarkastuskertomuksen sisältö... 4 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot... 4 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 6 2.2.3 Tarkastuksen tulosten todentaminen... 8 2.2.4 Poikkeamien raportointi... 8 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus... 8 3.1 Arviointikertomuksen toimittaminen... 8 3.2 Arviointikertomuksen sisältö... 10 3.2.1 Arviointikertomuksesta ilmenevät perustiedot... 10 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 12 3.2.3 Poikkeamien raportointi... 14
Ohje 2 (14) 1 Johdanto 1.1 Ohjeen tarkoitus 1.2 Ohjeen voimaantulo Tämä ohje koskee sähköisen tunnistuspalvelun vaatimustenmukaisuuden arvioinnin lopputuloksena annettavan tarkastuskertomuksen sisältöä sekä hyväksytyn luottamuspalvelun vaatimuksenmukaisuuden vahvistamisen lopputuloksena annettavaa arviointikertomusta. Ohje on tarkoitettu tunnistuspalveluiden vaatimuksenmukaisuuden arviointia tekeville arviointielimille ja vaatimustenmukaisuuden arviointilaitoksille, jotka tarkastavat hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden. Ohjeen tarkoituksena on kuvata arvioinnin lopputuloksena annettavien kertomusten vähimmäissisältöä ja esittämistapaa. lle toimitettavista ilmoituksista on julkaistu erillinen ohje (214/2016 O). Tunnistuspalvelujen auditointikriteeristöä koskee n ohje (211/2016 O). n tehtävänä on valvoa tunnistus- ja luottamuspalvelulain (617/2009) 42 :n nojalla lain ja EU:n eidas-asetuksen 1 noudattamista. Tämä ohje on annettu lain 42 :n yleisen valtuuden nojalla. Ohje tulee voimaan. Ohje on voimassa toistaiseksi ja sitä täydennetään ja muutetaan tarvittaessa. Tällöin ohjeen numero 215 säilyy, mutta päivämäärä vaihtuu ja vuosiluku vaihtuu tarvittaessa. Ohjeen muutetut versiot listataan seuraavaan taulukkoon Ohjeen versio ja päivämäärä Tehdyt muutokset Versio 1.0 Ohje julkaistu 1 Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta.
Ohje 3 (14) Voimassa oleva ohje julkaistaan n verkkosivulla https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkais ut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat.html 2 Tunnistuspalvelun tarkastuskertomus 2.1 Tarkastuskertomuksen toimittaminen SÄÄNNÖKSET 31 Tarkastuskertomus Tunnistuspalveluntarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan lle. Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta. Tunnistuspalvelua koskeva tarkastuskertomus toimitetaan lle: 1. kun uusi tunnistuspalveluntarjoaja tekee lle ilmoituksen toiminnan aloittamisesta; tai 2. siirtymävaiheessa viimeistään 31.1.2017, jos ennen 1.7.2016 ilmoituksen tehneet tunnistuspalveluntarjoajat haluavat jatkaa vahvan sähköisen tunnistuspalvelun tarjoajina. Tarkastuskertomus toimitetaan aloitusilmoituksen liitteenä, kun uusi tunnistuspalveluntarjoaja ilmoittaa lle toiminnan aloittamisesta. Tarkastuskertomus toimitetaan siirtymävaiheessa eli edellä mainitun kohdan 2. tarkoittamassa tilanteessa muutosilmoituksen liitteenä. Aloitus- ja muutosilmoitusten vähimmäissisältö on kuvattu n ohjeessa 214/2016 O. Tunnistuspalvelun tarkastuskertomus on voimassa käytetyn standardin määrittelemän ajan, mutta kuitenkin enintään kaksi vuotta. Tarkastuskertomuksen voimassaoloaika eli enintään kaksi vuotta lasketaan päivämäärästä, jolloin on hyväksynyt tarkastuskertomuksen. Tunnistuspalveluntarjoajan on toimitettava lle uusi tarkastuskertomus viimeistään kahden vuoden kuluttua edellisen tarkastuskertomuksen hyväksymisestä, mikäli se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista. Uusi tarkastuskertomus toimitetaan lle
Ohje 4 (14) 2.2 Tarkastuskertomuksen sisältö tunnistuspalvelua koskevan muutosilmoituksen liitteenä siten kuin n ohjeessa 214/2016 O on määritelty. Tarkastuskertomus voi perustua kokonaan tai osittain standardeihin, joiden määrittelemä arviointiväli on vähemmän kuin kaksi vuotta. Tunnistuspalveluntarjoajan vastuulla on huolehtia siitä, että arvioinnit tehdään tällaisissa tapauksissa standardin määrittelemin määräajoin. Tunnistuspalveluntarjoajan on toimitettava lle vapaamuotoinen ilmoitus siitä, että jokin tarkastuskertomuksen osa-alue on arvioitu uudelleen ja on voimassa. Tämän ohjeen mukainen tarkastuskertomus on toimitettava viimeistään kahden vuoden kuluttua edellisen tarkastuskertomuksen hyväksymisestä. Tarkastuskertomuksen täytyy perustua tunnistus- ja luottamuspalvelulain 4 luvun mukaisen arviointielimen tekemään arviointiin. Tunnistuspalvelun arvioija voi olla korotetulla tasolla ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Korkealla tasolla arviointielimen on oltava ulkoinen arviointilaitos. 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot Tunnistuspalvelun tarkastuskertomuksesta täytyy käydä ilmi vähintään seuraavat koskevat perustiedot. Arviointielintä koskevat perustiedot 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta tunnistuspalvelusta 5. Arvioitavan tunnistuspalvelun nimi/nimet. Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta
Ohje 5 (14) 6. Kuvaus siitä, minkä osan tunnistusjärjestelmästä arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin; 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Tarkastuksen tulee kohdistua siihen osaan tunnistuspalveluntarjoajan järjestelmää, jossa tunnistuspalvelua tuotetaan. Tunnistuspalveluntarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta arviointielimeltä siten, että kukin arvioi osaa tunnistusjärjestelmästä. On tärkeää, että tarkastuskertomuksesta ilmenee yksiselitteisesti, kattaako arviointielimen laatima tarkastuskertomus vain osan tunnistusjärjestelmästä vai sen kokonaan. Arviointielimen on kuvattava selkeästi, mitkä osat tunnistusjärjestelmästä sen suorittama arviointi kattaa. Samoin tarkastuskertomuksesta tulee käydä ilmi se, että tunnistuspalveluntarjoajan järjestelmistä on tarkastettu ne kaikki osat, joissa tunnistuspalvelua tuotetaan. Tarkastuskertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan tarkastuskertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 2.2.2. mainitun osa-alueen arviointiin on käytetty. Tarkastuskertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Tarkastuskertomuksen on liitettävä vähintään dokumentaatio, josta käy ilmi: Tunnistusmenetelmän kuvaus (väline), erityisesti kuvaus todentamisesta Tunnistusjärjestelmän kuvaus (järjestelmäarkkitehtuuri) Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja
Ohje 6 (14) velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. Arvioinnin yhteydessä laadittava dokumentaatio on säilytettävä vähintään tarkastuskertomuksen voimassaolon ajan. Lisäksi on otettava huomioon se, että sovellettavat menetelmät saattavat myös asettaa edellytyksiä dokumentaation säilyttämiselle ja säilytysajalle. 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Tunnistuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu sähköinen tunnistuspalvelu täyttää tunnistus- ja luottamuspalvelulaissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset sekä n määräyksessä 72 15 :ssä määritellyt vaatimuksenmukaisuuden arviointiperusteet. EU:lle notifioitavan sähköisen tunnistamisen järjestelmän vaatimusten mukaisuuden arvioinnista säädetään eidas-asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa (LoA) 2. on laatinut auditointikriteerit 3, joissa on kuvattu yksi mahdollinen tapa osoittaa tunnistuspalvelulle asetettujen vaatimusten täyttäminen. n laatiman auditointikriteeristön käyttäminen ei ole pakollista. Arviointielin voi käyttää muutakin vastaava kriteristöä tai menetelmää, kunhan arviointielin kykenee näyttämään tarkastuskertomuksessa, että käytetyllä menetelmällä voidaan osoittaa tässä luvussa mainittujen vaatimusten täyttäminen. Tarkastuskertomukseen ei tarvitse sisällyttää yksityiskohtaista selvitystä jokaisen n laatimassa auditointikriteeristössä tai muussa käytetyssä menetelmässä kuvatun vaatimuksen täyttämisestä. Tarkastuskertomuksesta tulee käydä ilmi seuraavat tunnistuspalvelulle asetettujen vaatimusten täyttämistä koskevat, Määräyksen 72 15 :ssä määrätyt tiedot sekä millä menetelmällä ko. vaatimusten täyttämistä on arvioitu. 2 Komission täytäntöönpanoasetus (EU) 2015/1502, annettu 8 päivänä syyskuuta 2015, teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti (ETA:n kannalta merkityksellinen teksti) 3 n ohje 211/2016 O, Tunnistuspalveluntarjoajan auditoinnin mallikriteeristö.
Ohje 7 (14) Tunnistuspalvelun tarjoamiseen vaikuttavat toiminnot (tunnistusjärjestelmä) 1. tietoturvallisuuden hallintaa koskevat vaatimukset (lain 8.1 5-kohta ja 13 ja M72 4 ja 5, LoA 2.4.3); 2. tietojen säilyttämistä koskevat vaatimukset (lain 13, 24 ja M72 7.4, LoA 2.4.4); 3. tiloja ja henkilökuntaa koskevat vaatimukset (lain 8.1 4-kohta, 13, LoA 2.4.5); ja 4. teknisiä toimenpiteitä koskevat vaatimukset (lain 8.1 4-5-kohdat, M72 5, LoA 2.4.6). Tunnistusmenetelmä eli tunnistusväline 5. hakemiseen ja rekisteröintiin liittyvät vaatimukset (lain 6, 20 ja 24, LoA 2.1.1. Luonnollisen henkilön tunnistusvälineet lisäksi lain 7, 17 ja oikeushenkilön tunnistusvälineet lisäksi lain 7 a, 17 a ) 6. hakijan henkilöllisyyden todistamiseen ja varmentamiseen liittyvät vaatimukset (lain 8.1 2-kohta ja 24 ja LoA 2.1.2 2.1.4. Lisäksi luonnollisen henkilön tunnistusvälineet lain 7, 17 ja oikeushenkilön tunnistusvälineet lain 7 a ja 17 a,) 7. tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen liittyvät vaatimukset (lain 8.1 3-4 kohdat, LoA 2.2.1) 8. myöntämiseen, toimittamiseen ja aktivointiin liittyvät vaatimukset (lain 21, LoA 2.2.2) 9. voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin liittyvät vaatimukset (lain 25.3, LoA 2.2.3) 10.uusimiseen ja korvaamiseen liittyvät vaatimukset (lain 22, LoA 2.2.4) 11.todentamismekanismeihin liittyvät vaatimukset (lain 8.1 4-kohta, 8 a 2.mom, M 72 7-9 ja LoA 2.3.1) Tarkastuskertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Tarkastuskertomuksessa täytyy listata, mitä palveluntarjoajan
Ohje 8 (14) dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa ja mitä menetelmiä on käytetty. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. 2.2.3 Tarkastuksen tulosten todentaminen 2.2.4 Poikkeamien raportointi kiinnittää erityistä huomiota arvioinnissa käytettyihin menetelmiin ja niiden kuvaamiseen. Arvioinnissa käytettävien lähteiden määrälle ei aseteta ehdotonta vaatimusta. Kaikkien osa-alueiden arviointia ainoastaan kirjallisen dokumentaation pohjalta ei kuitenkaan voida pitää riittävänä. Tunnistuspalveluntarjoaja harkitsee itse, mistä lähteistä arviointi teetetään ja mitä osa-alueita verifioidaan useista lähteistä. Tarkastuskertomuksessa on kuvattava, mitä menetelmiä kunkin luvun 2.2.2 osa-alueen arvioinnissa on käytetty. Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen tarkastuskertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi tarkastuskertomuksesta. Tällöin tarkastuskertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. ei laadi poikkeamien vakavuusasteikkoa, vaan niiden arviointi jää tunnistuspalveluntarjoajan ja arvioijan välisen harkinnan varaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat. 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus 3.1 Arviointikertomuksen toimittaminen SÄÄNNÖKSET eidas-asetus 20 artikla Hyväksyttyjen luottamuspalvelun tarjoajien valvonta
Ohje 9 (14) 1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta. 2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille. [ ] eidas-asetus 21 artikla Hyväksytyn luottamuspalvelun aloittaminen 1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa. 2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset. Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta. Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen. 3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin. [ ] Tunnistus- ja luottamuspalvelulaki 32
Ohje 10 (14) 3.2 Arviointikertomuksen sisältö Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. n oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 :ssä. voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä eidasasetuksessa säädetään. eidas-asetuksessa käsitellään nimenomaisesti ainoastaan säännöllistä vaatimustenmukaisuuden arviointia ja arviointikertomuksen toimittamista valvovalle viranomaiselle. Arviointikertomus on toimitettava lle: 1. ennen toiminnan aloittamista, jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja; ja 2. Vähintään 24 kuukauden välein sen jälkeen, kun luottamuspalvelun tarjoaja on toimittanut toiminnan aloittamisen yhteydessä annettavan arviointikertomuksen lle. Jos ilmoitettu palvelu täyttää hyväksytylle luottamuspalvelulle asetetut vaatimukset, n on kolmen kuukauden kuluessa arviointikertomuksen vastaanottamisesta myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava palvelut luotettuun luetteloon. Lisäksi tarkastuskertomus vaaditaan vähintään 24 kuukauden välein luottamuspalvelua koskevan aloitusilmoituksen antamisen jälkeen. Hyväksyttyjä luottamuspalveluja koskevia ilmoituksia on kuvattu tarkemmin n ohjeessa 214/2016 O. 3.2.1 Arviointikertomuksesta ilmenevät perustiedot Hyväksytyn luottamuspalvelun arviointikertomuksesta tulee käydä ilmi vähintään seuraavat perustiedot. Vaatimuksenmukaisuuden arviointilaitosta koskevat perustiedot
Ohje 11 (14) 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta luottamuspalvelusta 5. Arvioitavan hyväksytyn luottamuspalvelun tai hyväksytyn luottamuspalvelun aseman vahvistamista hakevan palvelun nimi/nimet sekä palvelutyypit ilmoitusohjeen 214/2016 O luvun 4.1.1. alakohdan 4 mukaisesti eli: a. hyväksytty sähköisen allekirjoituksen varmenne (eidas-asetus 28 artikla); b. hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 33 artikla); c. hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 34 artikla); d. hyväksytty sähköisen leiman varmenne (eidasasetus 38 artikla); e. hyväksytty sähköinen aikaleima (eidas-asetus 42 artikla); f. hyväksytty sähköinen rekisteröity jakelupalvelu (eidas-asetus 44 artikla); tai g. verkkosivujen todentamisen hyväksytty varmenne (eidas-asetus 45 artikla). Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta 6. Kuvaus siitä, minkä osan luottamuspalvelusta arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin;
Ohje 12 (14) 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Arviointikertomuksessa on kuvattava, minkä/mitä hyväksyttyjä luottamuspalveluja arviointi kattaa sekä kattaako arvio palvelun kokonaan vai osan siitä. Hyväksytyn luottamuspalvelun tarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta vaatimuksenmukaisuuden arviointilaitokselta. On tärkeää, että arviointikertomuksesta ilmenee yksiselitteisesti, kattaako vaatimuksenmukaisuuden arviointilaitoksen laatima arviointikertomus vain osan luvun 3.2.2 vaatimuksista vai kaikki ko. vaatimukset. Arviointikertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan arviointikertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 3.2.2. mainitun osa-alueen arviointiin on käytetty. Arviointikertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Luottamuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu hyväksytty luottamuspalvelu täyttää eidas-asetuksessa säädetyt vaatimukset. Arviointikertomuksesta tulee käydä ilmi, että hyväksytty luottamuspalvelu täyttää seuraavat vaatimukset: Palveluntarjoajaa koskevat erityisvaatimukset 1. Tietojen käsittelyä ja suojaamista koskevat vaatimukset (eidas-asetus 5 art);
Ohje 13 (14) 2. Vastuuta ja todistustaakkaa koskevat säännökset (eidas-asetus 13 art, kohdat 1-2 ja tunnistus- ja luottamuspalvelulaki 41 ); 3. Esteettömyyttä vammaisten näkökulmasta koskevat vaatimukset (eidas-asetus 15 art); 4. Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset (eidas-asetus 19 art, kohta 1); ja 5. Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset (eidas-asetus art 24, kohta 2, pl. 2 k). Hyväksyttyä luottamuspalvelua koskevat erityisvaatimukset 6. Määräys 72, 20 21 :n mukaiset luottamuspalvelun yleiset arviointikriteerit; 7. Hyväksyttyä varmennetta koskevat vaatimukset (eidasasetus 24 art, alakohdat 1 a-d, 2 k ja 3-4); 8. Sähköisten allekirjoitusten hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 28 art, kohta 1); 9. Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyjä validointipalveluja koskevat vaatimukset (eidas-asetus 33 art); 10.Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä säilyttämispalvelua koskevat vaatimukset (eidas-asetus 34 art); 11. Sähköisten leimojen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 38 art); 12.Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset (eidas-asetus 42 art); 13.Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset (eidas-asetus 44 art); ja 14.Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 45 art). Arviointikertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Arviointikertomuksessa täytyy listata, mitä palveluntarjoajan
Ohje 14 (14) 3.2.3 Poikkeamien raportointi dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen arviointikertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi arviointikertomuksesta. Tällöin arviointikertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. ei laadi poikkeamien vakavuusasteikkoa, vaan niiden arviointi jää tunnistuspalveluntarjoajan ja arvioijan välisen harkinnan varaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat.