Tunnistus- ja luottamuspalveluiden arviointikertomukset

Samankaltaiset tiedostot
Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Tunnistus- ja luottamuspalveluiden ilmoitukset

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Valtioneuvoston asetus

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Riippumattomat arviointilaitokset

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

(Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset) ASETUKSET

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

(ETA:n kannalta merkityksellinen teksti)

asuntoluottodirektiivin mukaisista luotonvälittäjiä koskevista notifikaatioista

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Määräys luottolaitosten ulkomailla olevista sivukonttoreista ja palvelujen tarjoamisesta ulkomailla

Määräys sähköisistä tunnistus- ja luottamuspalveluista

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuojaseloste Espoon kaupunki

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Varustekorttirekisteri - Tietosuojaseloste

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Tietosuojaseloste KasvaNet -oppimisympäristö

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

Päätös kouluttajaksi hyväksymisestä

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

VALTIONTALOUDEN TARKASTUSVIRASTON MÄÄRÄYS

ASETUKSET. (ETA:n kannalta merkityksellinen teksti)

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Tietosuojaseloste 1 (6)

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Helsinki 25. maaliskuuta 2009 Asiakirja: MB/12/2008 lopullinen

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

Marja Kuhmonen Sosiaalihuollon ylitarkastaja. Itä-Suomen aluehallintovirasto Peruspalvelut, oikeusturva ja luvat -vastuualue

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) /, annettu ,

Tietosuojaseloste / Arska-myyntipalvelun aineistopyynnöt

Tietosuojaseloste Espoon kaupunki

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

HE 74/2016 vp. Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

EU-vaatimustenmukaisuusvakuutus, CE-merkintä ja siirtymäaika

Kaupungintalon juhlasalin vuokrasopimusten ja vuokravapaushakemusten

Määräys 4/2010 1/(6) Dnro 6579/03.00/ Terveydenhuollon laitteesta ja tarvikkeesta tehtävä ammattimaisen käyttäjän vaaratilanneilmoitus

Määräys. 1 Soveltamisala

Laki. EDUSKUNNAN VASTAUS 129/2013 vp. Hallituksen esitys eduskunnalle laeiksi puutavaran. puutavaran ja puutuotteiden markkinoille saattamisesta

Määräykset ja ohjeet 3/2014

Liite 3 Avustusehdot. Poliittinen toiminta

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

VEROHALLINTO Ennakonpidätystiedot v Oikeusyksikkö/ Tietopalvelu PL Verohallinto

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Hyväksytyt asiantuntijat

Euroopan unionin neuvosto Bryssel, 26. lokakuuta 2016 (OR. en) Hanke: asiakirjojen julkisuuteen sovellettava jäsenvaltioiden lainsäädäntö

Paikkatiedon luovuttamisen pelisäännöt

Kestävyyslain mukainen todentaminen

2. Rekisterinpitäjän edustajat Vastuuhenkilö: Nimi: maankäyttöpäällikkö

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

Tietosuojaseloste 1 (5)

VALTIONTALOUDEN TARKASTUSVIRASTON YLEISOHJEET JÄLKI-ILMOITUKSEN TEKE- MISESTÄ VUODEN 2011 EDUSKUNTAVAALEISSA

Lintulahdenkuja 4, Helsinki / Teknologiakatu 7, Kokkola. Puhelin (vaihde) , sähköposti kirjaamo(a)vrk.fi

FI Moninaisuudessaan yhtenäinen FI A8-0356/48. Tarkistus. József Nagy, Jeroen Lenaers PPE-ryhmän puolesta

Tietosuojaseloste 1 (5)

Päätös kouluttajaksi hyväksymisestä

APOTTI ASIAKAS- JA POTILASTIETOJÄRJESTELMÄN KÄYTTÖPALVELUIDEN HANKINTA


SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Tietosuojaseloste Espoon kaupunki

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o / annettu [ ],

Julkaistu Helsingissä 12 päivänä tammikuuta /2015 Valtioneuvoston asetus

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Tietosuojaseloste / Kansanterveystyön rekisteri / suun terveydenhuolto

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Ehdotus NEUVOSTON DIREKTIIVI

Organisaatioluvan hakeminen

Laki. kirkkolain muuttamisesta

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

6355/17 team/pmm/hmu 1 DG D 1 A

Tietosuojaseloste Espoon kaupunki

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

LIITE. ETA:n SEKAKOMITEAN PÄÄTÖS N:o /2015, annettu..., ETA-sopimuksen liitteen XX (Ympäristö) muuttamisesta. asiakirjaan

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Transkriptio:

Ohje Tunnistus- ja luottamuspalveluiden arviointikertomukset n ohje LUONNOS

Ohje 1 (13) Sisältö 1 Johdanto... 2 1.1 Ohjeen tarkoitus... 2 1.2 Ohjeen voimaantulo... 2 2 Tunnistuspalvelun tarkastuskertomus... 3 2.1 Tarkastuskertomuksen toimittaminen... 3 2.2 Tarkastuskertomuksen sisältö... 4 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot... 4 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 5 2.2.3 Poikkeamien raportointi... 7 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus... 7 3.1 Arviointikertomuksen toimittaminen... 7 3.2 Arviointikertomuksen sisältö... 9 3.2.1 Arviointikertomuksesta ilmenevät perustiedot... 9 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen... 11 3.2.3 Poikkeamien raportointi... 13

Ohje 2 (13) 1 Johdanto 1.1 Ohjeen tarkoitus 1.2 Ohjeen voimaantulo Tämä ohje koskee sähköisen tunnistuspalvelun vaatimustenmukaisuuden arvioinnin lopputuloksena annettavan tarkastuskertomuksen sisältöä sekä hyväksytyn luottamuspalvelun vaatimuksenmukaisuuden vahvistamisen lopputuloksena annettavaa arviointikertomusta. Ohje on tarkoitettu tunnistuspalveluiden vaatimuksenmukaisuuden arviointia tekeville arviointielimille ja vaatimustenmukaisuuden arviointilaitoksille, jotka tarkastavat hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden. Ohjeen tarkoituksena on arvioinnin lopputuloksena annettavien kertomusten vähimmäissisältöä ja esittämistapaa. lle toimitettavista ilmoituksista on julkaistu erillinen ohje (214/2016 O). Tunnistuspalvelujen auditointikriteeristöä koskee n ohje (211/2016 O). n tehtävänä on valvoa tunnistus- ja luottamuspalvelulain (617/2009) 42 :n nojalla lain ja EU:n eidas-asetuksen noudattamista. Tämä ohje on annettu lain 42 :n yleisen valtuuden nojalla. Ohje tulee voimaan x.x.2016. Ohje on voimassa toistaiseksi ja sitä täydennetään ja muutetaan tarvittaessa. Tällöin ohjeen numero 215 säilyy, mutta päivämäärä vaihtuu ja vuosiluku vaihtuu tarvittaessa. Ohjeen muutetut versiot listataan seuraavaan taulukkoon Ohjeen versio ja päivämäärä Ohjeluonnos Tehdyt muutokset luonnosversio kuultavaksi

Ohje 3 (13) Voimassa oleva ohje julkaistaan n verkkosivulla https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkais ut/ohjeidentulkintojensuositustenjaselvitystenasiakirjat.html 2 Tunnistuspalvelun tarkastuskertomus 2.1 Tarkastuskertomuksen toimittaminen SÄÄNNÖKSET 31 Tarkastuskertomus Tunnistuspalveluntarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan lle. Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta. Tunnistuspalvelua koskeva tarkastuskertomus toimitetaan lle: 1. kun uusi tunnistuspalveluntarjoaja tekee lle ilmoituksen toiminnan aloittamisesta; tai 2. siirtymävaiheessa viimeistään 31.1.2017, jos ennen 1.7.2016 ilmoituksen tehneet tunnistuspalveluntarjoajat haluavat jatkaa vahvan sähköisen tunnistuspalvelun tarjoajina. Tarkastuskertomus toimitetaan aloitusilmoituksen liitteenä, kun uusi tunnistuspalveluntarjoaja ilmoittaa lle toiminnan aloittamisesta. Tarkastuskertomus toimitetaan siirtymävaiheessa eli edellä mainitun kohdan 2. tarkoittamassa tilanteessa muutosilmoituksen liitteenä. Aloitus- ja muutosilmoitusten vähimmäissisältö on kuvattu n ohjeessa 214/2016 O. Tunnistuspalvelun tarkastuskertomus on voimassa käytetyn standardin määrittelemän ajan, mutta kuitenkin enintään kaksi vuotta. Tunnistuspalveluntarjoajan on toimitettava lle uusi tarkastuskertomus edellä mainitun määräajan puitteissa, mikäli se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista. Uusi tarkastuskertomus toimitetaan lle tunnistuspalvelua koskevan muutosilmoituksen liitteenä siten kuin n ohjeessa 214/2016 O on määritelty.

Ohje 4 (13) 2.2 Tarkastuskertomuksen sisältö Tarkastuskertomuksen täytyy perustua tunnistus- ja luottamuspalvelulain 4 luvun mukaisen arviointielimen tekemään arviointiin. Tunnistuspalvelun arvioija voi olla korotetulla tasolla ulkoinen arviointilaitos tai sisäinen tarkastuslaitos. Korkealla tasolla arviointielimen on oltava ulkoinen arviointilaitos. 2.2.1 Tarkastuskertomuksesta ilmenevät perustiedot Tunnistuspalvelun tarkastuskertomuksesta täytyy käydä ilmi vähintään seuraavat koskevat perustiedot. Arviointielintä koskevat perustiedot 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta tunnistuspalvelusta 5. Arvioitavan tunnistuspalvelun nimi/nimet. Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta 6. Kuvaus siitä, minkä osan tunnistusjärjestelmästä arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin; 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Tarkastuskertomuksessa on kuvattava, minkä osan tunnistusjärjestelmästä arviointi kattaa. Tunnistuspalveluntarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta arviointielimeltä. On tärkeää, että

Ohje 5 (13) tarkastuskertomuksesta ilmenee yksiselitteisesti, kattaako arviointielimen laatima tarkastuskertomus vain osan tunnistusjärjestelmästä vai sen kokonaan. Arviointielimen on kuvattava selkeästi, mitkä osat tunnistusjärjestelmästä sen suorittama arviointi kattaa. Tarkastuskertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan tarkastuskertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 2.2.2. mainitun osa-alueen arviointiin on käytetty. Tarkastuskertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. 2.2.2 Tunnistuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Tunnistuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu sähköinen tunnistuspalvelu täyttää tunnistus- ja luottamuspalvelulaissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset sekä n määräyksessä 72 15 :ssä määritellyt vaatimuksenmukaisuuden arviointiperusteet. EU:lle notifioitavan sähköisen tunnistamisen järjestelmän vaatimusten mukaisuuden arvioinnista säädetään eidas-asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa (LoA). on laatinut auditointikriteerit, joissa on kuvattu yksi mahdollinen tapa osoittaa tunnistuspalvelulle asetettujen vaatimusten täyttäminen. n laatiman auditointikriteeristön käyttäminen ei ole pakollista. Arviointielin voi käyttää muutakin vastaava kriiteristöä tai menetelmää, kunhan arviointielin kykenee näyttämään tarkastuskertomuksessa, että käytetyllä menetelmällä voidaan osoittaa tässä luvussa mainittujen vaatimusten täyttäminen. Tarkastuskertomukseen ei tarvitse sisällyttää yksityiskohtaista selvitystä jokaisen n laatimassa

Ohje 6 (13) auditointikriteeristössä tai muussa käytetyssä menetelmässä kuvatun vaatimuksen täyttämisestä. Tarkastuskertomuksesta tulee käydä ilmi seuraavat tunnistuspalvelulle asetettujen vaatimusten täyttämistä koskevat, Määräyksen 72 15 :ssä määrätyt tiedot sekä millä menetelmällä ko. vaatimusten täyttämistä on arvioitu. Tunnistuspalvelun tarjoamiseen vaikuttavat toiminnot (tunnistusjärjestelmä) 1. tietoturvallisuuden hallintaa koskevat vaatimukset (lain 8.1 5-kohta ja 13 ja M72 4 ja 5, LoA 2.4.3); 2. tietojen säilyttämistä koskevat vaatimukset (lain 13, 24 ja M72 7.4, LoA 2.4.4); 3. tiloja ja henkilökuntaa koskevat vaatimukset (lain 8.1 4-kohta, 13, LoA 2.4.5); ja 4. teknisiä toimenpiteitä koskevat vaatimukset (lain 8.1 4-5-kohdat, M72 5, LoA 2.4.6). Tunnistusmenetelmä eli tunnistusväline 5. hakemiseen ja rekisteröintiin liittyvät vaatimukset (lain 6, 20 ja 24, LoA 2.1.1. Luonnollisen henkilön tunnistusvälineet lisäksi lain 7, 17 ja oikeushenkilön tunnistusvälineet lisäksi lain 7 a, 17 a ) 6. hakijan henkilöllisyyden todistamiseen ja varmentamiseen liittyvät vaatimukset (lain 8.1 2-kohta ja 24 ja LoA 2.1.2 2.1.4. Lisäksi luonnollisen henkilön tunnistusvälineet lain 7, 17 ja oikeushenkilön tunnistusvälineet lain 7 a ja 17 a,) 7. tunnistamisen menetelmän ominaispiirteisiin ja laatimiseen liittyvät vaatimukset (lain 8.1 3-4 kohdat, LoA 2.2.1) 8. myöntämiseen, toimittamiseen ja aktivointiin liittyvät vaatimukset (lain 21, LoA 2.2.2) 9. voimassaolon keskeyttämiseen, peruuttamiseen ja uudelleen aktivointiin liittyvät vaatimukset (lain 25.3, LoA 2.2.3) 10.uusimiseen ja korvaamiseen liittyvät vaatimukset (lain 22, LoA 2.2.4)

Ohje 7 (13) 11.todentamismekanismeihin liittyvät vaatimukset (lain 8.1 4-kohta, 8 a 2.mom, M 72 7-9 ja LoA 2.3.1) 2.2.3 Poikkeamien raportointi Tarkastuskertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Tarkastuskertomuksessa täytyy listata, mitä palveluntarjoajan dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan tarkastuskertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen tarkastuskertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi tarkastuskertomuksesta. Tällöin tarkastuskertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat. 3 Luottamuspalvelun vaatimuksenmukaisuuden arvioinnista annettava kertomus 3.1 Arviointikertomuksen toimittaminen SÄÄNNÖKSET eidas-asetus 20 artikla Hyväksyttyjen luottamuspalvelun tarjoajien valvonta 1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta. 2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan

Ohje 8 (13) vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille. [ ] eidas-asetus 21 artikla Hyväksytyn luottamuspalvelun aloittaminen 1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa. 2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset. Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta. Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen. 3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin. [ ] Tunnistus- ja luottamuspalvelulaki 32 Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. n oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 :ssä. voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

Ohje 9 (13) 3.2 Arviointikertomuksen sisältö Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä eidasasetuksessa säädetään. eidas-asetuksessa käsitellään nimenomaisesti ainoastaan säännöllistä vaatimustenmukaisuuden arviointia ja arviointikertomuksen toimittamista valvovalle viranomaiselle. Arviointikertomus on toimitettava lle: 1. ennen toiminnan aloittamista, jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja; ja 2. Vähintään 24 kuukauden välein sen jälkeen, kun luottamuspalvelun tarjoaja on toimittanut toiminnan aloittamisen yhteydessä annettavan arviointikertomuksen lle. Jos ilmoitettu palvelu täyttää hyväksytylle luottamuspalvelulle asetetut vaatimukset, n on kolmen kuukauden kuluessa arviointikertomuksen vastaanottamisesta myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava palvelut luotettuun luetteloon. Lisäksi tarkastuskertomus vaaditaan vähintään 24 kuukauden välein luottamuspalvelua koskevan aloitusilmoituksen antamisen jälkeen. Hyväksyttyjä luottamuspalveluja koskevia ilmoituksia on kuvattu tarkemmin n ohjeessa 214/2016 O. 3.2.1 Arviointikertomuksesta ilmenevät perustiedot Hyväksytyn luottamuspalvelun arviointikertomuksesta tulee käydä ilmi vähintään seuraavat perustiedot. Vaatimuksenmukaisuuden arviointilaitosta koskevat perustiedot 1. Yrityksen tai yhteisön nimi ja yksilöivä rekisterinumero tai -tunnus; 2. jos yritys tai yhteisö on sijoittunut muuhun ETA-alueen valtion kuin Suomeen, rekisteri, johon ulkomainen yhteisö tai yritys on merkitty; 3. postiosoite ja yhteyshenkilöt; ja

Ohje 10 (13) 4. sähköpostiosoitteet n tiedusteluja varten. Perustiedot arvioitavasta luottamuspalvelusta 5. Arvioitavan hyväksytyn luottamuspalvelun tai hyväksytyn luottamuspalvelun aseman vahvistamista hakevan palvelun nimi/nimet sekä palvelutyypit ilmoitusohjeen 214/2016 O luvun 4.1.1. alakohdan 4 mukaisesti eli: a. hyväksytty sähköisen allekirjoituksen varmenne (eidas-asetus 28 artikla); b. hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 33 artikla); c. hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (eidas-asetus 34 artikla); d. hyväksytty sähköisen leiman varmenne (eidasasetus 38 artikla); e. hyväksytty sähköinen aikaleima (eidas-asetus 42 artikla); f. hyväksytty sähköinen rekisteröity jakelupalvelu (eidas-asetus 44 artikla); tai g. verkkosivujen todentamisen hyväksytty varmenne (eidas-asetus 45 artikla). Perustiedot vaatimuksenmukaisuuden arvioinnin toteuttamisesta 6. Kuvaus siitä, minkä osan luottamuspalvelusta arviointi kattaa; 7. selvitys siitä, millaisia menetelmiä arvioinnissa on käytetty eri osa-alueiden arviointiin; 8. tiedot dokumentaatiosta, jota on käytetty vaatimuksenmukaisuuden arvioinnissa; ja 9. arvioinnin suorittamisen ajankohta ja kesto henkilötyöaikana (henkilötyöpäivinä tai tunteita). Arviointikertomuksessa on kuvattava, minkä/mitä hyväksyttyjä luottamuspalveluja arviointi kattaa sekä kattaako arvio palvelun

Ohje 11 (13) kokonaan vai osan siitä. Hyväksytyn luottamuspalvelun tarjoaja voi tilata arvioinnin osissa myös kahdelta tai usealta vaatimuksenmukaisuuden arviointilaitokselta. On tärkeää, että arviointikertomuksesta ilmenee yksiselitteisesti, kattaako vaatimuksenmukaisuuden arviointilaitoksen laatima arviointikertomus vain osan luvun 3.2.2 vaatimuksista vai kaikki ko. vaatimukset. Arviointikertomuksesta on käytävä ilmi, millaisia menetelmiä vaatimuksenmukaisuuden arvioinnissa on käytetty. Pelkkää standardilistausta ei voida pitää riittävänä, vaan arviointikertomuksessa on kuvattava, mitä menetelmää kunkin luvussa 3.2.2. mainitun osa-alueen arviointiin on käytetty. Arviointikertomuksessa on listattava, mitä palveluntarjoajan dokumentaatiota on arvioitu. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation. n tiedonsaantioikeus perustuu tunnistus- ja luottamuspalvelulain 43 :ään, jonka mukaan lla on oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista ko. laissa säädetään ja jotka toimivat näiden lukuun. 3.2.2 Hyväksytylle luottamuspalvelulle asetettujen vaatimusten täyttämisen osoittaminen Luottamuspalvelun vaatimuksenmukaisuuden arvioinnin tarkoituksena on osoittaa, että lle ilmoitettu hyväksytty luottamuspalvelu täyttää eidas-asetuksessa säädetyt vaatimukset. Arviointikertomuksesta tulee käydä ilmi, että hyväksytty luottamuspalvelu täyttää seuraavat vaatimukset: Palveluntarjoajaa koskevat erityisvaatimukset 1. Tietojen käsittelyä ja suojaamista koskevat vaatimukset (eidas-asetus 5 art); 2. Vastuuta ja todistustaakkaa koskevat säännökset (eidas-asetus 13 art, kohdat 1-2 ja tunnistus- ja luottamuspalvelulaki 41 ); 3. Esteettömyyttä vammaisten näkökulmasta koskevat vaatimukset (eidas-asetus 15 art);

Ohje 12 (13) 4. Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset (eidas-asetus 19 art, kohta 1); ja 5. Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset (eidas-asetus art 24, kohta 2, pl. 2 k). Hyväksyttyä luottamuspalvelua koskevat erityisvaatimukset 6. Määräys 72, 20 21 :n mukaiset luottamuspalvelun yleiset arviointikriteerit; 7. Hyväksyttyä varmennetta koskevat vaatimukset (eidasasetus 24 art, alakohdat 1 a-d, 2 k ja 3-4); 8. Sähköisten allekirjoitusten hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 28 art, kohta 1); 9. Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyjä validointipalveluja koskevat vaatimukset (eidas-asetus 33 art); 10.Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä säilyttämispalvelua koskevat vaatimukset (eidas-asetus 34 art); 11. Sähköisten leimojen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 38 art); 12.Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset (eidas-asetus 42 art); 13.Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset (eidas-asetus 44 art); ja 14.Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset (eidas-asetus 45 art). Arviointikertomuksesta tulee käydä ilmi, miten edellä mainittujen vaatimusten täyttyminen on arvioitu. Arviointikertomuksessa täytyy listata, mitä palveluntarjoajan dokumentaatiota on arvioitu kussakin yllä mainitussa kohdassa. Kaikkea arviointiin liittyvää materiaalia ei ole tarpeen liittää lle toimitettavaan arviointikertomukseen. voi tarvittaessa pyytää toimittamaan tarkemman dokumentaation.

Ohje 13 (13) 3.2.3 Poikkeamien raportointi Vaatimuksenmukaisuuden arvioinnin yhteydessä löytyy tyypillisesti poikkeamia, joita korjataan arvioinnin aikana tai pian sen jälkeen. Normaalitilanteessa havaitut poikkeamat on korjattu ennen arviointikertomuksen toimittamista lle. Jos poikkeamia kuitenkin jää, niiden on käytävä yksiselitteisesti ilmi arviointikertomuksesta. Tällöin arviointikertomukseen on liitettävä tieto siitä, mitä vähäisiä tai muita poikkeamia järjestelmään on jätetty ja millä aikataululla ja miten ne tullaan korjaamaan. tekee lopullisen arvion siitä, mitä poikkeamia hyväksytään. Tarvittaessa edellyttää korjaamaan havaitut poikkeamat.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute