Traustþjónustuveitandi og aðrar skilgreiningar

Traustþjónustuveitandi
Traustþjónustuveitandi er einstaklingur eða lögaðili sem veitir eina eða fleiri tegundir traustþjónustu, annaðhvort sem fullgildur traustþjónustuveitandi eða traustþjónustuveitandi sem hefur ekki fullgildingu. Allir traustþjónustuveitendur falla undir kröfur eIDAS reglugerðarinnar þó greint sé á milli krafna sem gerðar eru til fullgildra traustþjónustuveitenda og þeirra sem eru ekki fullgildir.
Í upphafi skal traustþjónustuveitandi sem ekki hefur fullgilda stöðu tilkynna Neytendastofu (eða viðeigandi eftirlitsaðila innan EES) um fyrirætlun sína um að verða fullgildur og koma áleiðis samræmismatsskýrslu sem samræmismatsstofa gefur út. Tilgangur samræmismatsúttektarinnar er að ganga úr skugga um að fullgildur traustþjónustuveitandi og fullgilda traustþjónustan sem hann veitir uppfylli allar kröfurnar sem mælt er fyrir um í eIDAS, reglum og stöðlum sem um starfsemina gilda. Sjá nánar lista um hvaða aðilar eru hæfir til að framkvæma úttekt og samræmismat gagnvart kröfum sem settar eru í eIDAS reglugerðinni
Neytendastofa getur hvenær sem er gert úttekt eða óskað eftir að samræmismatsstofa framkvæmi samræmismat á fullgildum traustþjónustuveitendum á kostnað traustþjónustuveitandans til að staðfesta að þeir og fullgilda traustþjónustan sem þeir veita uppfylli viðeigandi kröfur.
Ef fullgildur traustþjónustuveitandi uppfyllir ekki enn viðeigandi skilyrði og bætir ekki úr annmörkum getur Neytendastofa afturkallað fullgilda stöðu sem hann veitir eða þjónustunnar. Stofnunin uppfærir traustlistann til samræmis við það.
 
Traustþjónustuveitendur sem eru ekki fullgildir
Neytendastofa fer einnig með eftirlit með traustþjónustuveitendum sem ekki eru fullgildir. Eftirlitið felst í því að grípa til aðgerða ef stofnuninni er tilkynnt um eða verður þess vör á grundvelli eigin rannsóknar að traustþjónustuveitandi uppfylli ekki viðeigandi lágmarksskilyrði s.s. öryggiskröfur.

Fullgildir traustþjónustuveitendur
Fullgildur traustþjónustuveitandi er sá sem veitir eina eða fleiri tegundir fullgildrar traustþjónustu og sem eftirlitsstofnun hefur veitt fullgilda stöðu.
Fullgildur traustþjónustuveitandi þarf m.a að kanna kennsl viðkomandi aðila beint sjálfur eða af þriðja aðila en í eIDAS er gerð krafa um að fullgildur traustþjónustuveitandi ber ábyrgð á að :

•sannprófa, með viðeigandi hætti kennsl með könnun persónuskilríkja sem gild eru að landslögum; og, ef við á, hvers konar sérstakar eigindir þess einstaklings eða lögaðila sem fullgilda vottorðið er gefið út fyrir.

Möguleikar sannprófunar á kennslum og auðkenningu viðskiptamanna eru eftirfarandi:
•að viðstöddum einstaklingi eða viðurkenndum fulltrúa lögaðila í eigin persónu hjá vottunarfulltrúa þar sem könnun persónuskilríkja og afritun þeirra fer fram.

Auk þess er í eIDAS veittir eftirfarandi möguleikar til sannprófunar á kennslum hlutaðeigandi einstaklings eða lögaðila en í þeim tilvikum eru gerðar ríkar kröfur um tæknilega framkvæmd slíkra aðferða þar sem meginskilyrði er að ekki sé unnt að villa um heimildir þess sem borin eru kennsl á. 

Aðrir möguleikar sem eru tilgreindir í 24. gr. eIDAS eru m.a. eftirfarandi:
•úr fjarlægð, með rafrænni auðkenningarleið studdri fullgildu vottorði, sem krafðist þess að einstaklingur eða viðurkenndur fulltrúi lögaðila væri viðstaddur fyrir útgáfu, og sem uppfyllir kröfur 8. gr. eIDAS um fullvissustigið „verulegt“ eða „hátt“
 •með vottorði fyrir fullgilda rafræna undirskrift eða fullgilt rafrænt innsigli,
 •með öðrum auðkenningaraðferðum sem eru viðurkenndar og veita jafna vissu um áreiðanleika og viðvera í eigin persónu. Samræmismatsstofa skal staðfesta að vissa teljist jöfn.

Gagnagrunnur fyrir fullgild vottorð
Fullgildur traustþjónustuveitandi sem gefur út fullgild vottorð (fyrir rafræna undirskrift, innsigli eða sannvottunarþjónustu fyrir vefsetur) þarf að setja á laggirnar gagnagrunn fyrir vottorð sem haldið er uppfærðum skv. 24. gr. eIDAS. Með því er hægt að fylgjast með stöðu fullgildra vottorða, hvort þau eru gild, lokuð, útrunnin eða afturkölluð. Ef fullgilt vottorð er afturkallað þarf að skrá afturköllun í gagnagrunninn og birta afturköllunarstöðu vottorðsins tímanlega og í öllum tilvikum innan 24 klukkustunda eftir móttöku beiðninnar. Afturköllunin tekur gildi um leið og hún er birt. Veita verður sérhverjum treystanda upplýsingar um stöðu fullgildra vottorða sem traustþjónustuveitandinn gefur út, hvort sem þau eru í gildi eða afturkölluð. Þessar upplýsingar skulu gerðar aðgengilegar a.m.k. fyrir hvert vottorð fyrir sig hvenær sem er, einnig eftir að vottorðið fellur úr gildi.

Aðrar skrár
Fullgildir traustþjónustuveitendur þurfa einnig að halda aðgengilegar skrár yfir allar viðeigandi upplýsingar varðandi gögn sem gefin hafa verið út og borist til þeirra sem treysta á þjónustuna til að nota sem sönnunargögn til dæmis fyrir dómstólum ef þess er krafist og til að tryggja samfellu þjónustunnar. Geyma þarf þessar upplýsingar í hæfilega langan tíma, jafnvel þó að hætt sé að veita þjónustu eða fullgildur traustþjónustuveitandi hefur hætt starfsemi.Í eIDAS reglugerðinni er tímalengdin ekki tiltekin enda verðar stjórnvöld í hverju aðildarríki fyrir sig að setja nánari reglur um það í landsrétt en svo var gert í reglugerð nr. 780/2011 sem felld var úr gildi með reglugerð nr. 100/2020. Nauðsynlegt er að ráðuneytið og eftir atvikum Alþingi skilgreini nánar hvaða tímalengd teljist „hæfileg“ í skilningi eIDAS reglugerðarinnar og setji viðeiðgandi reglur að þessu leyti.

Hvað er samræmismatsstofa?
Samræmismatsstofa gegnir lykilhlutverki ef fyrirtæki eða aðilar vilja gerast fullgildir traustþjónustuveitendur en til þess að geta orðið fullgildur traustþjónustuveitandi þá þarf samræmismatsstofa að skoða og taka út hvort viðeigandi kröfur séu uppfylltar skv. eIDAS og afurð slíkrar úttektar er svonefnd samræmismatsskýrsla. Þessir aðilar eru óháðir og ekki á vegum Neytendastofu. Aðeins aðilar sem hafa tæknilega getu og hæfni til þess og hafa fengið faggildingu sem staðfestir það geta tekið að sér samræmismatið.

Framkvæmdastjórn ESB birtir lista yfir viðurkenn aðila og sem hafa verið tilkynntir til hennar í samræmi við gildandi reglur sem sjá má hér.  

 

TIL BAKA