2001. évi XXXV. törvény az elektronikus aláírásról

(1)

2001. évi XXXV. törvény az elektronikus aláírásról

A biztonságos elektronikus kereskedelem alapjai (bmevihim219)

Dr. Buttyán Levente docens BME Hálózati Rendszerek és Szolgáltatások Tanszék CrySyS Adat- és Rendszerbiztonság Laboratórium buttyan@hit.bme.hu, buttyan@crysys.hu

Tartalom

a törvény hatálya, alapelvek, definíciók

az elektronikus aláírással kapcsolatos szolgáltatások jogkövetkezményei

a szolgáltatások

a szolgáltatások nyújtásának feltételei a hitelesítés-szolgáltatási tevékenység adatkezelés és adatvédelem

az aláíró (jogai és kötelezettségei)

a tanúsítvány felfüggesztése, ill. visszavonása a szolgáltató felelőssége

a szolgáltató tevékenységének befejezése a Felügyelet (NHH) feladatai

tanúsító szervezetek

(2)

Elektronikus Aláírás Törvény (eat) © Buttyán Levente, HIT 3 Budapesti Műszaki és Gazdaságtudományi Egyetem

Definíciók

aláírás-létrehozó adat:

• olyan egyedi adat, amit az aláíró az aláírás létrehozásához használ (privát kulcs)

aláírás-ellenőrző adat:

• olyan egyedi adat, amit az elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ (nyilvános kulcs)

aláírás-létrehozó eszköz:

• olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adat felhasználásával az elektronikus aláírást létrehozza (pl. smart kártya)

elektronikus aláírás:

• elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelelt és azzal elválaszthatatlanul összekapcsolt elektronikus adat

Definíciók

időbélyegző:

• elektronikus dokumentumhoz végérvényesen hozzárendelt , azzal logikailag összekapcsolt igazolás, mely tartalmazza a bélyegzés időpontját, s amely a dokumentum tartalmához oly módon kapcsolódik, hogy azon az igazolás kiadását követő minden módosítás érzékelhető

hitelesítés-szolgáltató (HSz):

• hitelesítés szolgáltatást végző személy vagy szervezet (CA) tanúsítvány:

• hitelesítés-szolgáltató által kibocsátott igazolás amely az aláírás ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja a személy személyazonosságát

(3)

Definíciók

minősített hitelesítés-szolgáltató:

• a Felügyelet által minősítettként nyilvántartásba vett hitelesítés szolgáltató

• a minősített szolgáltatóra vonatkozó követelményeket lásd később minősített tanúsítvány:

• olyan tanúsítvány melyet minősített szolgáltató adott ki fokozott biztonságú elektronikus aláírás:

• a következő követelményeknek megfelelő elektronikus aláírás:

• alkalmas az aláíró azonosítására és egyedülállóan hozzá köthető

• olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll

• a dokumentum tartalmához oly módon kapcsolódik, hogy azon minden az aláírás elhelyezését követő módosítás érzékelhető

minősített elektronikus aláírás:

• olyan fokozott biztonságú aláírás, amely biztonságos aláírás-létrehozó eszközzel (BALE) készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki

Alapelv

elektronikus aláírás, ill. elektronikus irat vagy dokumentum elfogadását (beleértve bizonyítási eszközként történő alkalmazását) megtagadni, joghatás kiváltására való alkalmasságát kétségbe vonni nem lehet kizárólag amiatt, hogy az aláírásilletve irat vagy dokumentum elektronikus formában létezik *

minősített tanúsítványt bármely bírósági vagy államigazgatási eljárásban el kell fogadni

* kivételek és korlátozásak

(4)

Szolgáltatások

1. (elektronikus aláírás) hitelesítés-szolgáltatás

• a HSz azonosítja az igénylő személyét

• tanúsítványt bocsát ki

• nyilvántartásokat vezet

• fogadja a tanúsítványokkal kapcsolatos változásokat

• nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat, és a tanúsítvány aktuális állapotára (különösen a visszavonásra) vonatkozó információkat

2. időbélyegzés

3. aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése a szolgáltatásokat egyenként vagy azok közül többet együttesen is lehet nyújtani

A szolgáltatásnyújtás feltételei

fokozott biztonságú szolgálatás

• belföldi lakhelyű természetes személy vagy belföldi székhelyű jogi személy

• 30 nappal a működés megkezdése előtt be kell jelenteni a Felügyeletnél

• a bejelentéshez csatolni kell a szolgáltatási szabályzatot

• aláírás vagy időbélyegző előállításához csak a Felügyeletnél nyilvántartásba vett (a tanúsításra jogosult szervezetek által kiadott igazolással rendelkező) aláíró eszköz használható

minősített szolgálatás

• ua mint a fokozott biztonságú szolgáltatás +

• minősítést kell szerezni a Felügyelettől

• lásd bővebben később

(5)

A hitelesítés-szolgáltatási tevékenység

a HSz köteles tájékoztatni a szolgáltatást igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, a szolgáltatási szabályzatról, egyéb korlátozásokról

a HSz a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásának tárgybeli, földrajzi, vagy egyéb korlátait, ill az egy alkalommal vállalható kötelezettség legnagyobb értékét

a HSz azonosítja az igénylő személyét, majd saját aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő aláírását

a HSz biztosítja, hogy az aláírás-létrehozó adat és az aláírás-ellenőrző adat egyedi legyen, és egymáshoz tartozzon (feltéve hogy mindkettő a HSz-től származik)

A hitelesítés-szolgáltatási tevékenység

a HSz fogadja és feldolgozza a tanúsítványokkal kapcsolatos változások adatait

a HSz nyilvántartást vezet a tanúsítványok aktuális állapotáról (felfüggesztéséről vagy visszavonásáról)

a HSz közcélú távközlő hálózatok segítségével bárki számára folyamatosan elérhető módon közzéteszi:

• visszavont tanúsítványok nyilvántartását

• az aláírás-ellenőrző adatokat

• saját szabályzatait

a HSz a tanúsítványokkal kapcsolatos minden információt a tanúsítvány érvényességének lejártától legalább 5 évig megőriz

a HSz tevékenységi köréből csak az új tanúsítványok kiadását szüneteltetheti

(6)

A min ő sített tanúsítvány tartalma

annak megjelölése, hogy a tanúsítvány minősített a HSz és székhelyének azonosítója

az aláíró neve (vagy álneve, ennek jelzésével)

az aláíró speciális jellemzői, a szándékolt felhasználástól függően az aláírás-ellenőrző adat

a tanúsítvány érvényességi idejének kezdete és vége a tanúsítvány azonosító kódja

a kibocsátó HSz (fokozott biztonságú) aláírását a tanúsítvány felhasználásának korlátait

Az aláíró (jogai és kötelezettségei)

az aláíró jogosult

• az aláírás-létrehozó adatot birtokolni

• a tanúsítvány felfüggesztését vagy visszavonását kérni az aláíró köteles a HSz-t tájékoztatni

• az azonosításhoz szükséges adatokról

• az aláírás-létrehozó adat elvesztéséről vagy annak illetéktelen személyhez való kerüléséről

• minden egyéb észlelt rendellenességről

• a tanúsítvánnyal összefüggő bármilyen jogvita megindulásáról az aláíró az aláírás-létrehozó adatot kizárólag aláírás létrehozására használhatja, beleértve a tanúsítványban jelzett korlátozásokat

(7)

A tanúsítvány felfüggesztése ill. visszavonása

a HSz felfüggeszti a tanúsítványt, ha

• az aláíró ezt kéri

• a szolgáltatással kapcsolatos rendellenességről szerez tudomást

• megalapozottan feltételezhető, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van

• a Felügyelet így rendelkezik

a HSz visszavonja a tanúsítványt és ezt közzéteszi, ha

• az aláíró ezt kéri

• a szolgáltatással kapcsolatos rendellenesség nem orvosolható

• tudomására jut, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van

• a Felügyelet így rendelkezik

• a HSz tevékenységét befejezte

A szolgáltató felel ő ssége

a HSz felel ő s a min ő sített elektronikus aláírással vagy id ő bélyegz ő vel, illetve az ezzel ellátott dokumentummal okozott kárért, ha

• olyan aláíró eszközt használ, mely nincs a Felügyelet nyilvántartásában

• a szolgáltatást nem a korábban leírtaknak megfelel

ő

en nyújtja

• a felfüggesztéseket és visszavonásokat nem a korábban leírtak szerint végzi

a bizonyítási teher a HSz-en van

• a szabályok megtartását neki kell bizonyítania

(8)

A szolgáltató tevékenységének befejezése

60 nappal a tevékenység befejezése előtt a HSz-nek értesítenie kell az ügyfeleit (a kiadott tanúsítványokban megjelölt aláírókat) és a

Felügyeletet

ettől kezdve új tanúsítványokat nem adhat ki

20 nappal a befejezés előtt a HSz köteles minden általa kiadott tanusítványt visszavonni

ki kell jelölnie azt a HSz-t amely tevékenységét átveszi (különösen a visszavont tanusítványok nyilvántartását)

ha a HSz fenti kötelességeinek nem tesz eleget, akkor a Felügyelet gondoskodik az új HSz kijelöléséről, és a kiadott tanúsítványok visszavonásáról

A Felügyelet feladatai

minősítés

• a minősítéssel kapcsolatos eljárás során a felügyelet megvizsgálja

• a HSz technikai, működési, és személyi feltételek meglétét és folyamatos biztosítását (pl. büntetlen előélet és szakképzetség)

• a működési szabályoknak és a szolgáltatási szabályzatnak való megfelelést

• ha a HSz megfelel, akkor a Felügyelet minősített szolgáltatóként nyilvántartásba veszi

nyilvántartások vezetése és közzé tétele

• minősített szolgáltatók

• fokozott biztonságú szolgáltatók

• aláírás-létrehozó eszközök

• aláírás-létrehozó eszközök tanusítására kijelölt szervezetek

• minősített HSz által kibocsátott tanúsítványtípusok megnevezése

(9)

A Felügyelet feladatai

szolgáltatók ellenőrzése, intézkedések

• a Felügyelet jogosult ellenőrizni, hogy a HSz megfelel-e a törvény, a jogszabályok, és a szolgáltatási szabályzat előírásainak

• a Felügyelet helyszíni ellenőrzést tarthat, mely során helyiségekbe léphet be, iratokat, adathordozókat, tárgyakat, munkafolyamatokat vizsgálhat meg, felvilágosítást, nyilatkozatokat kérhet

• a Felügyelet évente legalább egyszer átfogó ellenőrzést tart

• intézkedések

• felhívhatja a HSz figyelmét az előírások betartására

• megtilthatja bizonyos technológiák és eljárások használatát

• elrendelheti új tanúsítvány kibocsátásának szüneteltetését

• elrendelheti korábban kiadott tanúsítványok visszavonását

• bírságot szabhat ki

• törölheti a szolgáltatót a minősített szolgáltatók közül

A Felügyelet feladatai

bírságok kiszabása

• a bírság összege 100 eFt – 10000 eFt-ig terjedhet, ha

• a HSz minősített szolgáltatónak adja ki magát anélkül, hogy a Felügyelet minősítette volna

• a HSz nem védi megfelelően saját aláírás-létrehozó adatát

• nem őrzi meg a tanúsítvány kibocsátásával kapcsolatos adatokat

• egyébként a bírság 50 eFt – 5000 eFtüg terjedhet

• vezet

ő

tisztségvisel

ő

kkel szemben kiszabott bírság 50 eFt –

1000 eFt-ig terjedhet

(10)

Tanusító szervezetek

aláíró eszközök és egyéb aláírási termékek tanúsítására jogosult szervezetek és magánszemélyek

a tanusító szervezeteket a Kijelölési Bizottság jelöli ki a szervezetek kijelölési kérelme alapján

a Kijelöl ő Bizottság a Miniszterelnöki Hivatal Informatikai Kormánybiztosságához tartozik, és 5 tagból áll

a tanúsító szervezet el ő írásoknak való megfelelését a bizottság által felkért szakért ő k végzik

16/2001 MeHVM rendelet

az elektronikus aláírással kapcsolatos szolgáltatásokra és azok

szolgáltatóira

vonatkozó részletes követelményekr ő l

(11)

A szolgáltatókra vonatkozó követelmények

szolgáltatási szabályzat

• a fokozott biztonságú szolgáltatónak (beleértve a minősített szolgáltatót is) tevékenységének megkezdése előtt szolgáltatási szabályzatot kell készítenie

• ezt a szolgáltatás megkezdésével egyidejűleg nyilvánosságra kell hozni (nyitott helyiség, Internet)

• a minősített szolgáltatás igénybevevőjét a szolgáltatási szerződés megkötése előtt tájékoztatni kell a szolgáltatási szabályzat tartalmáról és elérhetőségéről

tevékenység befejezése

• a HSz informatikai rendszerében foglalt adatokról teljeskörű mentést kell végezni és azt minősített időbélyegzővel ellátni

pénzügyi követelmények

• vagy bankgarancia (fokozott bizt: 3 MFt, minősített: 25 MFt)

• vagy letét (fokozott bizt: 3 MFt, minősített: 25 MFt)

• vagy kezesség (fokozott bizt: 100 MFt tőkéjű gazdasági társaság, minősített: 500 MFt tőkéjű gazdasági társaság)

A szolgáltatási szabályzat tartalma

• a HSz adatai (név, telephely, stb.)

• a Felügyeletnél történt nyilvántartásba-vétel dátuma

• verzió szám

• a szabályzat hatályba lépésének és megszűnésének dátuma

• a HSz által használt elektronikus aláírási termékek listája, és nyilatkozat, hogy ezeket a Felügyelet nyilvántartásba vette

• ügyfélszolgálat elérhetősége

• a HSz által vállalt rendelkezésre állási idők (pl. visszavonási nyilvántartás)

• tájékoztató a HSz által nyújtott szolgáltatásokról, a kibocsátott tanúsítványtípusokról, a kiadott tanúsítványok joghatásairól, a felhasználás feltételeiről, az aláíró és az ellenőrző felek kötelezettségeiről

• tájékoztató a tanúsítvány visszavonásának jogkövetkezményeiről

• tájékoztató arról hogyan kezeli a HSz a személyes adatokat

(12)

A min ő sített szolgáltatókra vonatkozó követelmények

szolgáltatási szabályzat további elemei

• a folyamatos rendelkezésre állás biztosításának módja

• tevékenység befejezése utáni eljárás leírása

• annak leírását, hogy a HSz

• milyen módon felel meg az üzemeltetési és hozzáférési biztonsági követelményeknek

• milyen termékeket használ a szolgáltatás nyújtásához

• miként kívánja a karbantartási és telepítési hibákat elkerülni

• az üzemeltetés ellenőrzéséhez milyen eljárásokat alkalmaz

• hogyan gondoskodik az archivált adatok védelméről

• az informatikai rendszer hozzáférési jogosultságai (ki, mikor, hogyan?)

• rendkívüli üzemeltetési helyzet esetén követendő eljárások

• felfüggesztési ill visszavonási kérelem hitelesítésének módja

• ...

• a szolgáltatói kulcsok menedszmentjének módja

• az aláírás-létrehozó adatok létrehozásának módja

• referencia időforrások megnevezése

• bizalmi munkakörök megnevezése és leírása

A min ő sített szolgáltatókra vonatkozó követelmények

szolgáltatások rendelkezésre állásának biztosítása felelősségbiztosítás

• káreseményenként legalább 50 MFt-ig terjedő fedezet személyzeti biztonsági követelmények

• bizalmi munkakört csak megfelelő végzettséggel és szakmai tapasztalattal lehet betölteni (felső fokú végzettség + 3 év szakmai tapasztalat vagy középfokú végzettség + 5 év szakmai tapasztalat)

• bizalmi munkakörök:

• biztonsági tisztviselő (a szolgáltatás biztonságáért felelős)

• rendszeradminisztrátor (szolgáltatással kapcsolatos általános informatikai teendők)

• rendszerüzemeltető (folyamatos üzem, mentés, helyreállítás)

• egy személy nem tölthet be több bizalmi munkakört

• naplózni kell mely személyek milyen biztonsággal kapcsolatos tevékenységeket végeztek

(13)

A min ő sített szolgáltatókra vonatkozó követelmények

szolgáltatói kulcspár kezelése

• a szolgáltatói magánkulcs létrehozását, használatát, mentését, fizikailag védett környezetben, legalább két bizalmi munkakört betöltő személy együttes részvételével kell végezni

• szolgáltatói nyilvános kulcs bárki számára folyamatosan elérhető kell legyen, azt az Interneten is elérhetővé kell tenni

üzemeltetési és hozzáférési biztonság

• a hozzáférési jogosultságok megadásával, módosításával és visszavonásával kapcsolatos tevékenységeket legalább két bizalmi munkakört betöltő személy részvételével kell végrehajtani

fizikai és környezeti biztonság

• az aláírási termékeket és azokat a helyiségeket ahol ilyen termékek vannak fizikailag védeni kell

• a belépések időpontját, a tartózkodás célját, kilépések időpontját naplóban kell rögzíteni

A min ő sített szolgáltatókra vonatkozó követelmények

aláírási termékek

• a minősített szolgáltatás nyújtásához használt aláírási termékeket elkülönítve kell kezelni az egyéb tevékenységhez használt termékektől

• minden használt terméket kockázatelemzésnek kell alávetni, és ez alapján biztonsági osztályokba sorolni

folyamatos üzemmenet

• biztonsági mentések készítése, szükség esetén a teljes informatikai rendszer helyreállítása

• a mentéseket védeni kell a módosítások ellen, ill. az ellen, hogy jogosulatlan személyek a mentett állományokhoz hozzáférjenek naplózás

• minden a szolgáltatás nyújtásával vagy az informatikai rendszerrel kapcsolatos eseményt naplózni kell

• biztosítani kell, hogy a napló ne legyen törölhető vagy módosítható

• a naplóról rendszeresen mentést kell készíteni

(14)

A min ő sített szolgáltatókra vonatkozó követelmények

archiválás

• a tanúsítványokkal kapcsolatos információkat a törvényben előírt ideig archiválni kell

• az archivált állományt védeni kell a módosítástól ezért azt időpecséttel és minősített aláírással kell ellátni

időszinkronizáció

• a tanúsítvány nyilvántartásban, a visszavonási nyilvántartásban, és a naplóban feltüntetett időt olyan gyakorisággal kell szinkronizálni a szolgáltatási szabályzatban megadott referencia időforráshoz, hogy a saját idő és a referencia időforrás közti eltérés ne haladja meg az 1s –et

A min ő sített szolgáltatókra vonatkozó követelmények

tájékoztatási kötelezettség

• a tanúsítványt igénylő személyt tájékoztatni kell

• az aláírás-létrehozó adat használatával kapcsolatos biztonsági intézkedésekről

• az aláírás-létrehozó eszköz használatáról

• az aláíró és az aláírást ellenőrizni kívánó felek felelősségéről

• a tanúsítványok felfüggesztésének, visszavonásának módjáról

• a tanusítványok kibocsátásának körülményeiről

• a tanúsítvány érvényességi idejéről

• a szolgáltatási szabályzat tartalmáról és elérhetőségéről

• a tanúsítvánnyal kapcsolatos korlátozásokról

• a szolgáltatói nyilvános kulcsról, annak elérhetőségéről

• a szolgáltatási díjról

a tanúsítvány érvényességi ideje

• legfeljebb 2 év

(15)

A min ő sített szolgáltatókra vonatkozó követelmények

aláírás-létrehozó eszköz

• minősített HSz az aláírás-létrehozó adatot csak a szolgáltatást igénybe vevő aláírás-létrehozó eszközében tárolhatja

• ha az aláírás-létrehozó adatot az aláírás-létrehozó eszközön kívül hozzák létre, akkor annak aláírás-létrehozó eszközön kívüli másolatát azonnal törölni kell, amint az aláírás-létrehozó adat az aláírás létrehozó eszközbe került

• a HSz az aláírás-létrehozó eszközt, valamint a hozzáférést biztosító ellenőrző adatot (pl, PIN) közvetlenül az igénylőnek adja át, erről a naplóban feljegyzést készít

tanúsítványok visszavonása, felfüggesztése

• a kérelmező visszavonási vagy felfüggesztési jogosultságáról meg kell győződni

• a visszavonási és felfüggesztési kérelmek prioritást élveznek, a szolgáltatónak ezeket kell először feldolgoznia

További dokumentumok

15/2001 MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról A Kormány 151/2001 rendelete a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól

2/2002 MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről

• ezen előírások a szolgáltatókra nem kötelezőek, ...

• amennyiben azonban egy minősítést kérelmező HSz ezen

előírásoknak igazoltan megfelel a Felügyelet megadja a minősítést