Službeni glasnik BiH, broj 14/17
Ovaj akt nije unešen na bosanskom jeziku.
Na osnovu člana 17. Zakona o Vijeću ministara Bosne i Hercegovine ("Službeni glasnik BiH", br. 30/03, 42/03, 81/06, 76/07, 81/07, 94/07 i 24/08) i člana 26. stav (1) Zakona o elektronskom potpisu ("Službeni glasnik BiH", broj 91/06), na prijedlog ministra komunikacija i prometa Bosne i Hercegovine, Vijeće ministara Bosne i Hercegovine na 88. sjednici, održanoj 18. januara 2017. godine, donijelo je
PRAVILNIK
O BLIŽIM UVJETIMA ZA IZDAVANJE KVALIFICIRANIH POTVRDA
POGLAVLJE I - Opće odredbe
Član 1.
(Predmet Pravilnika)
Ovim Pravilnikom propisuju se bliži uvjeti za izdavanje kvalificiranih potvrda i uvjeti koje ovjerilac mora ispunjavati za izdavanje kvalificiranih potvrda.
Član 2.
(Primjena međunarodnih standarda)
(1) Prilikom izdavanja kvalificiranih potvrda primjenjuju se međunarodni standardi i preporuke, kao i drugi odgovarajući standardi, dokumenata i preporuka.
(2) Ovjerilac za izdavanje kvalificiranih potvrda (u daljem tekstu: ovjerilac) izdaje kvalificirane potvrde korisnicima u skladu sa dokumentima ETSI ESI TS 101 862 "Qualified Certificate Profile", RFC 3739 "Internet X.509 Public Key Infrastructure: Qualified Certificates Profile", RFC 3280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" i ETSI TS 102 280 "X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons".
POGLAVLJE I I - Pouzdano obavljanje usluga izdavanja kvalificiranih potvrda
Član 3.
(Način formiranja sigurnog elektronskog potpisa)
Ovjerilac izdaje kvalificirane potvrde formiranjem sigurnog elektronskog potpisa na osnovu svog privatnog ključa i asimetričnog kriptografskog algoritma, na način propisan Pravilnikom o tehničko-tehnološkim postupcima za formiranje sigurnog elektronskog potpisa i uvjetima i kriterijumima, koje treba da ispune sredstva za formiranje sigurnog elektronskog potpisa.
Član 4.
(Usluge certifikacije)
(1) Ovjerilac je dužan osigurati potpunu uslugu certifikacije koja uključuje slijedeće servise, i to:
a) registraciju korisnika;
b) formiranje kvalificiranih potvrda;
c) distribuciju kvalificiranih potvrda korisnicima;
d) upravljanje životnim vijekom (obnavljanje, suspenzija, opoziv) kvalificiranih potvrda;
e) osiguravanje pouzdanog i javno dostupnog servisa za provjeru statusa opozvanosti kvalificiranih potvrda.
(2) Ovjerilac može, pored servisa iz stava (1) ovog člana, da osigura i formiranje asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i potvrde korisniku na siguran način, ukoliko je to propisano u politici certificiranja datog ovjerioca.
Član 5.
(Opći akti ovjerioca)
(1) Ovjerilac, prije početka rada, donosi opća interna pravila pružanja usluge certifikacije (u daljem tekstu: opća pravila) koja korisnicima pružaju dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu usluga.
(2) Opća pravila funkcioniranja ovjerioca treba da budu u skladu sa dokumentima RFC 3647 "Internet X.509 Public Key Infrastructure. Certificate Policy and CertificationPractices Framework" i ETSI TS 101 456 "Policy Requirements for Certification Authorities Issuing Qualified Certificates".
(3) Na osnovu općih pravila ovjerilac donosi slijedeće opće akte:
a) Politiku certifikacije (engl.Certificate Policy);
b) Praktična pravila pružanja usluge certifikacije (engl.Certification Practices Statement) (u daljem tekstu: praktična pravila).
Član 6.
(Politika certifikacije i praktična pravila)
(1) Politika certifikacije i praktična pravila su javni dokumenti.
(2) Politika certifikacije definira predmet rada i zahtjeve poslovanja ovjerioca.
(3) Praktična pravila definiraju procese i način njihovog korištenja pri formiranju i upravljanju kvalificiranim potvrdama, operativne procedure u cilju ispunjenja tih zahtjeva i način na koji ovjerilac ispunjava tehničke, organizacione i proceduralne zahtjeve poslovanja koji su identificirani u politici certifikacije.
(4) Politikom certifikacije i praktičnim pravilima uređuju se slijedeće oblasti:
a) opće odredbe o radu ovjerioca:
1) pojam ovjerioca,
2) certifikacione usluge,
3) obuhvat dokumenta politika certifikacije,
4) obuhvat dokumenta praktičnih pravila pružanja usluge certifikacije,
5) korisničke usluge certifikacije.
b) uvodne odredbe o politici izdavanja kvalificiranih potvrda;
c) obaveze i odgovornosti ovjerioca i korisnika;
d) funkcionalne zahtjeve za rad ovjerioca: operativne procedure rada ovjerioca i procedure upravljanja životnim ciklusom kriptografskih ključeva:
1) generiranje ključa ovjerioca,
2) procedure čuvanja i formiranja rezervnih kopija ključeva ovjerioca,
3) distribuciju javnog ključa ovjerioca,
4) korištenje ključa ovjerioca,
5) kraj životnog ciklusa ključa ovjerioca,
6) upravljanje životnim ciklusom kriptografskog hardvera koji se koristi za generiranje kvalificiranih potvrda,
7) upravljanje ključevima korisnika za identificiranje,
8) proceduru primjene sredstava za formiranje sigurnog elektronskog potpisa.
e) procedure upravljanja životnim ciklusom certifikata:
1) metode registracije korisnika,
2) izdavanje potvrda,
3) distribuciju potvrda,
4) obnavljanje potvrda,
5) suspenziju potvrda,
6) opoziv potvrda,
7) način publikacije liste opozvanih potvrda;
f) upravljanje operativnim radom ovjerioca:
1) upravljanje u skladu sa sigurnosnim principima,
2) upravljanje i klasifikacija najvažnijih informacija i podacima u okviru ovjerioca,
3) kadrovski resursi,
4) sistem fizičke sigurnosti i sigurnosti okruženja,
5) upravljanje radom ovjerioca,
6) upravljanje sistemom kontrole pristupa,
7) upotrebu i održavanje sigurnim kriptografskih sistema,
8) upravljanje procedurama kontinualnog poslovanja u incidentnim situacijama,
9) prestanak rada ovjerioca,
10) usaglašenost rada sa kriterijumima za rad ovjerilaca koji izdaju kvalificirane potvrde u skladu sa članom 8. Zakona i ovim Pravilnikom,
11) formiranje i čuvanje dokumentacije koja se odnosi na kvalificirane potvrde.
g) organizaciju rada ovjerioca.
Član 7.
(Sposobnost za osiguranje usluge)
Ovjerilac demonstrira sposobnost za osiguranje usluge izdavanja kvalifikovanih potvrda, ukoliko:
a) posjeduje praktična pravila, i u njima definirane procedure, u kojima se specificira način ispunjenja svih zahtjeva za izdavanjem kvalificiranih potvrda koji su identificirani u politici certifikacije;
b) učini dostupnim praktična pravila svim korisnicima i drugim zainteresiranim stranama;
c) učini dostupnim svim korisnicima i potencijalnim zainteresiranim stranama uvjete korištenja kvalificiranih potvrda;
d) posjeduje upravnu strukturu najvišeg nivoa koja ima konačnu autorizaciju i odgovornost za objavljivanje praktičnih pravila ovjerioca;
e) posjeduje upravnu strukturu operativnog nivoa u ovjeriocu koja je odgovorna za ispravnu primjenu praktičnih pravila;
f) definira postupak periodične analize i revizije praktičnih pravila;
g) posjeduje sve izmjene praktičnih pravila, javno objavljene i odobrene od strane upravne strukture najvišeg nivoa.
Član 8.
(Posebna interna pravila)
(1) Ovjerilac utvrđuje i posebna interna pravila rada ovjerioca i zaštite sistema certifikacije (u daljem tekstu: posebna pravila) u kojima su sadržani i detaljno opisani postupci i mjere koje se primjenjuju prilikom izdavanja i postupanja kvalificiranim potvrdama.
(2) Posebna pravila su privatni dokument i predstavljaju poslovnu tajnu ovjerioca.
Član 9.
(Posebna pravila)
Posebna pravila sadrže odredbe kojim se bliže uređuje:
a) sistem fizičke kontrole pristupa u pojedine prostorije ovjerioca;
b) sistem logičke kontrole pristupa računarskim resursima ovjerioca;
c) sistem čuvanja privatnog ključa ovjerioca;
d) sistem dodijeljene odgovornosti pri aktivaciji privatnog ključa ovjerioca i
e) postupci i radnje u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamjerni upadi u prostorije ili informacioni sistem ovjerioca).
Član 10.
(Organizacija rada)
Ovjerilac osigurava pouzdanu organizaciju rada tako što:
a) donosi pravila i operativne procedure koje nisu diskriminatorske;
b) čini dostupnim svoje servise svim korisnicima čije su aktivnosti u skladu sa objavljenim općim pravilima;
c) posluje kao pravno lice u skladu sa propisima;
d) ima sistem kvaliteta i sistem sigurnog upravljanja kvalificiranim potvrdama u skladu sa uslugama certifikacije koje pruža;
e) posjeduje osiguranje od odgovornosti za štetu, koja može da proistekne u vršenju njegovih aktivnosti u skladu sa politikom certifikacije;
f) ima finansijsku stabilnost i dovoljne resurse koji se zahtijevaju u pružanju usluga certifikacije u skladu sa politikom certifikacije;
g) ima dovoljan broj stalno zaposlenih na poslovima certifikacije sa neophodnim obrazovanjem, nivoom obučenosti, tehničkim znanjima i iskustvom;
h) efikasno postupa prilikom rješavanja žalbi i sporova sa korisnicima ili drugim zainteresiranim stranama u vezi pružanja usluga certifikacije;
i) pruža nezavisnost dijelova ovjerioca uključenih u poslove generiranja kvalificiranih potvrda od drugih vanjskih organizacija u sferi pružanja usluga certifikacije. Posebno upravne strukture ovjerioca, kao i zaposlenih sa sigurnosnim funkcijama, moraju biti zaštićeni od bilo kakvih finansijskih i drugih pritisaka koji mogu utjecati na povjerenje u usluge certifikacije koje pruža ovjerilac;
j) ima propisno dokumentiranu strukturu dijelova ovjerioca povezanih sa generiranjem kvalificiranih potvrda radi osiguranja nepristrasnosti u pružanju usluga certifikacije, u skladu sa općim i posebnim pravilima.
Član 11.
(Osiguranje od odgovornosti za štetu)
Ovjerilac je dužan osigurati najniži iznos osiguranja od rizika odgovornosti za štetu nastalu vršenjem usluga izdavanja elektronskih potvrda, tako da:
a) osigurana suma na koju mora biti ugovoreno osiguranje po jednom štetnom događaju ne može iznositi manje od 50.000 KM, podrazumijevajući pritom kao štetni događaj pojedinačnu štetu nastalu upotrebom jedne kvalificirane potvrde u jednom aktu u pravnom prometu;
b) ukupna osigurana suma na koju mora biti ugovoreno osiguranje od odgovornosti ovjerioca kumulativno na godišnjem nivou, po svim štetnim događajima, ne može biti niža od 1.500.000,00 KM.
Član 12.
(Postupanje ovjerioca u slučaju vanrednih okolnosti)
Ovjerilac osigurava da u slučaju vanrednih okolnosti operativni rad bude obnovljen što je moguće prije a u skladu sa općim i posebnim pravilima. U slučaju kompromitiranja svog asimetričnog privatnog ključa, ovjerilac:
a) prestaje sa izdavanjem kvalificiranih potvrda;
b) informira sve korisnike i druge zainteresirane strane o kompromitiranju privatnog ključa;
c) javno objavljuje informacije o tome da izdate kvalificirane potvrde, kao i informacije o statusu opozvanosti kvalificiranih potvrda, više nisu važeće;
d) vrši opoziv svih izdatih kvalificiranih potvrda odmah a najkasnije u roku od 24 sata u skladu sa članom 10. Zakona o elektronskom potpisu ("Službeni glasnik BiH", broj 91/06, u daljem tekstu: Zakon).
Član 13.
(Evidencija izdatih kvalificiranih potvrda)
(1) Ovjerilac vodi ažurnu, tačnu i sigurnu evidenciju izdatih kvalificiranih potvrda koja može biti javno dostupna, osim u slučajevima kada vlasnik potvrde izričito zahtjeva da njegovi podaci ne budu javno dostupni.
(2) Ovjerilac vodi ažurnu i sigurnu evidenciju opozvanih i suspendiranih kvalificiranih potvrda i mora za svaku potvrdu koju je izdalo, informaciju o njegovoj validnosti učiniti javno dostupnom.
(3) Za tačnost i validnost evidencija iz st. (1) i (2) ovog člana garantira ovjerilac, svojom kvalificiranom potvrdom.
Član 14.
(Određivanje vremena izdavanja i opoziva)
(1) Za određivanje vremena izdavanja i opoziva kvalificiranih potvrda, ovjerilac osigurava izvor tačnog vremena koji je sinhroniziran sa izvorom referentnog vremena kojeg odredi Nadzorni organ i objavljuje na službenoj Internet stranici Nadzornog organa.
(2) Vrijeme izdavanja kvalificirane potvrde ovjerilac upisuje u izdatu kvalificiranu potvrdu.
(3) Vrijeme izdavanja i opoziva kvalificiranih potvrda ovjerilac čuva u evidenciji izdatih i opozvanih potvrda iz člana 13. ovog Pravilnika.
POGLAVLJE III - Registracija korisnika
Član 15.
(Registracija korisnika)
(1) Ovjerilac vrši pouzdanu identifikaciju i autentikaciju korisnika u cilju izdavanja kvalificirane potvrde, te vodi registar potvrda.
(2) Postupke registracije iz stava (1) ovog člana vrši ovlašteni službenik ovjerioca.
Član 16.
(Obaveze ovjerioca u postupku registracije korisnika)
U postupku registracije korisnika, ovjerilac je dužan osigurati da:
a) se korisnik identificira kao fizičko lice sa specifičnim atributima koji mogu označavati organizacionu jedinicu ili ulogu u organizaciji gdje je zaposlen;
b) prije uspostavljanja ugovornog odnosa sa korisnikom, javno informira korisnika na jasan i nedvosmislen način o svim relevantnim uvjetima korištenja kvalificiranih potvrda;
c) se u postupku registracije, identitet korisnika fizičkog lica, utvrđuje neposrednim uvidom u važeći identifikacioni dokument u prisustvu podnosioca zahtjeva;
d) ukoliko se radi o korisniku, pravnom licu se izvrši uvid u:
1) izvod iz sudskog registra iz kojeg se može utvrditi ko je odgovorno lice u pravnom licu,
2) akt kojim je korisnik ovlašten od strane tog pravnog lica ili organizacije za dobijanje kvalificirane potvrde;
e) se u izuzetnom slučaju utvrđuje svaki specifični atribut korisnika kome se izdaje kvalificirana potvrda;
f) informacije sadržane u kvalificiranoj potvrdi budu pouzdane i tačne;
g) korisnik dostavi tačne i pouzdane informacije o fizičkoj adresi, ili drugim atributima, koji opisuju kako se korisnik može kontaktirati;
h) se čuvaju sve informacije korištene za verifikaciju identiteta korisnika i dokumentaciju korištenu za identifikaciju, kao i bilo koja ograničenja njene važnosti;
i) se zaključi ugovor sa korisnikom kojim se regulira slijedeće:
1) obaveza korisnika da koristi sredstvo za formiranje sigurnog elektronskog potpisa koje osigurava ovjerilac u skladu sa općim pravilima,
2) obaveza ovjerioca da čuva podatke korištene u registraciji korisnika i sve informacije o životnom ciklusu izdate kvalificirane potvrde korisnika.
3) uvjeti pod kojima se objavljuje potvrda,
4) klauzulu o tačnosti podataka sadržanih u potvrdi;
j) ako asimetrični par ključeva korisnika nije generiran od strane ovjerioca, proces generiranja zahtijeva za kvalificiranom potvrdom u potpunosti osigurava da korisnik posjeduje privatni ključ koji je matematički povezan sa javnim ključem koji je prezentiran za certifikaciju. U tom slučaju korisnik mora osigura da se asimetrični par ključeva generira isključivo u sredstvu za formiranje sigurnog elektronskog potpisa;
k) se poštuju odredbe važećih propisa kojima je uređena oblast zaštite ličnih podataka.
POGLAVLJE IV - Kadrovski resursi i upravljanje operativnim radom ovjerioca
Član 17.
(Funkcioniranje ovjerioca)
Ovjerilac je dužan osigurati pouzdano, sigurno i nesmetano obavljanje poslova izdavanja kvalificirane potvrde.
Član 18.
(Ljudski resursi)
(1) Ovjerilac osigurava da zaposleni u ovjeriocu posjeduju neophodno potrebnu kvalifikaciju, iskustvo i ekspertsko znanje, za obavljanje poslova ovjerioca, i to:
a) potreban broj zaposlenih sa visokom školskom spremom iz oblasti informaciono-komunikacionih tehnologija,
b) radno iskustvo zaposlenih od najmanje 3 godine na poslovima održavanja i sigurnosti informacionih sistema,
c) položen ispit iz oblasti sigurnosti informacionih sistema,
d) posjedovanje specifičnih vještina i iskustva,
e) da posjeduju ekspertizu u tehnologiji elektronskog potpisa, da su dobro upoznati sa sigurnosnim procedurama za zaposlene i sa odgovornostima u domenu sigurnosti, kao i da imaju odgovarajuća iskustva u primjeni sigurnih informacionih sistema i procjeni rizika.
(2) Ovjerilac je dužan osigurati slijedeće sigurnosne funkcije u ovjeriocu za:
a) glavnog administratora sigurnosti - sveukupnu odgovornost za administriranje i implementaciju sigurnosnih funkcija i procedura, kao i upravljanje aktivnostima na dodatnom unapređenju poslova generiranja, opoziva i suspenzije kvalificiranih potvrda,
b) sistem administratore - autoriziranu odgovornost za instalaciju, konfiguriranje i održavanje sigurnih sistema ovjerioca za registraciju korisnika, generiranje kvalificiranih potvrda, osiguranje sredstava za formiranje sigurnog elektronskog potpisa za korisnike i upravljanje opozivom kvalificiranih potvrda,
c) sistem operatore - odgovornost za rad sigurnih sistema ovjerioca u tekućem radu na dnevnom nivou i autoriziranu odgovornost za implementaciju sistema za formiranje rezervnih kopija i procedure oporavka,
d) sistem evidentičare - autoriziranu odgovornost za pregledanje i održavanje arhiva i log fajlova sigurnih sistema ovjerioca;
(3) Odgovorno lice u ovjeriocu, vršiteljima poslova iz stava (2) ovog člana, posebnim aktom utvrđuje sigurnosne funkcije.
(4) U opisu svakog radnog mjesta u ovjeriocu, uloga i stepen sigurnosti utvrđene u općim pravilima, moraju biti jasno i precizno navedene, sa naglaskom na stepen povjerljivosti.
(5) Zaposleni u ovjeriocu koji imaju određen stepen sigurnosne funkcije ne smiju biti u sukobu interesa koji mogu utjecati na nepristrasnost rada ovjerioca.
(6) Sigurnosne funkcije ne mogu se dodijeliti licu koje je osuđivano za radnje koje su u vezi sa poslovima koje obavljaju kod ovjerioca. Pristup sigurnosnim funkcijama osigurava se po okončanju propisanih provjera.
POGLAVLJE V - Pouzdani i sigurni kriptografski sistemi
Član 19.
(Korištenje sigurnih sistema)
Ovjerilac koristi sigurne sisteme i proizvode koji su zaštićeni od neovlaštenih modifikacija.
Član 20.
(Analiza rizika)
Ovjerilac vrši analizu rizika kojom identificira kritične servise koji zahtijevaju korištenje sigurnih sistema i visoke nivoe sigurnosti:
a) prije početka obavljanja usluga certifikacije,
b) tokom operativnog rada po potrebi, a najmanje svakih šest mjeseci.
Član 21.
(Sigurno i korektno funkcioniranje sistema)
Ovjerilac osigurava sigurno i korektno funkcioniranje svojih sistema, sa minimalnim rizikom od kvarova, a naročito:
a) zaštitu integriteta sistema ovjerioca i informacija od virusa, malicioznog i neautoriziranog softvera;
b) minimalan rizik od štete uslijed mogućih incidenata korištenjem procedura izvještavanja, brzim i koordiniranim reagiranjem na sigurnosne incidente u cilju smanjenja utjecaja sigurnosnih upada;
c) sigurno korištenje memorijskih medija u skladu sa unaprijed specificiranim šemama klasifikacije informacija. Mediji koji nisu u operativnom radu, sigurnosno osjetljive podatke moraju sigurno arhivirani;
d) uspostaviti i implementirati procedure za sve sigurne i administrativne funkcije koje imaju utjecaj na pružanje usluga certifikacije. Odgovorno lice ovjerioca je odgovorno za planiranje i efikasnu implementaciju općih pravila;
e) stalnim nadzorom tekućih i planiranih potreba za kapacitetom sistema ovjerioca radi osiguranja adekvatne procesne snage i memorijskih kapaciteta.
Član 22.
(Asimetrični ključevi)
(1) Asimetrični ključevi mogu biti javni i privatni;
(2) Ovjerilac osigurava da se njegovi asimetrični ključevi generiraju u strogo kontroliranim i sigurnim uvjetima, a naročito da se:
a) generiranje asimetričnih ključeva vrši u fizički zaštićenom okruženju od strane i uz minimalan broj autoriziranih zaposlenih (najmanje dva zaposlena lica) za izvršavanje ove funkcije a prema zahtjevima i procedurama definiranim u praktičnim pravilima;
b) generiranje asimetričnih ključeva vrši u sredstvu koje:
1) zadovoljava zahtjeve iz standarda FIPS PUB 140-2 nivo 3 i viši ili
2) CEN Workshop Agreement (CWA) 14169: "Secure Signature-Creation Device (EAL 4+)" ili
3) zadovoljava zahtjeve iz standarda CEN Workshop Agreement 14167-3 "Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 3: Cryptographic Modules for CSP Key Generation Services - Protection Profile (CMCKG-PP)";
(3) Rezervne kopije privatnih ključeva za formiranje sigurnog elektronskog potpisa kvalificiranih potvrda imaju isti ili viši nivo sigurnosnih kontrola u odnosu na ključeve koji se operativno koriste.
(4) Ovjerilac osigurava da su izdate kvalificirane potvrde potpisane sigurnim elektronskim potpisom ovjerioca.
Član 23.
(Zaštita tajnosti i integriteta)
Ovjerilac osigurava zaštitu tajnosti i integritet privatnih ključeva, a naročito:
a) čuvanje i korištenje privatnog ključa za formiranje sigurnog elektronskog potpisa u sigurnom kriptografskom uređaju koji:
1) zadovoljava zahtjeve iz standarda FIPS PUB 140-2 nivo 3 i viši ili
2) CEN Workshop Agreement (CWA) 14169: "Secure Signature-Creation Device (EAL 4+)" ili
3) zadovoljava zahtjeve iz standarda CEN Workshop Agreement 14167-3 "Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures - Part 3: Cryptographic Modules for CSP Key Generation Services - Protection Profile (CMCKG-PP)";
b) da su dijelovi za aktivaciju privatnog ključa ovjerioca, kada se nalaze izvan kriptografskog uređaja šifrovani korištenjem simetričnog algoritma i dužine ključa, i omogućavaju pouzdanu odbranu od kriptoanalitičkih napada;
c) čuvanje dijelova za aktivaciju privatnog ključa, uz osiguranje rezervnih kopija tih dijelova, i aktivacija koju vrše zaposleni koji imaju sigurnosne funkcije, uz korištenje najmanje dvostruke kontrole u fizički osiguranom okruženju;
d) da se mjerama logičke kontrole pristupa onemogući neovlašteno aktiviranje kriptografskog uređaja sa privatnim ključem ovjerioca.
Član 24.
(Verifikacija sigurnog elektronskog potpisa)
Ovjerilac osigurava da njegov javni ključ kojim se verificira sigurni elektronski potpis kvalificiranih potvrda bude raspoloživ svim korisnicima i drugim zainteresiranim stranama na način kojim se osigurava autentičnost i integritet javnog ključa.
Član 25.
(Javni ključ)
Ovjerilac dostavlja svoj javni ključ i lokaciju liste opozvanih potvrda korisnicima i drugim zainteresiranim stranama na siguran način u obliku kvalificirane potvrde ili liste opozvanih potvrda.
Član 26.
(Korištenje privatnog ključa)
(1) Ovjerilac koristi svoj privatni ključ u skladu sa općim i posebnim pravilima i osigurava:
a) da se koristi isključivo za formiranje sigurnog elektronskog potpisa kvalificiranih potvrda, kao i sigurnog elektronskog potpisa liste opozvanih potvrda;
b) da se koristi samo u okviru fizički zaštićenih prostorija ovjerioca.
(2) Ovjerilac osigurava da se njegovi privatni ključevi ne koriste nakon isteka njihovog životnog ciklusa, u skladu sa općim i posebnim pravilima.
(3) Privatni ključevi, iz stava (2) ovog člana, uništavaju se na način kojim se osigurava da isti ne može biti ponovo formiran.
Član 27.
(Sigurnost kriptografskih uređaja)
Ovjerilac osigurava sigurnost kriptografskih uređaja koji se koriste za generiranje i čuvanje ključeva i formiranje sigurnog elektronskog potpisa tokom životnog ciklusa uređaja, u skladu sa posebnim pravilima, a naročito da:
a) kriptografski uređaj nije kompromitiran tokom transporta;
b) kriptografski uređaj nije kompromitiran za vrijeme čuvanja kod ovjerioca;
c) procedure instalacije aktivacije, kreiranja rezervnih kopija i ponovnog formiranja privatnog ključa u kriptografskom uređaju vrši se u prisustvu najmanje dva zaposlena kojima je dodijeljena sigurnosna funkcija;
d) ispravnost funkcioniranja kriptografskog uređaja;
e) da se privatni ključevi ovjerioca čuvani u kriptografskom uređaju uništavaju nakon kraja životnog ciklusa ključeva ili uređaja.
POGLAVLJE VI - Zaštita potvrda i tajnosti generiranih ključeva
Član 28.
(Proces generiranja kvalificiranih potvrda)
Ovjerilac osigurava siguran proces generiranja kvalificiranih potvrda radi osiguranja njihove autentičnosti i integriteta.
Član 29.
(Ostale obaveze ovjerioca)
Ovjerilac osigurava:
a) da se kvalificirane potvrde generiraju u skladu sa formatom definiranim u dokumentima ETSI TS 101 862, RFC 3739, RFC 3280 i ETSI TS 102 280;
b) da je procedura generiranja kvalificirane potvrde sigurno povezana sa odgovarajućim procedurama registracije korisnika, obnavljanja potvrda uz zadržavanje postojećeg ili generiranje novog para ključeva;
c) u slučaju da ovjerilac generira korisnikove ključeve osigurava:
1) da je procedura generiranja kvalificirane potvrde sigurno povezana sa procedurom generiranja asimetričnog para ključeva od strane ovjerioca,
2) da je privatni ključ, odnosno sredstvo za formiranje sigurnog elektronskog potpisa, sigurno dostavljeno do registriranog korisnika, a da se aktivacioni kod sredstva za formiranje sigurnog elektronskog potpisa ovlaštenom licu dostavi na siguran način drugim putem;
d) jedinstvenost dodijeljenog imena korisniku u okviru domena ovjerioca;
e) tajnost i integritet registracionih podataka, i to posebno u slučajevima razmjene podataka sa korisnikom ili u slučaju razmjene informacija između distribuiranih komponenti ovjerioca;
f) verifikaciju dostavljenih registracionih podataka.
Član 30.
(Obnavljanje i izdavanje nove kvalificirane potvrdu)
Ovjerilac osigurava da se na zahtjev korisnika ranije opozvana kvalificirana potvrda obnavlja ili izdaje nova ukoliko su isti kompletni, tačni i autorizirani.
Član 31.
(Zahtjevi za obnavljanje i izdavanje nove kvalificirane potvrde)
(1) Na zahtjev za obnavljanjem potvrda, ovjerilac unosi ažurirane informacije o korisniku i sve druge izmjene koje su prethodno verificirane na isti način kao i u postupku registracije korisnika, u skladu sa čl. 15. i 16. ovog Pravilnika.
(2) Ovjerilac će izdati novu kvalifikovanu potvrdu koristeći prethodno certificirani javni ključ korisnika samo ako je njegova kriptografska sigurnost još uvijek dovoljna za predviđeni novi životni ciklus potvrde i ako ne postoje indikacije da je korisnikov privatni ključ kompromitiran.
POGLAVLJE VII - Odgovornost i osiguranje
Član 32.
(Odgovornost ovjeriocu u vezi certifikacionih servisa)
Ovjerilac je odgovoran da su svi certifikacioni servisi navedeni u politici certificiranja u skladu sa praktičnim pravilima.
Član 33.
(Pružanje usluga certificiranja)
(1) Pružanje usluga certificiranja regulira se posebnim ugovorom između ovjerioca i korisnika.
(2) Ugovorom iz stava (1) ovog člana uređuje se slijedeće:
a) obaveza dostave tačnih i kompletnih informacija ovjeriocu u skladu sa procedurom registracije definiranom u politici certifikacije;
b) korištenje privatnog ključa za formiranje sigurnog elektronskog potpisa;
c) način pristupa svom privatnom ključu;
d) koristi kvalifikovanu potvrdu samo uz siguran elektronski potpis koji je formiran sredstvima za formiranje sigurnog elektronskog potpisa;
e) ukoliko zahtijeva kvalificirana potvrda od ovjerioca koja ispunjava uvjete iz Zakona o elektronskom potpisu i ovog Pravilnika, generira par ključeva za formiranje i provjeru sigurnog elektronskog potpisa u sredstvu za formiranje sigurnog elektronskog potpisa koje je u potpunosti pod njegovom kontrolom;
f) odmah obavještenje ovjerioca ako prije isteka važnosti potvrde koji je naznačen u samoj potvrdi:
1) korisnikov privatni ključ se izgubi, ukrade ili nastupi osnovana sumnja da je kompromitiran,
2) prestane kontrola nad korištenjem korisnikovog privatnog ključa iz razloga kompromitiranja aktivacionih podataka (PIN kod ili lozinka) za sredstvo za formiranje sigurnog elektronskog potpisa ili drugih razloga,
3) ustanovi netačnost ili izmjenu sadržaja kvalificirane potvrde;
g) prekine korištenje svog privatnog ključa ukoliko postoji osnovana sumnja u kompromitaciju ključa ili kontrolu nad aktivacionim podacima za sredstvo za formiranje sigurnog elektronskog potpisa.
Član 34.
(Obaveze zainteresiranih strana)
U slučaju suspenzije ili opoziva kvalificirane potvrde, korisnik provjerava statusne informacije u vezi suspenzije ili opoziva potvrde koje je ovjerilac javno objavio u skladu sa općim pravilima, uvažavajući sva ograničenja u korištenju kvalifikacijske potvrde koja su naznačena u samoj potvrdi ili objavljena u općim pravilima.
Član 35.
(Finansijska sposobnost ovjerioca)
(1) Finansijska sredstva ovjerioca potrebna za obavljanje registrirane djelatnosti se prijavljuju i dokumentiraju Nadzornom organu, zajedno sa prijavom otpočinjanja djelatnosti.
(2) Ovjerioci koji izdaju kvalificione potvrde ili stavljaju na raspolaganje sigurne elektronske postupke izrade potpisa, moraju posjedovati osnovni kapital u iznosu od najmanje 600.000,00 KM.
(3) Ovjerioci koji izdaju kvalificirane potvrde ili stavljaju na raspolaganje sigurne elektronske postupke izrade potpisa, moraju osim toga, istovremeno sa prijavom otpočinjanja svoje djelatnosti, dokazati Nadzornom organu da su zaključili osiguranje od odgovornosti sa minimalnom sumom osiguranja od 1.500.000,00 KM, koje pokriva najmanje tri osiguravajuća slučaja u godini.
(4) Od obaveza iz st. (1) i (2) ovog člana su oslobođeni ovjerioci koji su zakonom uspostavljeni kao organi državne uprave u Bosni i Hercegovini.
POGLAVLJE VIII - Čuvanje podataka
Član 36.
(Čuvanje podataka)
(1) Ovjerilac osigurava trajno čuvanje svih relevantnih podataka koje se tiču kvalificiranih potvrda.
(2) U vezi sa stavom (1) ovog člana, ovjerilac osigurava:
a) tajnost i integritet tekućih i arhiviranih zapisa o kvalificiranim potvrdama;
b) kompletno i pouzdano arhiviranje podataka o kvalificiranim potvrdama u skladu sa općim pravilima;
c) da su zapisi u vezi kvalificiranih potvrda, kao i registracione i druge podatke o korisniku, raspoloživi za potrebe pravnih poslova kao dokaz izvršene certifikacije;
d) pouzdano arhiviranje tačnog vremena značajnih događaja u ovjeriocu;
e) da se podaci u vezi kvalificiranih potvrda čuvaju onoliko vremena koliko je potrebno da se koriste u pravnim poslovima vezanim za elektronske potpise;
f) evidentiranje svih događaja na način da se ne mogu lako obrisati ili uništiti (izuzev u cilju prijenosa na dugotrajne medije za čuvanje) u okviru vremenskog perioda u kome se moraju čuvati;
g) dokumentiranje specifičnih događaja i podataka koji treba da se evidentiraju;
h) evidentiranje svih događaja koji se odnose na registraciju korisnika, uključujući i zahtjeve za obnavljanjem potvrda, a naročito:
1) tip identifikacionog dokumenta koji je prezentiran od strane korisnika,
2) jedinstveni identifikacioni podatak o korisniku preuzet iz identifikacionog dokumenta,
3) mjesto čuvanja kopija aplikativnih i identifikacionih dokumenata, uključujući i potpisan Ugovor sa korisnikom,
4) specifične informacije iz Ugovora sa korisnikom,
5) identitet službenika ovjerioca koji je izvršio registraciju korisnika,
6) podatke o metodi koja je korištena za provjeru važenja identifikacionih dokumenata,
i) ime ovjerioca koje je primilo registracione informacije;
j) zaštitu privatnosti podataka korisnika i evidentiranje svih događaja u vezi sa životnim ciklusom ključeva ovjerioca;
k) evidentiranje svih događaja u vezi sa životnim ciklusom kvalificiranih potvrda i ključeva kojima upravlja ovjerilac, uključujući i korisničke ključeve ako su generirani u ovjeriocu;
l) evidentiranje svih događaja koji se odnose na primjenu sredstava za formiranje sigurnog elektronskog potpisa;
m) da se svi zahtjevi i izvještaji koji se odnose na proceduru opoziva potvrda evidentiraju, uključujući i sve odgovarajuće aktivnosti.
Član 37.
(Postupanje ovjerioca u slučaju prestanka rada)
Ovjerilac osigurava da u slučaju prestanka rada korisnik pretrpi minimalnu moguću štetu tako što će na propisan način čuvati podatake kao dokaz izvršene usluge, a naročito:
a) prije prestanka obavljanja djelatnosti, izvršava slijedeće aktivnosti:
1) informira sve korisnike o prestanku rada,
2) uništava, ili potpuno onemogućava korištenje, svojih privatnih ključeva koji su korišteni za formiranje sigurnog elektronskog potpisa kvalificiranih potvrda;
b) osigurava neophodna finansijska sredstva za realizaciju zahtjeva iz tačke a) ovog stava;
c) općim pravilima definira proceduru prestanka rada, koja obuhvata:
1) obavještavanje korisnika,
2) eventualni prijenos obaveza drugim ovjeriocima,
3) proceduru opoziva izdatih kvalificiranih potvrda kojima nije istekao rok važnosti, i prijenos listi opozvanih potvrda drugom ovjeriocu.
POGLAVLJE IX - Osiguranje uvjeta za korisnike za koje se generiraju podaci za formiranje sigurnog elektronskog potpisa
Član 38.
(Sredstvo za formiranje sigurnog elektronskog potpisa)
Ovjerilac može, uz usluge iz člana 4. ovog Pravilnika, a u skladu sa svojim općim i posebnim pravilima, da osigura i sredstvo za formiranje sigurnog elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN kod) za aktivaciju sredstva, kao i njihovu sigurnu distribuciju do korisnika.
Član 39.
(Ključevi korisnika)
Ovjerilac osigurava da su ključevi korisnika koje on generira, generirani sigurno i da je osigurana tajnost privatnog ključa korisnika sve do njegove dostave korisniku i da pri isporuci samo korisnik ima pristup svom privatnom ključu.
Član 40.
(Asimetrični par korisničkih ključeva)
Ovjerilac osigurava da:
a) se asimetrični par korisničkih ključeva generira korištenjem algoritma koji je propisan da zadovolji zahtjeve koji se primjenjuju za sigurne elektronske potpise;
b) su asimetrični ključevi korisnika propisane dužine i korišteni u propisanom asimetričnom kriptografskom algoritmu u cilju da se zadovolje propisani zahtjevi za implementacijom sigurnog elektronskog potpisa.
Član 41.
(Uvjeti sigurnosti sredstava za formiranje sigurnog elektronskog potpisa)
Ukoliko ovjerilac osigura sredstva za formiranje sigurnog elektronskog potpisa za korisnike, to čini na siguran način a naročito osigurava da:
a) prijem sredstva za formiranje sigurnog elektronskog potpisa mora biti sigurno kontroliran od strane ovjerioca;
b) sredstva za formiranje sigurnog elektronskog potpisa moraju biti sigurno čuvana i distribuirana;
c) deaktiviranje i reaktiviranje sredstava za formiranje sigurnog elektronskog potpisa mora biti sigurno kontrolirano od strane ovjerioca;
d) ukoliko sredstvo za formiranje sigurnog elektronskog potpisa ima pridružene aktivacione podatke (PIN kod ili lozinka) isti mora biti sigurno pripremljen i šalju odvojeno u odnosu na sredstvo za formiranje sigurnog elektronskog potpisa, u različito vrijeme ili na različit način.
Član 42.
(Tajnost identifikacionih podataka)
(1) Ovjerilac koji izdaje kvalificirane potvrde i koji osigurava sredstvo za formiranje sigurnog elektronskog potpisa (engl. SSCD: Secure Signature - Creation Device) korisnicima garantira tajnost identifikacionih podataka (PIN kod, lozinka), nakon što se ugrade u ista.
(2) Ovlašteno lice ovjerioca kvalificiranu potvrdu, uz osiguranje SSCD korisnicima, kvalificiranu potvrdu uručuje lično korisniku uz svojeručni potpis korisnika o uručenju iste ili istu dostavlja u elektronskom obliku sigurnim elektronskim potpisom datog korisnika.
(3) Kvalificirana potvrda iz stava (1) ovog člana se verificira i stavlja na raspolaganje trećim licima tek nakon potvrde prijema SSCD uređaja i odgovarajućih identifikacionih podataka, uz dopuštenje korisnika.
POGLAVLJE X - Fizička zaštita
Član 43.
(Kontrola fizičkog pristupa)
Ovjerilac osigurava kontrolu fizičkog pristupa svojim sigurnosno kritičnim resursima i minimalan rizik u pristupu svojim ključnim elementima sistema.
Član 44.
(Mjere koje preduzima ovjerilac)
Ovjerilac osigurava da:
a) se fizički pristup prostorijama u kojima se obavlja generiranje kvalificiranih potvrda, prijem sredstava za formiranje sigurnog elektronskog potpisa i upravljanje procedurom opoziva potvrda, ograniči samo na pouzdano autorizirana lica;
b) su implementirane neophodne mjere u cilju izbjegavanja gubitaka, oštećenja ili kompromitiranja ključnih resursa i eliminiranje mogućnosti prekida poslovnih aktivnosti;
c) se implementiraju odgovarajuće mjere za sprječavanje kompromitiranja ili neovlaštenog preuzimanja informacija i uređaja za procesiranje informacija;
d) su prostorije u kojima se vrši generiranje kvalificiranih potvrda, prijem sredstava za formiranje sigurnog elektronskog potpisa i upravljanje opozivom, takve da se operativni rad u njima odvija u okruženju koje osigurava fizičku zaštitu certifikacionih servisa i resursa u slučaju zloupotrebe prilikom neautoriziranog pristupa sistemu i podacima;
e) je fizička zaštita uspostavljena kreiranjem jasno definiranih sigurnosnih fizičkih barijera kojima se štite procesi generiranja kvalificiranih potvrda, osiguranje sredstava za formiranje sigurnog elektronskog potpisa i upravljanje opozivom;
f) su implementirane odgovarajuće fizičke mjere i kontrole sigurnosnog okruženja u cilju zaštite prostorija i sistemskih elemenata ovjerioca;
g) su implementirane odgovarajuće mjere u cilju zaštite uređaja, informacija, memorijskih medija i softvera od otuđivanja sa lokacije bez propisne autorizacije;
h) se i druge specifične sigurnosne funkcije mogu primijeniti u okviru istog sigurnog prostora koji osigurava pristup samo autoriziranim zaposlenim licima.
Član 45.
(Osiguranje pristupa sistemu certifikacije)
Ovjerilac je dužan da pristup sistemu certifikacije ograniči isključivo na autorizirana lica, a naročito osigurava:
a) implementaciju kontrola na mrežnom nivou u cilju zaštite interne mreže ovjerioca od eksternih mrežnih domena kojima može pristupiti treća strana, uz zabranu svih protokola i pristupa koji se ne koriste u operativnom radu ovjerioca;
b) pouzdanu zaštitu osjetljivih podataka, koji uključuju i podatke o registraciji korisnika, tokom prolaska kroz dijelove mreže koji nisu sigurni;
c) efikasnu i pouzdanu administraciju korisničkih pristupa (uključujući operatore, administratore i bilo koje specifične korisnike koji imaju direktan pristup sistemu) u cilju održavanja sigurnosti sistema, uključujući i upravljanje nalozima korisnika, evidentiranje i mogućnost modifikacije i zabrane pristupa;
d) strogo ograničen pristup informacijama i aplikativnim funkcijama sistema u skladu sa općim i posebnim pravilima i politikom kontrole pristupa, identificiranom u njima, kao i dovoljnu računarsko-sigurnosnu kontrolu u cilju razdvajanja sigurnosnih funkcija u sistemu koje su identificirane u općim pravilima, uključujući razdvajanje funkcija administratora sigurnosti i operatera, a rad sa korisničkim programima za upravljanje sistemom mora biti posebno ograničen i strogo kontroliran;
e) pouzdanu identifikaciju i autentikaciju zaposlenih kod ovjerioca prije korištenja kritičnih operacija vezanih za procedure upravljanja potvrdama;
f) evidentiranje svih aktivnosti zaposlenih kod ovjerioca na osnovu odgovarajućih korisničkih naloga i log fajlova, koji su potpisani sigurnim elektronskim potpisom;
g) pouzdanu zaštitu sigurnosno osetljivih podataka, koji uključuju i registracione podatke korisnika, od neautoriziranog pristupa prethodno obrisanim ili arhiviranim podacima;
h) da se lokalne fizičke mrežne komponente čuvaju u fizički zaštićenom okruženju i da se njihova konfiguracija periodično kontrolira u cilju ispitivanja usklađenosti sa zahtjevima specificiranim u općim i posebnim pravilima;
i) stalno nadziranje i alarmiranje koristeći sisteme za detekciju napada i nadziranje kontrole pristupa i alarma u cilju pouzdane detekcije, registracije i reakcije na neautoriziran ili neregularan pokušaj pristupa resursima koji se koriste za pružanje usluga certifikacije;
j) da aplikacija za distribuciju potvrda primijenjuje sistem logičke kontrole pristupa u cilju sprječavanja pokušaja dodavanja ili brisanja odgovarajućih potvrda i izmjene drugih pridruženih informacija;
k) da aplikacija za dobijanje statusa opoziva potvrda primjenjuje sistem logičke kontrole pristupa u cilju sprječavanja pokušaja izmjene informacija o statusu opoziva potvrda.
POGLAVLJE XI - Informacije o uvjetima izdavanja i korištenja potvrda
Član 46.
(Raspoloživost informacije)
(1) Ovjerilac osigurava da informacije o uvjetima izdavanja i korištenja kvalificiranih potvrda budu raspoložive korisnicima i drugim zainteresiranim stranama.
(2) Raspoloživost informacija iz stava (1) ovog člana osigurava se korištenjem jednostavnih vidova komunikacije (Internet i sl.) sa osiguranim integritetom tokom vremena, da se mogu prenositi elektronskim putem i da su prikazane na potpuno razumljiv način.
Član 47.
(Način osiguranja raspoloživosti informacija)
Ovjerilac osigurava raspoloživost informacija i podataka o svom poslovanju, i to:
a) opća pravila ovjerioca koja su trenutno važeća;
b) ograničenja u korištenju općih pravila;
c) obaveze korisnika;
d) informacije o načinu provjere važnosti kvalificiranih potvrda, uključujući i zahtjeve za provjeru statusa opoziva potvrda;
e) ograničenja odgovornosti koja uključuju slučajeve za koje ovjerilac prihvata ili odbija odgovornost;
f) vremenski period čuvanja registracionih informacija korisnika;
g) vremenski period čuvanja log fajlova za evidentiranje;
h) proceduru u slučaju podnošenja žalbi;
i) proceduru u slučaju spora;
XII - Upravljanje potvrdama
Član 48.
(Uvid u kvalificiranu potvrdu)
Ovjerilac osigurava uvid u status kvalificirane potvrde svim korisnicima i zainteresiranim stranama bez uvida u sadržaj iste.
Član 49.
(Raspoloživost podataka iz kvalificirane potvrde)
(1) Ovjerilac osigurava:
a) da je kvalificirana potvrda raspoloživa korisniku kojem je izdata;
b) da je kvalificirana potvrda raspoloživa trećim licima samo po odobrenju korisnika, a u skladu sa općim pravilima ovjerioca;
c) jednostavnu identifikaciju informacija o uvjetima izdavanja i korištenja kvalificiranih potvrda svim zainteresiranim stranama u sistemu;
d) da su informacije navedene pod tač. b) i c) ovog stava raspoložive 24 časa na dan, sedam dana u sedmici;
(2) U slučaju pada sistema ili djelimičnog gubitka mogućnosti za osiguranje servisa, ovjerilac je obavezan preduzeti sve raspoložive mjere u cilju aktiviranja informacionog servisa, najkasnije do isteka roka predviđenog u općim pravilima.
POGLAVLJE XIII - Provjera ispunjenosti uvjeta za izdavanje kvalificiranih potvrda
Član 50.
(Provjera ispunjenosti uvjeta)
Provjeru ispunjenosti uvjeta za izdavanje kvalificiranih potvrda vrši Nadzorni organ u postupku razmatranja zahtjeva ovjerioca za upis u Registar ovjerilaca.
Član 51.
(Ispunjavanje uvjeta)
Provjera ispunjenosti uvjeta za izdavanje kvalificiranih potvrda obuhvata:
a) provjeru općih pravila i posebnih pravila rada ovjerioca i njihove usklađenosti sa Zakonom i podzakonskim aktima;
b) provjeru atesta i certifikacije tehničkih i sigurnosnih komponenata koje koristi ovjerilac za generiranje javnih i privatnih ključeva i izdavanje kvalificiranih potvrda.
Član 52.
(Provjera operativnog rada ovjerioca)
Provjera operativnog rada ovjerioca obuhvata:
a) proceduru registracije korisnika kome se izdaje kvalificirana potvrda;
b) proceduru prijema zahtjeva za izdavanjem kvalificirane potvrde u registracionom autoritetu;
c) proceduru dostavljanja zahtjeva do ovjerioca;
d) proceduru generiranja kvalificirane potvrde;
e) korištenje sigurnih sistema za čuvanje podataka za generiranje kvalificiranih potvrda;
f) korištenje sigurnih hardverskih sredstava za formiranje sigurnog elektronskog potpisa (hardverski moduli zaštite (HSM - Hardware Security Module));
g) proceduru dostavljanja kvalifikovane potvrde, uređaja za generiranje elektronskog potpisa i identifikacionih podataka korisnicima;
h) proceduru opoziva potvrde;
i) proceduru obnavljanja potvrde;
j) proceduru suspenzije potvrde;
k) način objavljivanja liste opozvanih i suspendiranih potvrda;
l) sisteme fizičke kontrole pristupa u prostorije ovjerioca;
m) sisteme logičke kontrole pristupa računarskim resursima ovjerioca;
n) sistem za javno objavljivanje osnovnih informacija o pružanju usluga certifikacije, kao i općih pravila rada ovjerioca.
Član 53.
(Provjera tehničkih i sigurnosnih komponenti)
Provjera tehničkih i sigurnosnih komponenti koje koristi ovjerilac obuhvata:
a) realizaciju sistemskih zahtjeva sigurnosti;
b) izdavanje kvalificiranih potvrda primjenom sigurnog elektronskog potpisa;
c) sigurno generiranje ključeva ovjerioca.
Član 54.
(Operativni rad ovjerioca)
Operativni rad ovjerioca se obavlja u skladu sa standardom CEN WorkshopAgreement 14167-1 (March 2003) "Security Requirements for Trustworthy SystemsManaging Sertificates for Electronic Signatures - Part 1: System Security Requirements".
Član 55.
(Stupanje na snagu)
Ovaj Pravilnik stupa na snagu narednog dana od dana objave u "Službenom glasniku BiH".
