Правилник о условима за пружање услуге квалификоване електронске доставе и садржају потврде о пријему и достави електронске поруке

„Службени гласник РС“, број 99/2020

 

Предмет Правилника
Члан 1.

Овим правилником ближе се уређују услови за пружање услуге квалификоване електронске доставе и садржај потврде о пријему и достави електронске поруке коју издаје пружалац услуге квалификоване електронске доставе.

Обављање услуге квалификоване електронске доставе у складу са прописима стандардима и препорукама
Члан 2.

Пружалац услуге квалификоване електронске доставе (у даљем тексту: пружалац услуге) дужан је да пружа услугу сагласно захтевима следећих стандарда:

1) ETSI EN 319 401 – „General Policy requirements for Trust Service Providers”;

2) ETSI EN 319 521 – „Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Electronic Registered Delivery Service Providers” (у даљем тексту: EN 319 521);

3) ETSI EN 319 522 – „Electronic Signatures and Infrastructures (ESI); Electronic Registered Delivery Services” (у даљем тексту: EN 319 522), укључујући:

(1) Part 1: Framework and Architecture,

(2) Part 2: Semantic Contents,

(3) Part 3: Formats,

(4) Part 4: Bindings:

– 319 522-4-1: message delivery binding,

– 319 522-4-2: evidence and identification binding,

– 319 522-4-3: capability/requirements binding;

4) ETSI EN 119 524-1 – „Electronic Signatures and Infrastructures (ESI); Testing Conformance and Interoperability of Electronic Registered Delivery Services; Part 1: Testing conformance”;

5) ETSI EN 119 524-2 – „Electronic Signatures and Infrastructures (ESI); Testing Conformance and Interoperability of Electronic Registered Delivery Services; Part 2: Test suites for interoperability testing of Electronic Registered Delivery Service Providers”;

6) захтевима из других стандарда на који стандарди из тач. 1)–5) овог става директно и индиректно упућују, као и сагласно другим стандардима, документима и препорукама које се односе на пружање квалификованих услуга од поверења, утврђеним овим правилником и другим прописима донетим на основу Закона о електронском документу, електронској идентификацији и услугама од поверења у електронском пословању (у даљем тексту: Закон).

Примена општих одредби за пружање квалификованих услуга од поверења
Члан 3.

Пружалац услуге квалификоване електронске доставе дужан је да, у складу са прописима који уређују услове за пружање квалификованих услуга од поверења, примењује опште одредбе за пружање квалификованих услуга од поверења који се односе на:

1) обављање квалификованих услуга од поверења у складу са прописима стандардима и препорукама;

2) уговор о пружању квалификованих услуга од поверења;

3) садржај аката пружаоца услуге;

4) опште услове за пружање услуга;

5) политику пружања услуге и практична правила за пружање услуге;

6) информациону безбедност;

7) људске ресурсе;

8) осигурање од одговорности за штету насталу вршењем квалификоване услуге од поверења;

9) коришћење сигурних уређаја и производа;

10) чување релевантних информација;

11) план завршетка рада пружаоца услуге.

Политика и практична правила пружања услуге квалификоване електронске доставе
Члан 4.

Политика пружања услуге квалификоване електронске доставе дефинише захтеве које треба да испуњава услуга квалификоване електронске доставе, док практична правила пружања услуге квалификоване електронске доставе дефинишу оперативне процедуре у циљу испуњења тих захтева, тј. начин на који пружалац услуге испуњава техничке, организационе и процедуралне захтеве пословања који су одређени у политици пружања услуге квалификоване електронске доставе, сагласно Закону и прописима којима се уређују услови за пружање квалификованих услуга од поверења.

Политика пружања услуге квалификоване електронске доставе се дефинише независно од специфичног оперативног окружења пружаоца услуге, док практична правила пружања услуге квалификоване електронске доставе дају детаљан опис организационе структуре, оперативних процедура, као и физичко и рачунарско окружење пружаоца услуге, сагласно Закону и прописима којима се уређују услови за пружање квалификованих услуга од поверења.

Услови које треба да испуњавају политика и практична правила
Члан 5.

Политика пружања услуге квалификоване електронске доставе и практична правила пружања услуге квалификоване електронске доставе морају бити усклађени са одредбама Закона, одредбама прописа донетих на основу закона, као и захтевима стандарда који су тим прописима прописани да се примењују.

Политика пружања услуге квалификоване електронске доставе и практична правила пружања услуге квалификоване електронске доставе треба да испуњавају захтеве из стандарда EN 319 521, укључујући захтеве из других стандарда на које се из тог стандарда директно и индиректно упућује, а који се односе на политику и практична правила пружања услуге квалификоване електронске доставе.

Услови за пружање услуге квалификоване електронске доставе
Члан 6.

Пружалац услуге дужан је да за пружање услуге обезбеди следеће услове:

1) закључи уговор о пружању услуге квалификоване електронске доставе са корисником;

2) изврши проверу идентитета корисника приликом регистрације;

3) провери идентитет корисника, односно изврши аутентикацију и ауторизацију приликом приступа услузи квалификоване електронске доставе, на основу шеме идентификације средњег или вишег нивоа поузданости у складу са Законом;

4) врши проверу идентитета пошиљаоца пре извршене квалификоване електронске доставе;

5) врши проверу идентитета примаоца пре извршене квалификоване електронске доставе;

6) поседује податке да је садржај електронске поруке примљен, прослеђен и преузет;

7) обезбеди да електронска порука садржи све прописане елементе;

8) обезбеди да у току вршења квалификоване електронске доставе није било промене садржаја података;

9) обавести примаоца и пошиљаоца у случају измене садржаја података приликом пружања услуге квалификоване електронске доставе;

10) обезбеди да време слања, примања, прослеђивања и преузимања електронске поруке буде потврђено квалификованим електронским временским жигом;

11) обезбеди електронско чување података о извршењу квалификоване електронске доставе односно о појединачним доставама у складу са стандардом ETSI TS 119 511 – „Policy&security requirements for trust service providers providing long-term preservation of digital signatures or unsigned data using signature techniques” и стандардом ETSI TS 119 512 – „Protocols for trust service providers providing long-term preservation of digital signatures or unsigned data using signature techniques”;

12) обезбеди чување релевантних информација;

13) повеже се на Централни систем за размену порука квалификоване електронске доставе;

14) обезбеди ажуран списак корисника услуге и сервис путем кога други пружаоци услуге у оквиру Централног система за размену порука квалификоване електронске доставе извршавају проверу адресе корисника;

15) да у оквиру своје услуге омогуће пријем и слање порука и када је пошиљалац или прималац поруке корисник другог пружаоца услуге квалификоване електронске доставе;

16) да омогуће обавештавање пошиљаоца о прослеђивању и преузимању достављене електронске поруке која је извршена на платформи другог пружаоца услуге.

Провера идентитета и регистрација корисника
Члан 7.

Регистрација корисника услуге квалификоване електронске доставе врши се на захтев корисника, тако што је пружалац услуге дужан да при регистрацији корисника обезбеди:

1) да пре успостављања уговорног односа са корисником, јавно информише корисника на јасном и разумљивом језику о релевантним условима коришћења услуге квалификоване електронске доставе;

2) да се, уколико се корисник идентификује као физичко лице, утврди и провери идентитет корисника на бази исправе која на основу закона служи за утврђивање идентитета, и то:

(1) уз физичко присуство, а на основу личне карте, путне исправе, стране путне исправе, путне исправе за странце или личне карте за странце, или

(2) путем јавне исправе која служи као средство идентификације на даљину у складу са законом;

3) да се, уколико се корисник идентификује као правно лице:

(1) у складу са тачком 2) овог става утврди и провери идентитет овлашћеног лица корисника које у име корисника подноси захтев за услугу квалификоване електронске доставе;

(2) провери овлашћење на бази акта корисника којим се овлашћено лице овлашћује да у име корисника захтева услугу квалификоване електронске доставе;

(3) провери податке о кориснику као правном лицу на бази увида у податке Агенције за привредне регистре или на бази акта надлежног органа о регистрацији правног лица;

4) да се од корисника прибаве тачне и поуздане информације о физичкој адреси, или другим атрибутима, који описују како се корисник може контактирати;

5) да се са корисником закључи уговор.

Приликом регистрације корисника пружалац услуге дужан је да испуни и друге услове предвиђене прописом којим се уређују услови за пружање квалификованих услуга од поверења.

Слање електронске поруке
Члан 8.

Слање електронске поруке у оквиру услуге квалификоване електронске доставе врши се тако што пошиљалац електронску поруку шаље пружаоцу услуге са којим има закључен уговор ради слања примаоцу.

Пружалац услуге је у обавези да приликом пружања услуге квалификоване електронске доставе обавести пошиљаоца потврдом о томе да је:

1) примио поруку пошиљаоца и проследио поруку примаоцу;

2) прималац преузео достављену електронску поруку.

Уколико пошиљалац и прималац имају закључен уговор са истим пружаоцем услуге, електронска порука се прослеђује директно примаоцу.

Уколико пошиљалац и прималац немају закључен уговор са истим пружаоцем услуге, електронска порука се прослеђује пружаоцу услуге са којим прималац има закључен уговор.

Садржај потврде пријема електронске поруке од стране пружаоца услуге
Члан 9.

Потврда о пријему електронске поруке из члана 8. став 2. тачка 1) овог правилника садржи:

1) идентификациону ознаку електронске поруке коју је доделио пружалац услуге;

2) податке о пошиљаоцу и примаоцу, и то:

(1) за физичко лице: име и презиме,

(2) за правно лице: назив, матични број, односно јединствену идентификациону ознаку у складу са правном регулативом државе,

(3) адресу за електронску доставу;

3) податке који повезују потврду са садржајем електронске поруке;

4) датум и време када је пружалац услуге примио електронску поруку пошиљаоца;

5) датум и време када је електронска порука прослеђена примаоцу, односно његовом пружаоцу услуге.

Садржај потврде доставе електронске поруке примаоцу
Члан 10.

Пружалац услуге је дужан да у оквиру софтверског решења за електронску доставу обезбеди примаоцу да потврди доставу, односно пријем електронске поруке, чиме се електронска порука сматра достављеном.

Након добијања потврде о пријему електронске поруке од стране примаоца, пружалац услуге је у обавези да без одлагања о томе обавести пошиљаоца.

Потврда из става 2. овог члана мора најмање да садржи:

1) идентификациону ознаку електронске поруке коју је доделио пружалац услуге;

2) податке о пошиљаоцу и примаоцу, и то:

(1) за физичко лице: име и презиме,

(2) за правно лице: назив, матични број, односно јединствену идентификациону ознаку у складу са правном регулативом државе,

(3) адресу за електронску доставу;

3) податке који повезују потврду са садржајем електронске поруке;

4) датум и време када је прослеђена електронска порука достављена, односно преузета од стране примаоца.

Употреба напредног електронског печата
Члан 11.

Потврде из чл. 9 и 10. овог правилника пружалац услуге доставља аутоматски у електронском облику потписане напредним електронским печатом, а на захтев их може издати у електронском или папирном облику.

Напредни електронски печат из става 1. овог члана мора да испуњава услове дефинисане законом који уређује квалификоване услуге од поверења.

Чување релевантних информација
Члан 12.

Пружалац услуге је дужан да потврде из члана 8. став 2. овог правилника чува и учини доступним кориснику.

Поред потврда из става 1. овог члана, пружалац услуге је дужан да чува и:

1) податке о утврђивању и потврди идентитета корисника;

2) податке о утврђивању идентитета пошиљаоца пре извршене квалификоване електронске доставе;

3) податке о провери и утврђивању идентитета примаоца пре извршене квалификоване електронске доставе;

4) податке да је садржај електронске поруке примљен и прослеђен;

5) податке да је садржај достављене електронске поруке преузет;

6) доказе да није било промене садржаја података у току вршења квалификоване електронске доставе;

7) податке о времену слања, примања, прослеђивања и преузимања електронске поруке, који су потврђени квалификованим електронским временским жигом.

Пружалац услуге је дужан да обезбеди поверљивост, интегритет и доступност података из ст. 1. и 2. овог члана.

Подаци из ст. 1. и 2. овог члана се чувају трајно.

Људски ресурси које запошљава пружалац услуге
Члан 13.

Пружалац услуге обезбеђује неопходне људске ресурсе, односно запослене који морају да поседују експертско знање, искуство и неопходну квалификацију за услугу која се пружа, и то:

1) најмање два запослена са стеченим образовањем из области информационо-комуникационих технологија на основним академским или основним струковним студијама и радним искуством од најмање три године у области одржавања и безбедности информационих система и положен најмање један од испита: CompTIA Security+, ISC2 CISSP или SANS GSEC, као и да запослени редовно, а најмање једном годишње похађају обуке и семинаре у циљу обнављања знања о новим безбедносним претњама и актуелним безбедносним процедурама;

2) најмање два запослена са стеченим образовањем из области информационих система на основним академским студијама и пет година радног искуства у области информационих система и положен најмање један од испита: ISC2 CISSP испит или SANS GSEC, као и да запослени редовно, а најмање једном годишње похађају обуке и семинаре у циљу обнављања знања о новим безбедносним претњама и актуелним безбедносним процедурама.

Централни систем за размену порука квалификоване електронске доставе
Члан 14.

Централни систем за размену порука квалификоване електронске доставе (у даљем тексту: Централни систем) је систем који омогућава пружаоцима услуге да врше проверу адреса корисника другог пружаоца услуге, чиме се омогућава пријем и слање порука и када је пошиљалац или прималац поруке корисник другог пружаоца услуге квалификоване електронске доставе.

Пружаоци услуга су дужни да министарству надлежном за успостављање и функционисање Централног система доставе параметре за приступ сервису за проверу података о адресама својих корисника, који на упит даје информацију о постојању конкретне адресу у списку корисника пружаоца услуге.

Приступ сервису мора да функционише на принципу ауторизованог упита за проверу података о адреси корисника услуге.

Сваки пружалац услуге дужан је да другом пружаоцу услуге омогући приступ сервису за проверу података о адреси корисника, на основу ауторизованог упита.

Завршна одредба
Члан 15.

Овај правилник ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србијеˮ.

Повезани текстови

Поделите: