§ 3 Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) – POSTUPY POSKYTOVATELŮ
Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) · 378/2006 Sb. · § 3 · Ostatní právní předpisy
Stručně: Paragraf 3 vyhlášky 378/2006 stanovuje, za jakých podmínek jsou systémy a postupy kvalifikovaných poskytovatelů certifikačních služeb považovány za bezpečné a dostatečné.
§ 3 POSTUPY POSKYTOVATELŮ
Systémy podle § 6 odst. 1 písm. c) a d) zákona (dále jen „důvěryhodné systémy“) jsou bezpečné a bezpečnost postupů, které tyto systémy podporují, je dostačující, pokud kvalifikovaný poskytovatel certifikačních služeb (dále jen „poskytovatel“)
a) používá důvěryhodné systémy a postupy, které splňují požadavky standardu pro tyto systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky, a požadavky českých technických norem uvedených v bodech 2 a 3 přílohy č. 1 této vyhlášky; požadavky těchto standardů a českých technických norem stanovené pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných certifikátů se použijí obdobně pro důvěryhodné systémy používané pro vydávání a správu kvalifikovaných systémových certifikátů,
b) při řízení bezpečnosti důvěryhodných systémů postupuje podle české technické normy uvedené v bodu 4 přílohy č. 1 této vyhlášky a má zaveden a uplatňuje systém řízení bezpečnosti informací podle české technické normy uvedené v bodu 5 přílohy č. 1 této vyhlášky,
c) užívá prostory, ve kterých je zajišťováno vytváření kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek, prostředků pro vytváření elektronických podpisů, zneplatňování kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů, vytváření seznamů zneplatněných certifikátů, veškeré nakládání s daty pro vytváření elektronických značek a jim odpovídajícími daty pro ověřování elektronických značek poskytovatele, nakládání s kvalifikovaným systémovým certifikátem poskytovatele a vytváření záznamů o událostech s těmito činnostmi spojených, zabezpečené obdobně jako zabezpečené oblasti kategorie „Důvěrné“ podle zvláštního právního předpisu1) a je zpracována dokumentace stanovená tímto právním předpisem,
d) má zpracovánu a průběžně aktualizuje bezpečnostní dokumentaci,
e) postupuje v souladu se zásadami a postupy uvedenými v bezpečnostní dokumentaci,
f) provádí kontrolu bezpečnostní shody podle této vyhlášky,
g) provádí audit systému řízení bezpečnosti informací podle této vyhlášky.
Paragraf 3 vyhlášky 378/2006 stanovuje, za jakých podmínek jsou systémy a postupy kvalifikovaných poskytovatelů certifikačních služeb považovány za bezpečné a dostatečné.
Co to znamená v praxi
Kvalifikovaní poskytovatelé certifikačních služeb musí používat systémy a postupy, které splňují konkrétní technické standardy a české technické normy uvedené v příloze č. 1 vyhlášky.
Musí mít zavedený a uplatňovat systém řízení bezpečnosti informací podle české technické normy a řídit bezpečnost systémů podle jiné české technické normy.
Prostory, kde probíhají klíčové činnosti (např. vytváření certifikátů, nakládání s daty), musí být zabezpečeny na úrovni "Důvěrné" podle zvláštního právního předpisu a musí k nim existovat příslušná dokumentace.
Poskytovatelé jsou povinni mít zpracovanou a průběžně aktualizovat bezpečnostní dokumentaci a postupovat podle ní. Dále musí provádět kontrolu bezpečnostní shody a audit systému řízení bezpečnosti informací.
Na co si dát pozor
Je nezbytné dodržovat konkrétní standardy a české technické normy uvedené v příloze č. 1 vyhlášky.
Zabezpečení prostor musí odpovídat kategorii "Důvěrné" dle zvláštního právního předpisu.
Bezpečnostní dokumentace musí být nejen zpracována, ale i průběžně aktualizována a poskytovatel se jí musí řídit.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.