
Certifikácia služieb podľa eIDAS
eIDAS je nariadenie Európskej komisie, ktoré upravuje záležitosti bezpečnej elektronickej komunikácie a vzťahuje sa na nasledovné služby:
- Kvalifikovaná dôveryhodná služba vyhotovovania a overovania kvalifikovaných certifikátov pre elektronický podpis
- Kvalifikovaná dôveryhodná služba vyhotovovania a overovania kvalifikovaných certifikátov pre elektronickú pečať
- Kvalifikovaná dôveryhodná služba vyhotovovania a overovania kvalifikovaných certifikátov pre autentifikáciu webových sídiel
- Kvalifikovaná dôveryhodná služba validácie kvalifikovaných elektronických podpisov
- Kvalifikovaná dôveryhodná služba validácie kvalifikovaných elektronických pečatí
- Kvalifikovaná dôveryhodná služba uchovávania kvalifikovaných elektronických podpisov
- Kvalifikovaná dôveryhodná služba uchovávania kvalifikovaných elektronických pečatí
- Kvalifikovaná dôveryhodná služba vyhotovovania kvalifikovaných elektronických časových pečiatok
- Kvalifikovaná dôveryhodná elektronická doručovacia služba pre registrované zásielky
Základným podkladom pre posudzovanie služieb podľa eIDAS je publikovaná Schéma dohľadu kvalifikovaných dôveryhodných služieb, ktorú na svojom webovom sídle publikuje orgán dohľadu – NBÚ SR.
V prípade záujmu o certifikáciu dôveryhodnej služby podľa eIDAS, je postup naslednovný:
- vyplňte Žiadosť o vypracovanie cenovej ponuky podľa eIDAS (ŽOC)
- na základe vyplnenej ŽOC Vám vypracujeme návrh Cenovej ponuky (CP)
- po akceptovaní (podpísaní) CP z Vašej strany Vám pripravíme návrh zmluvy o certifikácii
- po podpísaní zmluvy o certifikácii obidvomi zmluvnými stranami táto vstupuje do platnosti a stáva sa záväznou – zmluva sa podpisuje na 2 roky (platnosť certifikátu je tiež 2 roky)
- počas 2 rokov platnosti zmluvy vykonáme 1 certifikačný audit a 1 kontrolný audit (viď nižšie)
Proces certifikácie dôveryhodnej služby podľa eIDAS má z pohľadu certifikačného orgánu tieto základné fázy:
- Prípravná fáza
- Certifikačný audit - 1. stupeň
- Certifikačný audit - 2. stupeň
- Udelenie certifikátu
Prípravná fáza
Prípravná fáza predstavuje prípravu na audit. Certifikačný organ vymenuje audítorský tím, ktorý zodpovedá za kvalitné vykonanie auditu.
Certifikačný audit - 1. stupeň Certifikačný audit 1. stupňa sa vykonáva za účelom získania dostatočných informácií a overenia, že boli zavedené základné požiadavky pre poskytovanie dôveryhodných služieb podľa eIDAS. Audítorský tím preveruje kompletnosť dokumentácie vzhľadom na požiadavky relevantných noriem a predpisov.
Certifikačný audit - 2. stupeň Certifikačný audit 2. stupňa sa uskutočňuje priamo v sídle zákazníka a jednotlivých pracoviskách, ktoré sú predmetom preverovania, podľa požiadaviek zákazníka uvedených v zmluve. Proces vykonania auditu má tieto fázy:
- prípravu (program) - vedúci audítor stanoví program s časovým harmonogramom a požiadavkami na prítomnosť jednotlivých kompetentných osôb
- realizáciu - táto fáza predstavuje samotný proces výkonu auditu
- ukončenie - audítorský tím na Záverečnom rokovaní s predstaviteľmi manažmentu certifikovanej spoločnosti zhodnotí priebeh auditu, určí termíny pre odstránenie prípadných zistených nezhôd.
- dokumentovanie – výstupným dokumentom z certifikačného auditu je Protokol o certifikačnom audite.
Udelenie certifikátu a používanie značky dôvery EÚ pre kvalifikované dôveryhodné služby
V prípade splnenia všetkých požiadaviek dôveryhodnú službu podľa eIDAS vydá riaditeľ certifikačného orgánu rozhodnutie o udelení certifikátu, na základe ktorého sa vystaví certifikát. Platnosť certifikátu je 2 roky.
Certifikovaný subjekt má právo používať značku dôvery EÚ pre kvalifikované dôveryhodné služby. Pravidlá pre používanie značky dôvery sú stanovené v zmluve o certifikácii eIDAS.
Dozorné previerky (Kontrolné audity)
Počas platnosti certifikátu vykoná certifikačný orgán jeden kontrolný audit. Kontrolné audity sa vykonávajú a dokumentujú analogickým spôsobom ako certifikačný audit. Z tohto auditu vedúci audítor vypracuje protokol z kontrolného auditu.
Postup pri sťažnostiach/odvolaniach
- Každé odvolanie alebo sťažnosť musí byť podané písomne. QSCert do 14 dní vyrozumie sťažovateľa o spôsobe riešenia sťažnosti resp. o krokoch, ktoré budú vykonané na prešetrenie sťažnosti a ich časových horizontoch.
- V prípade sťažnosti tretej strany voči organizácii poskytujúcej kvalifikované dôveryhodné služby podľa eIDAS certifikovanej certifikačným orgánom QSCert, je kontaktovaný vedúci certifikovanej organizácie, voči ktorej je sťažnosť adresovaná. Následne sa preverí opodstatnenosť a príčiny sťažnosti a v prípade potreby sa nariadi mimoriadny kontrolný audit. V prípade opodstatnenosti sťažnosti a jej závažnosti môže QSCert pristúpiť aj k pozastaveniu/odobratiu certifikátu.
- O konečnom riešení sťažnosti QSCert informuje sťažovateľa.