UREDBAO BLIŽEM UREĐENJU USLOVA KOJE MORAJU DA ISPUNE ŠEME ELEKTRONSKE IDENTIFIKACIJE ZA ODREĐENE NIVOE POUZDANOSTI("Sl. glasnik RS", br. 60/2018 i 68/2024) |
Ovom uredbom bliže se uređuju uslovi koje moraju da ispune šeme elektronske identifikacije za određene nivoe pouzdanosti.
Svi pojmovi koji se koriste u ovoj uredbi u muškom rodu, obuhvataju iste pojmove u ženskom rodu.
Elektronska identifikacija je postupak korišćenja ličnih identifikacionih podataka u elektronskom obliku koji jednoznačno određuju pravno lice, fizičko lice ili fizičko lice u svojstvu registrovanog subjekta.
Kada registrovana šema elektronske identifikacije ispunjava uslove za viši nivo pouzdanosti šeme elektronske identifikacije, u tom slučaju se smatra da ispunjava i uslove za niže nivoe pouzdanosti.
Zahtev za izdavanje sredstva elektronske identifikacije
Zahtev za izdavanje sredstva elektronske identifikacije podnosi se pružaocu usluge elektronske identifikacije.
Prilikom podnošenja zahteva za izdavanje sredstva elektronske identifikacije, pružalac usluge elektronske identifikacije je u obavezi da podnosioca zahteva upozna sa:
1) načinom upotrebe sredstva elektronske identifikacije;
2) propisima i pravilima koji se odnose na korišćenje usluge elektronske identifikacije;
3) informacijama o nivou pouzdanosti šeme elektronske identifikacije za koju se podnosi zahtev;
4) rizicima od eventualne zloupotrebe odnosno neistinitog predstavljanja;
5) merama koje podnosilac zahteva treba da preduzme radi bezbednog korišćenja sredstva elektronske identifikacije.
Pružalac elektronske identifikacije dužan je da pribavi saglasnost korisnika za obradu podataka o ličnosti u okviru pružanja usluge elektronske identifikacije i u svemu postupa saglasno zakonu kojim se uređuje zaštita podataka o ličnosti.
Javne isprave na osnovu kojih se vrši provera identiteta za izdavanje sredstva elektronske identifikacije
Javne isprave na osnovu kojih se vrši provera identiteta za izdavanje sredstva elektronske identifikacije su:
1) za državljane Republike Srbije:
(1) lična karta ili
(2) putna isprava.
2) za strane državljane:
(1) strana putna isprava ili
(2) strana isprava koja može da se koristi za ulazak u Republiku Srbiju ili
(3) dozvola za privremeni boravak ili
(4) dozvola za privremeni boravak i rad stranca ili
(5) lična karta za strance ili
(6) putna isprava za izbeglice ili
(7) lična karta za lice kojem je odobreno pravo na azil ili privremena zaštita.
Provera identiteta stranih državljana može da se vrši i na osnovu drugih identifikacionih dokumenata izdatih od strane nadležnih organa Republike Srbije uz obavezno fizičko prisustvo u slučaju provere identiteta za izdavanje sredstva elektronske identifikacije srednjeg i visokog nivoa pouzdanosti.
Provera identiteta stranih državljana na osnovu strane isprave iz stava 1. tačka 2) podtačka (2) ovog člana može da se vrši u slučaju da tehničke karakteristike dokumenta ispunjavaju neophodne uslove u skladu sa propisima i nacionalnim i međunarodnim standardima.
Provera identiteta stranih državljana na osnovu isprave iz stava 1. tačka 2) podtačka (7) može se vršiti samo za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti uz obavezno fizičko prisustvo lica.
Provera identiteta za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti
Za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:
1) isprave u skladu sa članom 3a ove uredbe putem video identifikacije na daljinu ili drugim elektronskim putem;
2) javne isprave koja služi kao sredstvo identifikacije na daljinu;
3) sredstva identifikacije koje je izdato u okviru registrovane šeme istog ili višeg nivoa pouzdanosti.
U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica uz dostavljanje dokaza o ovlašćenju.
Dokaz iz stava 2. ovog člana podnosilac zahteva dostavlja pružaocu usluge elektronskim putem.
Izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti može se vršiti uz fizičko prisustvo podnosioca zahteva, ukoliko je to predviđeno internim aktima pružaoca usluge elektronske identifikacije.
Provera identiteta za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti
Za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:
1) isprave u skladu sa članom 3a ove uredbe uz fizičko prisustvo podnosioca zahteva ili putem video identifikacije na daljinu;
2) javne isprave koja služi kao sredstvo identifikacije na daljinu;
3) sredstva identifikacije koje je izdato u okviru registrovane šeme istog ili višeg nivoa pouzdanosti.
U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica, shodnom primenom stava 1. ovog člana, uz dostavljanje dokaza o ovlašćenju.
Ukoliko se provera identiteta podnosioca vrši na osnovu dokumenta iz člana 3a stav 1. tač. 1) i 2) podtač. (3)-(7) ove uredbe putem video identifikacije na daljinu pružalac elektronske identifikacije mora da izvrši proveru validnosti dokumenta i tačnost podataka iz dokumenta kod organa nadležnog za izdavanje dokumenta u skladu sa zakonom kojim se uređuju evidencije i obrada podataka u oblasti unutrašnjih poslova.
Provera identiteta za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti
Za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti provera identiteta vrši se na osnovu jednog od sledećih načina:
1) isprave u skladu sa članom 3a ove uredbe uz fizičko prisustvo podnosioca zahteva;
2) javne isprave koja služi kao sredstvo identifikacije na daljinu, u skladu sa zakonom;
3) sredstva identifikacije koje je izdato u okviru registrovane šeme visokog nivoa pouzdanosti.
U slučaju kada zahtev za izdavanje sredstva elektronske identifikacije visokog nivoa pouzdanosti podnosi pravno lice, vrši se provera identiteta ovlašćenog predstavnika pravnog lica, shodnom primenom stava 1. ovog člana, uz dostavljanje dokaza o ovlašćenju.
Provera identiteta za izdavanje sredstva elektronske identifikacije osnovnog nivoa pouzdanosti korišćenjem video identifikacije na daljinu
Pružalac usluge u postupku provere identiteta korisnika za izdavanje sredstva osnovnog nivoa pouzdanosti korišćenjem video identifikacije dužan je da preduzme sledeće mere:
1) koristi platformu za video identifikaciju koja ispunjava uslove u skladu sa ovim propisom i odgovarajućim nacionalnim i međunarodnim standardima u ovoj oblasti;
2) ispuni tehničke i bezbednosne uslove koji obezbeđuju poverenje u postupak provere identiteta;
3) postupa u skladu sa propisima koji uređuju zaštitu podataka od ličnosti;
4) prilikom provere isprave, u postupku video identifikacije, obezbedi da korisnik očita ispravu kojom se dokazuje identitet i podatke o očitavanju automatski prosledi elektronskim putem;
5) obezbedi mogućnost provere elemenata isprave kojima se dokazuje identitet (zaštitnih elemenata);
6) obezbedi da se pribavljeni dokazi u postupku identifikacije čuvaju u roku propisanim zakonom;
7) prekine postupak u slučaju da se ne može utvrditi autentičnost isprave ili identitet korisnika na način koji je propisan ovom uredbom."
Provera identiteta za izdavanje sredstva elektronske identifikacije srednjeg nivoa pouzdanosti korišćenjem video identifikacije na daljinu
Pružalac usluge u postupku provere identiteta korisnika za izdavanje sredstva srednjeg nivoa pouzdanosti korišćenjem video identifikacije dužan je da preduzme mere propisane članom 6a ove uredbe, i da, pored toga, ispuni dodatne uslove:
1) obezbedi tehničko rešenje koje omogućuje prenos slike, odnosno slike i zvuka uz visok nivo kvaliteta prenosa slike, odnosno slike i zvuka u realnom vremenu i bez prekida;
2) obezbedi unapređene bezbednosne uslove za sprovođenje postupka video identifikacije, a posebno da primeni mere koje sa značajnim pouzdanjem obezbeđuju:
(1) potpuno šifrovanje komunikacije između pružaoca usluge i korisnika (eng. end-to-end encryption) y skladu sa savremenim tehnološkim rešenjima i preporukama za ostvarivanje bezbedne komunikacije,
(2) softverski kod računarskog softvera svih tehničkih rešenja koji mora biti zaštićen od neželjenog pristupa i izmena, odnosno primena mera zaštite kao što su kontrola pristupa, digitalni potpis, enkripcija i dr.,
(3) zaštitu integriteta podataka koje računarski softver čuva lokalno i pristup podacima koji je omogućen isključivo za lica sa dozvolom za pristup,
3) obezbedi očitavanje isprava kojima se dokazuje identitet posredstvom platforme za video identifikaciju, očitavanjem dokumenta posredstvom odgovarajućeg sredstva za elektronsko očitavanje podataka ili putem automatskog očitavanja podataka isprave putem kamere korisničkog uređaja;
4) obezbedi adekvatne kadrovske kapacitete za sprovođenje postupka video identifikacije za izdavanje sredstva srednjeg nivoa pouzdanosti;
5) donese interna akta kojima se uređuju mere za smanjenje rizika od prevare u postupku provere identiteta;
6) periodično, a najmanje jednom godišnje, testira mere zaštite (testovi ranjivosti i sl.) i sačinjava izveštaje o sprovedenim testovima i preduzetim merama za otklanjanje ranjivosti;
7) po potrebi zahteva dodatne radnje od strane korisnika u cilju značajnijeg stepena poverenja u postupak provere identiteta;
8) koristi jednokratnu lozinku (one time password - OTP) odnosno token čije važenje je vremenski ograničeno i koja se korisniku dostavlja putem komunikacionog kanala koji će se koristiti za autentikaciju prilikom pružanja usluge.
(Brisano)
Izdavanje i aktivacija sredstva elektronske identifikacije
U postupku izdavanja sredstvo elektronske identifikacije isporučuje se na način koji osigurava isporuku samo licu kojem je namenjeno, odnosno korisniku sredstva.
Nakon isporuke, sredstvo elektronske identifikacije srednjeg i visokog nivoa pouzdanosti se aktivira putem aktivacionog koda koji je dostavljen podnosiocu zahteva.
Suspenzija, opoziv i ponovna aktivacija sredstva elektronske identifikacije
Sredstvo elektronske identifikacije može se suspendovati, odnosno opozvati.
Pružalac usluge elektronske identifikacije dužan je da preduzme mere u cilju sprečavanja neovlašćene suspenzije, opoziva ili ponovne aktivacije.
Sredstvo elektronske identifikacije može se ponovo izdati ako su ispunjeni uslovi za pouzdano izdavanje.
U slučaju obnove ili zamene sredstva elektronske identifikacije, potrebno je izvršiti ponovno dokazivanje i proveru identiteta na način predviđen čl. 3a-6b ove uredbe.
Autentikacioni mehanizam za šemu elektronske identifikacije osnovnog nivoa pouzdanosti
Pružalac usluga elektronske identifikacije osnovnog nivoa pouzdanosti u obavezi je da:
1) izdaje sredstvo elektronske identifikacije koje sadrži najmanje jedan element autentikacije;
2) preduzme mere koje obezbeđuju upotrebu sredstva elektronske identifikacije samo korisniku sredstava;
3) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti prilikom otkrivanja ličnih identifikacionih podataka korisnika sredstava;
4) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja.
Autentikacioni mehanizam za šemu elektronske identifikacije srednjeg nivoa pouzdanosti
Pružalac usluga elektronske identifikacije srednjeg nivoa pouzdanosti u obavezi je da:
1) izdaje sredstvo elektronske identifikacije koje sadrži najmanje dva elementa autentikacije različitih kategorija (nešto što lice zna, nešto što lice poseduje, nešto što lice jeste);
2) sredstvo iz tačke 1. ovog stava je projektovano tako da obezbeđuje mogućnost korišćenja sredstva elektronske identifikacije samo korisniku sredstava, odnosno da se može pretpostaviti da se sredstvo elektronske identifikacije upotrebljava samo pod kontrolom korisnika sredstva;
3) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti prilikom otkrivanja ličnih identifikacionih podataka putem dinamičke autentikacije;
4) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja.
Dinamička autentikacija predstavlja elektronski proces u kome se upotrebljava kriptografija ili druge tehnike, kako bi se stvorio elektronski dokaz da korisnik kontroliše ili poseduje podatke za identifikaciju, a koji se menja sa svakom autentikacijom.
Autentikacioni mehanizam za šemu elektronske identifikacije visokog nivoa pouzdanosti
Pružalac usluga elektronske identifikacije visokog nivoa pouzdanosti u obavezi je da:
1) preduzme mere koje obezbeđuju upotrebu sredstva elektronske identifikacije samo korisniku sredstva, odnosno da se može pretpostaviti da se sredstvo elektronske identifikacije upotrebljava samo pod kontrolom korisnika sredstava;
2) obezbedi pouzdanu proveru sredstva elektronske identifikacije i njihove valjanosti putem dinamičke autentikacije iz člana 11. stav 2. ove uredbe pre otkrivanja ličnih identifikacionih podataka korisnika sredstva;
3) obezbedi zaštitne kontrole za proveru sredstva elektronske identifikacije prilikom procesa autentikacije, u cilju onemogućavanja ugrožavanja mehanizma autentikacije, kao što je otkrivanje faktora autentikacije, neovlašćeni pristup, neovlašćeno presretanje i drugi načini ugrožavanja;
4) obezbedi visok novo zaštite sredstva za elektronsku identifikaciju od kopiranja, neovlašćene izmene i zloupotrebe od strane drugih lica;
5) izdaje kvalifikovano sredstvo za kreiranje elektronskog potpisa odnosno pečata koje ujedno predstavlja sredstvo identifikacije;
6) vrši autentikaciju korisnika na osnovu kvalifikovanog elektronskog potpisa odnosno kvalifikovanog elektronskog pečata korisnika koji se time identifikuje, zasnovano na sertifikatima korisnika koje je sam izdao.
Tehnički, organizacioni i bezbednosni uslovi za pružaoce usluge elektronske identifikacije
Pružalac usluge elektronske identifikacije je pravno ili fizičko lice u svojstvu registrovanog subjekta koji pruža usluge elektronske identifikacije.
Pružalac usluge elektronske identifikacije dužan je da:
1) usvoji i primenjuje Opšte uslove za pružanje usluge, Politiku pružanja usluga i Praktična pravila za pružanje usluga, u skladu sa propisima, kao i domaćim i međunarodnim standardima u oblasti elektronske identifikacije;
2) upozna korisnika sredstva sa uslovima korišćenja usluge, uključujući sva ograničenja njene upotrebe, kao i sa eventualnim naknadama za korišćenje usluge;
3) usvoji politiku zaštite privatnosti, u skladu sa propisima Republike Srbije;
4) uspostavi odgovarajuće politike i postupke koje osiguravaju korisniku sredstva pravovremeno i pouzdano informisanje o promenama uslova korišćenja usluge, odnosno politike zaštite privatnosti za određenu uslugu;
5) čuva podatke o izdavanju sredstva elektronske identifikacije, uključujući podatke vezane za proveru identiteta korisnika, najmanje deset godina po izdavanju;
6) vodi evidenciju i čuva informacije o značajnim događajima vezanim za operativni rad pružaoca i bezbednosne pretpostavke registrovane šeme elektronske identifikacije;
7) vodi evidenciju o korišćenju sredstva elektronske identifikacije i čuva podatke iz evidencije ukoliko je to neophodno za potrebe revizije, istrage u slučaju kršenja bezbednosti informacija i za potrebe zadržavanja podataka, u skladu sa zakonom;
8) obezbedi izvor tačnog vremena koji je sinhronizovan sa izvorom referentnog vremena koji odredi ministarstvo nadležno za poslove informacionog društva i pouzdano ugrađuje informaciju o tačnom vremenu u evidencije iz tač. 5), 6) i 7) ovog člana;
9) obezbedi da su njegovi zaposleni i podizvođači obučeni i kvalifikovani za poslove koji se odnose na uslugu elektronske identifikacije;
10) obezbedi adekvatan broj zaposlenih i podizvođača za primereno obavljanje usluge;
11) obezbedi neposredan nadzor i zaštitu objekata koji se upotrebljavaju za pružanje usluga, od štete uzrokovane vremenskim uslovima, neovlašćenim pristupom i drugim uzrocima koji mogu uticati na bezbednost usluge;
12) obezbedi da u objektima koji se koriste za pružanje usluge pristup područjima u kojima se nalaze ili se obrađuju lični, kriptografski ili drugi poverljivi podaci mogu imati samo ovlašćena zaposlena lica ili podizvođači;
13) dužan je da ima plan završetka rada u slučaju prestanka pružanja usluge elektronske identifikacije, kojim se obezbeđuje obaveštavanje korisnika o prestanku pružanja usluga i adekvatno čuvanja podataka;
14) obezbedi da, u cilju usklađenosti usluge sa relevantnom politikom, vrši periodične revizije kojima su obuhvaćeni svi delovi koji se odnose na isporuku usluga, i to:
(1) periodične interne revizije kod pružanja usluge elektronske identifikacije osnovnog nivoa pouzdanosti;
(2) periodične nezavisne interne ili eksterne revizije kod pružanja usluge elektronske identifikacije srednjeg nivoa pouzdanosti;
(3) periodične nezavisne eksterne revizije kod pružanja usluge elektronske identifikacije visokog nivoa pouzdanosti.
Tehničke i bezbednosne karakteristike sredstva elektronske identifikacije
Pružalac usluge elektronske identifikacije dužan je da uspostavi efikasan sistem upravljanja bezbednošću informacija u cilju upravljanja rizicima koji se odnosi na bezbednost informacija.
Pružalac usluge elektronske identifikacije srednjeg i visokog nivoa pouzdanosti dužan je da uspostavi sistem iz stava 1. ovog člana u skladu sa standardima i načelima za upravljanje rizicima koji se odnose na bezbednost informacija.
Pružalac usluge elektronske identifikacije dužan je da:
1) uspostavi odgovarajuće tehničke kontrole za upravljanje rizicima za bezbednost usluga kojima se štiti poverljivost, celovitost i dostupnost informacija koje se obrađuju;
2) obezbedi da su elektronski komunikacioni kanali koji se upotrebljavaju za razmenu ličnih ili poverljivih informacija zaštićeni od neovlašćenog pristupa, neovlašćenog presretanja, neovlašćenog korišćenja i drugih načina ugrožavanja;
3) ograniči pristup kriptografskom materijalu, ako se upotrebljava za izdavanje sredstva elektronske identifikacije i autentikaciju na ovlašćena lica i aplikacije za koje se taj pristup izričito zahteva, kao i da obezbedi da se takav materijal nikad kontinuirano ne čuva u formatu običnog nekriptovanog teksta;
4) osigura kontinuiranu bezbednost informacija, kao i da obezbedi da je sistem otporan na promene nivoa rizika, incidente i kršenje bezbednosti;
5) da obezbedi da se mediji koji sadrže lične, kriptografske ili druge poverljive informacije skladište, prenose i uništavaju na siguran način.
Pored uslova iz stava 3. ovog člana, pružaoci usluge elektronske identifikacije srednjeg i visokog nivoa pouzdanosti dužni su da poverljivi kriptografski materijal, ukoliko se upotrebljava za izdavanje sredstva elektronske identifikacije i autentikacije, zaštite od neovlašćene izmene.
Interoperabilnost šema elektronske identifikacije
U cilju obezbeđivanja interoperabilnosti šema elektronske identifikacije pružaoci usluge elektronske identifikacije moraju da ispune tehničke i organizacione uslove iz čl. 13. i 14. ove uredbe.
Pružaoci usluge elektronske identifikacije dužni su da: pouzdajućim stranama omoguće proveru identiteta putem "OAuth" protokola u skladu sa standardom RFC 6749 "The OAuth 2.0 Authorization Framework" ili putem "SAML" protokola u skladu sa standardom "OASIS Security Assertion Markup Language (SAML) v2.0", što ne isključuje mogućnost ponude dodatnih načina provere identiteta.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".