Certifikácia produktov

Úrad ako ústredný orgán štátnej správy pre elektronický podpis certifikuje produkty pre kvalifikovaný elektronický podpis a kvalifikovanú elektronickú pečať.

Certifikáciou produktu sa rozumie posúdenie súladu technických zariadení a procedúr na vyhotovovanie a overovanie kvalifikovaného elektronického podpisu, kvalifikovanej elektronickej pečate a iných produktov pre elektronický podpis s bezpečnostnými požiadavkami stanovenými právnymi predpismi Slovenskej republiky, štandardmi a smernicami úradu a medzinárodnými nariadeniami, normami a štandardmi.

Účastníci certifikačného procesu:

  • žiadateľ o certifikáciu – subjekt, ktorý žiada certifikačný úrad o vykonanie posúdenia súladu produktu a následné udelenie certifikátu,
  • certifikačný úrad – Národný bezpečnostný úrad,
  • tretia strana – napr. audítor, ak je do procesu certifikácie zahrnutý nezávislý audit, certifikát nezávislého skúšobného laboratória.

Žiadosť o certifikáciu produktu

Žiadosť o certifikáciu produktu pre kvalifikovaný elektronický podpis a pečať (23.11.2016, pdf, 164 kB) sa predkladá úradu elektronickým formulárom alebo v písomnej forme na tlačive.

Žiadateľ k žiadosti o certifikáciu prikladá:

  • predmet certifikácie,
  • technickú dokumentáciu k predmetu certifikácie nevyhnutnú pre certifikáciu a bezpečnostný audit,
  • formulár aplikácií pre kvalifikovaný elektronický podpis a kvalifikovanú elektronickú pečať, ak certifikovaným produktom je aplikácia.

Odporúčané obsahové naplnenie jednotlivých príloh žiadosti o certifikáciu produktu, resp. žiadosti o predĺženie platnosti certifikátu produktu je uvedené v nasledujúcom komentári (pdf, 207 kB).

K žiadosti je nutné pripojiť samotný produkt s podporným softvérom, o ktorého certifikáciu žiadateľ žiada. Prílohy môžu byť dodané v papierovej alebo elektronickej forme. V prípade dodania príloh v elektronickej forme musia byť súbory v schválených formátoch (napríklad .pdf, .rtf) a musí byť k nim dodaný a podpísaný sprievodný list s hash odtlačkami (SHA1 alebo vyššie hash algoritmy) jednotlivých súborov. Všetky dokumentácie musia byť v slovenskom jazyku alebo k nim musí byť pripojený úradne overený preklad do slovenského jazyka (s výnimkou dokumentácie v českom jazyku).

Certifikácia produktov podlieha správnemu poplatku podľa zákona o správnych poplatkoch.

Posúdenie žiadosti

Úrad formálne preverí doručenú žiadosť o certifikáciu z hľadiska náležitosti podľa bodu 2. V prípade, že žiadosť uvedené náležitosti spĺňa, potvrdí príjem žiadosti žiadateľovi. Žiadosť sa považuje za úplnú, ak obsahuje všetky požadované náležitosti podľa bodu 2. Ak žiadosť nie je úplná, úrad vyzve žiadateľa aby ju doplnil v stanovenej lehote. Ak žiadateľ žiadosť v stanovenej lehote nedoplní na žiadosť sa neprihliada.

Nakoľko certifikačný úrad nemá akreditované skúšobné laboratórium, pre potreby certifikácie je potrebné predložiť bezpečnostné certifikáty od laboratórií alebo atestačných stredísk úradom uznaných inštitúcií alebo uistenie tretej strany (dodaním záverečnej správy bezpečnostného auditu – odborného posudku), vyhotovené nezávislým audítorom s výrokom o splnení bezpečnostných požiadaviek. Úrad je oprávnený požadovať od žiadateľa predloženie vykonaného bezpečnostného auditu. Náklady spojené s preskúmaním zhody produktu (bezpečnostný audit) v akreditovanom skúšobnom laboratóriu hradí žiadateľ.

Proces certifikácie

Zariadenia pre podpis a pečať sú určené na bezpečné generovanie a uloženie súkromných a verejných kľúčov (kľúčových párov), kvalifikovaných a systémových certifikátov a na vyhotovenie kvalifikovaného elektronického podpisu alebo vyhotovenie kvalifikovanej elektronickej pečate.

Aplikácie pre podpis a pečať sú určené na vyhotovenie a/alebo overovanie kvalifikovaného elektronického podpisu a/alebo kvalifikovanej elektronickej pečate v schválených formátoch:

  • XAdES XML Advanced Electronic Signatures,
  • CAdES CMS Advanced Electronic Signature,
  • PAdES PDF Advanced Electronic Signature.

Produkty určené pre poskytovateľov služieb sú určené pre poskytovanie certifikačných služieb vrátane správy certifikátov (najmä vydávanie, overovanie platnosti, rušenie a archivácia certifikátov) a služieb infraštruktúry verejného kľúča. Pre potreby certifikácie je potrebné predložiť bezpečnostné certifikáty od laboratórií alebo atestačných stredísk úradom uznaných inštitúcií alebo uistenie tretej strany (dodaním záverečnej správy bezpečnostného auditu – odborného posudku), vyhotovenú nezávislým audítorom s výrokom o splnení bezpečnostných požiadaviek kladených na technický prostriedok.

Pre elektronickú podateľňu sú aplikácie a zariadenia, ktoré slúžia pre prácu v automatickom režime. V procese certifikácie platia pre ne primerane požiadavky na zariadenia a aplikácie pre podpis a pečať.

Proces vydania certifikátu

Úrad v konaní rozhodne do 90 dní od doručenia úplnej žiadosti.

Ak úrad v konaní zistí zhodu zariadení na vyhotovenie kvalifikovaného elektronického podpisu, zariadení na vyhotovenie kvalifikovanej elektronickej pečate, aplikácií pre vyhotovenie a overenie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate, vydá certifikát, ktorého platnosť je päť rokov.

V prípade nepotvrdenia zhody zariadení na vyhotovenie kvalifikovaného elektronického podpisu, zariadení na vyhotovenie kvalifikovanej elektronickej pečate, aplikácií pre vyhotovenie a overenie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate, vydá úrad rozhodnutie o neudelení certifikátu.

Predĺženie platnosti certifikátu

Ak sa počas doby platnosti certifikátu vydaného úradom na základe konania o uznanie zhody nezmenili legislatívne požiadavky, úrad na základe žiadosti o predĺženie platnosti certifikátu produktu (23.11.2016, pdf, 149 kB) rozhodne v skrátenom konaní do 60 dní od doručenia úplnej žiadosti o predĺžení platnosti certifikátu o päť rokov. V žiadosti žiadateľ uvedie dodanú dokumentáciu v predchádzajúcom procese posudzovania súladu a prehlásenie o nezaznamenaní bezpečnostných incidentov, pri používaní daného produktu.

Úrad má právo zrušiť platnosť certifikátu aj pred ukončením doby platnosti, ak po jeho vydaní nastanú okolnosti, pre ktoré by certifikát nevydal.

Dátum prvého uverejnenia , posledná aktualizácia