Certifikácia produktov

Úrad posudzuje zhodu zariadení na vyhotovenie kvalifikovaného elektronického podpisu, zariadení na vyhotovenie kvalifikovanej elektronickej pečate a aplikácií pre vyhotovenie a validovanie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate s legislatívnymi a bezpečnostnými požiadavkami. Posúdenie uvedenej zhody sa realizuje v procese certifikácie.

Zariadenia na vyhotovenie kvalifikovaného elektronického podpisu a zariadenia na vyhotovenie kvalifikovanej elektronickej pečate (QSCD) sú určené na bezpečné generovanie a uloženie súkromných a verejných kľúčov (kľúčových párov), kvalifikovaných certifikátov a na vyhotovenie kvalifikovaného elektronického podpisu alebo vyhotovenie kvalifikovanej elektronickej pečate.

Účastníkom certifikačného procesu je

  • žiadateľ o certifikáciu – subjekt, ktorý žiada certifikačný úrad o vykonanie posúdenia zhody produktu a následné udelenie certifikátu,
  • certifikačný úrad – Národný bezpečnostný úrad,
  • tretia strana – napr. audítor alebo nezávislé skúšobné laboratórium.

 Žiadosť o certifikáciu produktu

Žiadosť o certifikáciu produktu pre kvalifikovaný elektronický podpis a pečať (23.11.2016, pdf, 164 kB) sa predkladá úradu elektronickým formulárom alebo v písomnej forme na tlačive.

 Žiadateľ k žiadosti o certifikáciu prikladá:

  • predmet certifikácie,
  • technickú dokumentáciu k predmetu certifikácie nevyhnutnú pre certifikáciu:
    • formulár aplikácií pre kvalifikovaný elektronický podpis a kvalifikovanú elektronickú pečať, ak certifikovaným produktom je aplikácia,
    • profil ochrany (Protection Profile) a bezpečnostný zámer produktu alebo systému (Security Target), ak certifikovaným produktom je zariadenie pre podpis a pečať,
  •  bezpečnostný audit.

Predmet certifikácie je samotný produkt s podporným softvérom, o ktorého certifikáciu žiadateľ žiada.

Profil ochrany a bezpečnostný zámer produktu alebo systému musia byť štruktúrované dokumenty, ktorých štruktúra je určená medzinárodnou normou ISO/IEC 15408 Informačné technológie. Bezpečnostné techniky. Kritériá na hodnotenie bezpečnosti IT, časti 1 až 3 (Common Criteria).

Požiadavky na bezpečnostný audit produktu sú uvedené v časti Metodické postupy

Certifikácia produktov podlieha správnemu poplatku podľa zákona o správnych poplatkoch.

Posúdenie žiadosti

Úrad preverí doručenú žiadosť o certifikáciu z hľadiska formálnych náležitostí. Žiadosť sa považuje za úplnú, ak obsahuje všetky požadované náležitosti v zmysle zákona o dôveryhodných službách. V prípade, že žiadosť uvedené náležitosti spĺňa, úrad potvrdí žiadateľovi prijatie žiadosti a vyzve ho k zaplateniu správneho poplatku. Ak žiadosť nie je úplná, úrad vyzve žiadateľa aby ju doplnil v stanovenej lehote. Ak žiadateľ žiadosť v stanovenej lehote nedoplní na žiadosť sa neprihliada.

Proces certifikácie

Úrad posúdi zhodu predmetu certifikácie s požiadavkami podľa príslušných právnych predpisov. Proces certifikácie produktu pre elektronický podpis sa stanovuje podľa druhu produktu.

Požiadavky na jednotlivé produkty sú uvedené v časti Metodické postupy.

Proces vydania certifikátu

Úrad v konaní rozhodne do 90 dní od doručenia úplnej žiadosti.

Ak úrad v konaní zistí zhodu zariadení na vyhotovenie kvalifikovaného elektronického podpisu, zariadení na vyhotovenie kvalifikovanej elektronickej pečate, aplikácií pre vyhotovenie a validovanie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate s legislatívnymi a bezpečnostnými požiadavkami, vydá certifikát, ktorého platnosť je päť rokov.

V prípade nepotvrdenia zhody zariadení na vyhotovenie kvalifikovaného elektronického podpisu, zariadení na vyhotovenie kvalifikovanej elektronickej pečate, aplikácií pre vyhotovenie a validovanie kvalifikovaného elektronického podpisu alebo kvalifikovanej elektronickej pečate s legislatívnymi a bezpečnostnými požiadavkami, vydá úrad rozhodnutie o neudelení certifikátu.

Predĺženie platnosti certifikátu

Ak sa počas doby platnosti certifikátu vydaného úradom na základe konania o uznanie zhody nezmenili legislatívne požiadavky, úrad na základe  žiadosti o predĺženie platnosti certifikátu produktu (23.11.2016, pdf, 149 kB) rozhodne v skrátenom konaní do 60 dní od doručenia úplnej žiadosti  o predĺžení platnosti certifikátu o päť rokov. V žiadosti žiadateľ uvedie dodanú dokumentáciu  v predchádzajúcom procese posudzovania zhody a prehlásenie o nezaznamenaní bezpečnostných incidentov, pri používaní daného produktu.

Úrad má právo zrušiť platnosť certifikátu aj pred ukončením doby platnosti, ak po jeho vydaní nastanú okolnosti, pre ktoré by certifikát nevydal.

Dátum prvého uverejnenia , posledná aktualizácia