Нацбанк визначив вимоги до кваліфікованих надавачів електронних довірчих послуг у банківській системі, внесених до Довірчого списку.
Проект постанови представлений до громадського обговорення на сайті регулятора. Зауваження та пропозиції до проекту приймаються до 11 березня 2019 року на поштову або електронну адресу НБУ.
У проекті визначено організаційні умови створення кваліфікованих надавачі електронних довірчих послуг у банківській системі та учасників платіжних систем.
Постачальниками є суб'єкти банківської/учасники платіжної систем або окремі юрособи, створені виключно для надання довірчих послуг.
Функції надавача зможе виконувати окремий підрозділ, який створюється виключно для надання довірчих послуг. Також функції надавача можуть виконувати працівники наявних підрозділів.
Відомості про надавачів та кваліфіковані електронні довірчі послуги, які ним надаватимуться, вносяться до Довірчого списку.
Надавач до подання заяви про внесення до Довірчого списку:
- розробляє та погоджує свій регламент роботи із засвідчуючим центром;
- укладає з НБУ договір про надання засвідчуючим центром послуг;
- резервує кошти для забезпечення відшкодування збитків, які можуть бути завдані клієнтам, користувачам електронних довірчих послуг чи третім особам внаслідок неналежного виконання надавачем своїх зобов'язань .
Надавач зобов'язаний підтримувати розмір зарезервованих коштів у актуальному стані відповідно до розміру мінімальної заробітної плати. У разі зміни розміру мінімальної зарплати впродовж року або відшкодування збитків надавач впродовж трьох місяців приймає вичерпних заходів для відновлення розміру зарезервованих коштів (розмір внеску не може складати менше 1000 мінімальних розмірів заробітної плати).
Послуги надаються на підставі договору, який може бути як окремим, так і частиною договору про надання банківських послуг. Договір про надання довірчих послуг може бути змінений тільки за взаємною згодою сторін.
Надавач призначає працівників, що виконують функції керівника надавача, заступника керівника надавача, адміністраторів реєстрації та сертифікації, системного адміністратора та адміністратора безпеки.
Працівники постачальника повинні мати необхідні знання, досвід і кваліфікацію. Так, для системного адміністратора і адміністратора сертифікації - це вища освіта за спеціальністю у сферах IT, захисту інформації або кібербезпеки і стаж роботи за фахом не менше трьох років. Адміністратори безпеки повинні мати вищу освіту за спеціальністю в сферах захисту інформації, кібербезпеки або у сфері IT та пройти курси підвищення кваліфікації у сфері захисту інформації/кібербезпеки.
Також надавач зобов'язаний розмістити на своєму сайті наступну інформацію:
- відомості про надавача;
- сертифікати відкритих ключів надавача;
- перелік довірчих послуг, які він надає;
- дані про засоби електронного підпису або печатки;
- реєстр чинних, блокованих та скасованих сертифікатів відкритих ключів;
- відомості про обмеження під час використання кваліфікованих сертифікатів відкритих ключів, сформованих надавачем;
- інформація про порядок перевірки чинності сертифіката відкритого ключа;
- перелік актів законодавства у сфері електронних довірчих послуг.
Інформація на веб-сайті надавача повинна бути доступною для осіб з обмеженими фізичними можливостями.
Проект розроблений на виконання норм Закону України "Про електронні довірчі послуги", який набув чинності 7 листопада 2018 року.