Certyfikat podpisu osobistego

Certyfikat podpisu osobistego zamieszcza się w warstwie elektronicznej dowodu osobistego osoby, która:

1) posiada pełną zdolność do czynności prawnych i przy składaniu wniosku o wydanie dowodu osobistego wyraziła zgodę na zamieszczenie tego certyfikatu;

2) ukończyła 13 rok życia i przy składaniu wniosku o wydanie dowodu osobistego zgodę na zamieszczenie tego certyfikatu wyrazili jedno z rodziców, opiekun lub kurator tej osoby;

w przypadku osoby, o której mowa w art. 25 ust. 3 DowodyU, zgodę na zamieszczenie certyfikatu podpisu osobistego wyraża ta osoba;

3) ukończyła 13 rok życia, jeżeli osoba ta przed upływem ważności dowodu osobistego wydawanego na okres 12 miesięcy osiągnie pełną zdolność do czynności prawnych i przy składaniu wniosku o wydanie dowodu osobistego zgodę na zamieszczenie tego certyfikatu wyrazili jedno z rodziców, opiekun lub kurator tej osoby; w przypadku osoby, o której mowa w art. 25 ust. 3 DowodyU, zgodę na zamieszczenie certyfikatu podpisu osobistego wyraża ta osoba.

Zgłoszenie zawieszenia lub cofnięcia zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego odbywa się w trybie określonym w art. 32b ust. 1 pkt 3 DowodyU w drodze złożenia, w siedzibie organu dowolnej gminy wypełnionego i podpisanego własnoręcznie przez osobę dokonującą zgłoszenia formularza albo w drodze podpisania własnoręcznie przez tę osobę w siedzibie organu dowolnej gminy formularza stanowiącego wydruk sporządzony z wykorzystaniem systemu teleinformatycznego, z którego użyciem prowadzony jest Rejestr Dowodów Osobistych, przez pracownika tego organu na podstawie podanych przez osobę dokonującą zgłoszenia danych oraz danych zawartych w Rejestrze Dowodów Osobistych.

Do zgłoszenia zawieszenia lub cofnięcia zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego, dokonanego w trybie określonym w art. 32b ust. 1 pkt 1 DowodyU, przez pełnomocnika lub opiekuna lub kuratora, dołącza się sporządzone w formie dokumentu elektronicznego pełnomocnictwo szczególne do dokonania takiej czynności lub dokument pozwalający na ustalenie stosunku prawnego istniejącego między wnoszącym zgłoszenie a osobą, w której imieniu zgłoszenie jest wnoszone, a w razie niemożności ich uzyskania – odwzorowanie cyfrowe odpowiednio tego pełnomocnictwa lub dokumentu opatrzone przez osobę dokonującą zgłoszenia za pomocą kwalifikowanego podpisu elektronicznego, podpisu zaufanego albo podpisu osobistego.

Organ gminy, do którego zgłoszono zawieszenie lub cofnięcie zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego w trybie określonym w art. 32b ust. 1 pkt 1 i 3 DowodyU ustala zgodność danych posiadacza dowodu osobistego z danymi zawartymi w dostępnych rejestrach publicznych oraz z danymi zawartymi w innych dokumentach tożsamości, jeśli są dostępne.

W przypadku zawieszenia lub cofnięcia zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego w trybie określonym w art. 32b ust. 1 pkt 2 DowodyU, ustalenie zgodności danych, następuje automatycznie przez porównanie danych przekazywanych przez usługę elektroniczną, za której pomocą zgłoszono zawieszenie lub cofnięcie zawieszenia, z danymi zawartymi w Rejestrze Dowodów Osobistych.

Zgłoszenie zawieszenia lub cofnięcia zawieszenia certyfikatów

Zgłoszenie zawieszenia lub cofnięcia zawieszenia certyfikatów w warstwie elektronicznej dowodu osobistego dokonane w trybie określonym w art. 32b ust. 1 pkt 2 DowodyU powoduje automatyczne zawieszenie lub cofnięcie zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego.

Organ gminy, do którego zgłoszono zawieszenie lub cofnięcie zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego w trybie określonym w art. 32b ust. 1 pkt 1 i 3 DowodyUdokonuje rejestracji tej czynności w Rejestrze Dowodów Osobistych przez zawieszenie lub cofnięcie zawieszenia dowodu osobistego i wprowadzenie daty i czasu zawieszenia lub daty i czasu cofnięcia zawieszenia.

W przypadku zawieszenia lub cofnięcia zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego w trybie określonym w art. 32b ust. 1 pkt 2 DowodyU, zaświadczenie, o którym mowa w art. 32b ust. 2 DowodyU jest generowane automatycznie przez usługę elektroniczną, za której pomocą zgłoszono zawieszenie lub cofnięcie zawieszenia.

Dane o zawieszeniu lub cofnięciu zawieszenia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego są przekazywane z Rejestru Dowodów Osobistych do systemu teleinformatycznego, który obsługuje funkcjonalności warstwy elektronicznej dowodu osobistego, prowadzonego przez ministra właściwego do spraw wewnętrznych, zwanego dalej „ministrem”.

Unieważnienie certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego oraz dowodu osobistego z powodu upływu terminu przewidzianego na cofnięcie zawieszenia następuje w sposób automatyczny.

Unieważnienia certyfikatów zamieszczonych w warstwie elektronicznej dowodu osobistego na podstawie art. 12g ust. 1 DowodyU dokonuje minister w systemie teleinformatycznym.

Warstwa elektroniczna

Warstwę elektroniczną dowodu osobistego stanowią:

1) mikroprocesor;

2) biblioteka kryptograficzna;

3) platforma operacyjna, w tym środowisko oprogramowania Java oraz dedykowane oprogramowanie;

4) interfejs bezstykowy zgodny z normą ISO/IEC 14443 typ A lub B;

5) aplet lub aplety Java, odpowiadające za funkcjonalności określone w art. 12a DowodyU.

Warstwa elektroniczna dowodu osobistego może być zbudowana z komponentów w innej konfiguracji, które łącznie spełniają takie same wymagania bezpieczeństwa i poziomu uzasadnienia zaufania.

Warstwa elektroniczna dowodu osobistego wraz z dokumentacją ją opisującą stanowi łącznie przedmiot oceny w rozumieniu normy PN ISO/IEC 15408 lub normy równoważnej.

Warstwa elektroniczna dowodu osobistego podlega ocenie bezpieczeństwa i certyfikacji zgodnie z wymaganiami normy PN ISO/IEC 15408 lub normy równoważnej.

Oceny bezpieczeństwa i certyfikacji dokonuje się na zgodność z profilem zabezpieczeń (ang. Protection Profile) lub na zgodność ze specyfikacją techniczną (ang. Security Target) warstwy elektronicznej dowodu osobistego.

Certyfikacji dokonuje jednostka certyfikująca, która zapewnia uznanie certyfikatu zgodnie z porozumieniami międzynarodowymi: Porozumieniem o wzajemnym respektowaniu rezultatów oceny i certyfikacji bezpiecznych produktów informatycznych – CCRA lub umową w sprawie uznawania certyfikatów Common Criteria – SOGIS-MRA.

Profil zabezpieczeń

Profil zabezpieczeń, jest dokumentem publicznie dostępnym, publikowanym przez niezależne od producenta warstwy elektronicznej jednostki zajmujące się certyfikacją. Specyfikacja techniczna warstwy elektronicznej dowodu osobistego jest zgodna z profilem zabezpieczeń. Specyfikacja techniczna warstwy elektronicznej dowodu osobistego w części, w której opisano szczegółowy sposób realizacji wymagań bezpieczeństwa, może stanowić tajemnicę przedsiębiorstwa.

W przypadku gdy ocena bezpieczeństwa warstwy elektronicznej prowadzona jest jako ocena złożona (ang. Composite Evaluation), wymagane jest, aby specyfikacja techniczna zawierała opisy: 1) spójności polityki bezpieczeństwa produktu złożonego;

2) sposobu integracji poszczególnych komponentów tego produktu;

3) procedur dostaw poszczególnych komponentów;

4) spójności wewnętrznej projektu produktu złożonego;

5) testów funkcjonalnych produktu złożonego;

6) oceny podatności na zagrożenia.

Ocena bezpieczeństwa mikroprocesora jest dokonywana na poziomie uzasadnionego zaufania do zgodności z wymaganiami na poziomie nie niższym niż EAL5, rozszerzonym o komponenty uzasadnienia zaufania zgodnie z normą PN-ISO/IEC 14508-3 lub równoważną, obejmujące co najmniej AVA VAN.5, ALC DVS.2, ASE TSS.2.

Mikroprocesor spełnia następujące minimalne wymagania:

1) utrzymanie integralności danych użytkownika, które są przetwarzane i przechowywane w pamięci mikroprocesora;

2) utrzymanie poufności danych użytkownika, które są przetwarzane i przechowywane w pamięci mikroprocesora;

3) zapewnienie poprawności wszystkich funkcji bezpieczeństwa realizowanych przez mikroprocesor;

4) zapewnienie losowego generowania liczb w celu realizacji funkcji kryptograficznych;

5) zapewnienie ochrony przed wyciekiem informacji wynikającym zarówno z realizacji wewnętrznych operacji mikroprocesora, jak i umyślnych działań atakującego;

6) zapewnienie ochrony przed fizyczną ingerencją umożliwiającą odczytanie danych użytkownika przechowywanych w pamięci mikroprocesora;

7) zapewnienie wykrywania prób wymuszenia realizacji operacji mikroprocesora oraz przeciwdziałania takim próbom w sytuacjach, w których niezawodność i bezpieczeństwo tych operacji nie były testowane lub udowodnione;

8) zapewnienie ochrony przed fizycznymi manipulacjami wpływającymi na operacje mikroprocesora, w tym na oprogramowanie mikroprocesora, dane wykorzystywane do realizacji funkcji bezpieczeństwa oraz dane użytkownika;

9) zapewnienie ochrony przed nieuprawnionym użyciem funkcji dedykowanych do testowania mikroprocesora oraz innych komponentów, blokowanych po zakończeniu fazy testowania urządzenia;

10) zapewnienie identyfikacji mikroprocesora, tzn. umieszczenie danych inicjujących oraz danych przed personalizacją w nieulotnej pamięci mikroprocesora.