კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტის დამტკიცების შესახებ

კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტის დამტკიცების შესახებ საქართველოს მთავრობის დადგენილება №343 2018 წლის 28 ივნისი ქ. თბილისი კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტის დამტკიცების შესახებ მუხლი 1🔗 „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის მე-2 მუხლის  „პ.ა“ ქვეპუნქტის შესაბამისად, დამტკიცდეს კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტი. მუხლი 2🔗 „ნორმატიული აქტების შესახებ“ საქართველოს კანონის 25-ე მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის შესაბამისად, ძალადაკარგულად გამოცხადდეს „ციფრული ხელმოწერის სერტიფიკატისა და ციფრული ხელმოწერის სერტიფიკატის გამცემის მიმართ ტექნიკური რეგლამენტის დამტკიცების შესახებ“ საქართველოს მთავრობის 2009 წლის 12 მაისის №88 დადგენილება. მუხლი 3🔗 1. ეს დადგენილება, გარდა ამ დადგენილებით დამტკიცებული ტექნიკური რეგლამენტის მე-8 მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტისა, მე-3 და მე-5 პუნქტებისა, მე-11 მუხლისა, მე-12 მუხლის მე-4 პუნქტისა და მე-14 მუხლის მე-3 პუნქტისა, ამოქმედდეს გამოქვეყნებისთანავე. 2. ამ დადგენილებით დამტკიცებული ტექნიკური რეგლამენტის: ა) მე-8 მუხლის მე-5 პუნქტი, მე-11 მუხლი და მე-14 მუხლის მე-3 პუნქტი ამოქმედდეს 2018 წლის 1 ივლისიდან; ბ) მე-12 მუხლის მე-4 პუნქტი ამოქმედდეს 2019 წლის 1 ივნისიდან; გ) მე-8 მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტი და მე-3 პუნქტი ამოქმედდეს 2020 წლის 1 იანვრიდან. 3. ამ დადგენილებით დამტკიცებული ტექნიკური რეგლამენტის მე-14 მუხლის მე-2 პუნქტის „ა“ ქვეპუნქტი და მე-15 მუხლი მოქმედებს 2022 წლის 1 იანვრამდე. საქართველოს პრემიერ - მინისტრიმამუკა ბახტაძე კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტი მუხლი 1🔗. რეგულირების სფერო 1. კვალიფიციური სანდო მომსახურების მიმწოდებლისთვის სავალდებულო ტექნიკური რეგლამენტი (შემდგომში – რეგლამენტი), „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის (შემდგომში – კანონი) შესაბამისად, ადგენს კვალიფიციური სანდო მომსახურების მიმწოდებლის მიერ კანონით დადგენილ მოთხოვნებთან შესაბამისობის პირობებს და ამავე კანონის შესაბამისად განსაზღვრავს დამატებით პირობებს. 2. ამ რეგლამენტის მოთხოვნები სავალდებულოა საქართველოში მოქმედი კვალიფიციური სანდო მომსახურების მიმწოდებლებისათვის, აგრეთვე იმ პირთათვის, რომლებიც კვალიფიციური სანდო მომსახურების მიწოდების მიზნით ავტორიზაციის მოთხოვნით მიმართავენ საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედ საჯარო სამართლის იურიდიულ პირს – მონაცემთა გაცვლის სააგენტოს (შემდგომში – სააგენტო). მუხლი 2🔗. გამოყენებული ტერმინები ამ რეგლამენტში გამოყენებული ტერმინები განიმარტება „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის შესაბამისად. მუხლი 3🔗. ტექნიკური სტანდარტების გამოყენება თუ რეგლამენტში გამოყენებული საქართველოს სტანდარტი (სსტ) მიღებულია საერთაშორისო ან რეგიონული სტანდარტის საფუძველზე, თითოეულ შემთხვევაში, დასაშვებია, საქართველოს სტანდარტის ნაცვლად გამოყენებულ იქნეს შესაბამისი საერთაშორისო ან რეგიონული სტანდარტი. მუხლი 4🔗. კვალიფიციური სანდო მომსახურების მიმწოდებლის უფლებები და მოვალეობები 1. კვალიფიციური სანდო მომსახურების მიმწოდებელი უფლებამოსილია, გასწიოს ერთდროულად ერთი ან რამდენიმე კვალიფიციური სანდო მომსახურება. 2. კვალიფიციური სანდო მომსახურების მიმწოდებელი ვალდებულია, მომსახურება გასწიოს შემდეგი სტანდარტების მოთხოვნების შესაბამისად (მათ შორის, კვალიფიციური სანდო მომსახურების მიმწოდებელი უნდა აკმაყოფილებდეს სტანდარტებში მითითებულ მოთხოვნებს ტექნიკური რესურსებისა და პერსონალის კვალიფიკაციის მიმართ): ა) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის სერტიფიკატის შექმნა, შემოწმება, ნამდვილობის დადგენა, პირის (რომელზედაც სერტიფიკატი გაიცემა) იდენტიფიკაცია – ETSI EN 319 411-2 (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates) სტანდარტის მიხედვით; ბ) დროის კვალიფიციური აღნიშვნა – ETSI EN 319 421 (Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps) სტანდარტის მიხედვით; გ) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის ნამდვილობის კვალიფიციური დადგენა – ETSI EN 319 401 სტანდარტის მიხედვით; დ) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის კვალიფიციური შენახვა – ETSI EN 319 401 სტანდარტის მიხედვით.  3. კვალიფიციური სანდო მომსახურება მომხმარებელს უნდა გაეწიოს ამ მუხლის მე-2 პუნქტით განსაზღვრული სტანდარტების მოქმედი ვერსიის შესაბამისად. თუ სტანდარტის მოქმედი ვერსიის მიღებიდან არ არის გასული 1 წელი, მომსახურება შესაძლებელია სტანდარტის მოქმედი ვერსიის წინა ვერსიით განსაზღვრული მოთხოვნების შესაბამისად. 4. გარდა ამ მუხლის მე-2 პუნქტით მითითებული სტანდარტების მოთხოვნებისა, კვალიფიციური სანდო მომსახურების მიმწოდებლის ფინანსური რესურსები უნდა პასუხობდეს შემდეგ მოთხოვნებს: ა) ფინანსური რესურსები საშუალებას უნდა აძლევდეს კვალიფიციური სანდო მომსახურების მიმწოდებელს, საჭიროების შემთხვევაში, შეასრულოს ამ რეგლამენტის მე-6 მუხლითა და მომსახურების უწყვეტობის გეგმით გათვალისწინებული ვალდებულებები; ბ) თუ კვალიფიციური სანდო მომსახურების მიმწოდებელი ადმინისტრაციული ორგანოა, კანონმდებლობის მიხედვით დამტკიცებული მისი წლიური ბიუჯეტი, სულ მცირე, უნდა შეადგენდეს  30 000 000 (ოცდაათი მილიონი) ლარს და მასში ინფორმაციული ტექნოლოგიების მიმართულებით  გამოყოფილი უნდა იყოს, სულ მცირე, 5 000 000 (ხუთი მილიონი) ლარი; გ) თუ კვალიფიციური სანდო მომსახურების მიმწოდებელი არ არის ადმინისტრაციული ორგანო, მას უნდა ჰქონდეს სამოქალაქო პასუხისმგებლობის დაზღვევა, რომელიც უზრუნველყოფს მიყენებული ზიანის ანაზღაურებას წელიწადში, სულ მცირე, 500 000 (ხუთასი ათასი) ლარის ფარგლებში, რომელსაც, საჭიროების შემთხვევაში, სრულად და შეუფერხებლად მიმართავს კანონითა და ამ რეგლამენტით განსაზღვრული ვალდებულებების შეუსრულებლობის შედეგად მიყენებული ზიანის ასანაზღაურებლად. მუხლი 5🔗. კვალიფიციური სანდო მომსახურების მიმწოდებლის ძირითადი ინფორმაციული ტექნოლოგიების ინფრასტრუქტურის განთავსებასთან დაკავშირებული მოთხოვნები 1. კვალიფიციური სანდო მომსახურების მიმწოდებლის მიერ ამ მუხლის მე-2 პუნქტით განსაზღვრული მომსახურებებისათვის გამოყენებული განვითარებული ელექტრონული ხელმოწერის /განვითარებული ელექტრონული შტამპის სერტიფიკატების შესაბამისი განვითარებული ელექტრონული ხელმოწერის/განვითარებული ელექტრონული შტამპის შექმნის მონაცემები, ასევე მათი სარეზერვო ასლები უნდა ინახებოდეს მხოლოდ საქართველოს ტერიტორიაზე, გარდა „ოკუპირებული ტერიტორიების შესახებ“ საქართველოს კანონით განსაზღვრული ოკუპირებული ტერიტორიებისა. 2. ამ მუხლის პირველი პუნქტით განსაზღვრული მიზნებისათვის კვალიფიციური სანდო მომსახურების მიმწოდებლის მომსახურებებია: ა) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის სერტიფიკატის შექმნა; ბ) დროის კვალიფიციური აღნიშვნა. 3. კვალიფიციური სანდო მომსახურების მიმწოდებელი ვალდებულია, ამ მუხლის პირველი პუნქტით განსაზღვრული განვითარებული ელექტრონული ხელმოწერის/განვითარებული ელექტრონული შტამპის შექმნის მონაცემები და მათი სარეზერვო ასლები არცერთი ფორმით (მათ შორის, დაშიფრული) ხელმისაწვდომი არ გახადოს ამ მუხლის პირველი პუნქტით ნებადართული ტერიტორიის გარეთ. მუხლი 6🔗. მომსახურების უწყვეტობა 1. კვალიფიციური სანდო მომსახურების მიმწოდებელი ვალდებულია, მომსახურების უწყვეტობა უზრუნველყოს ამ რეგლამენტის მე-4 მუხლის მე-2 პუნქტით განსაზღვრული სტანდარტებისა (შესაბამისი მომსახურების მიწოდების ნაწილში) და საქართველოს კანონმდებლობით დადგენილი მოთხოვნების შესაბამისად. 2.  კვალიფიციური სანდო მომსახურების მიმწოდებელმა, რომელიც გასცემს დროის კვალიფიციური აღნიშვნის მომსახურებას, კვალიფიციური ელექტრონული ხელმოწერის სერტიფიკატს ან კვალიფიციური ელექტრონული შტამპის სერტიფიკატს, საქმიანობის შეწყვეტის შემთხვევაში, უსასყიდლოდ, დროებით სარგებლობაში, არაუმეტეს 1 წლის ვადით, უნდა გადასცეს საქართველოში მოქმედ სხვა კვალიფიციური სანდო მომსახურების მიმწოდებელს მონაცემთა ის მინიმალური მოცულობა, პროგრამული ან/და აპარატურული უზრუნველყოფა, რომელიც აუცილებელია: ა) დროის კვალიფიციური აღნიშვნის მომსახურების მისაწოდებლად; ბ) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის სერტიფიკატის მოქმედების სტატუსის დასადგენად; გ) ყველა იმ განვითარებული ელექტრონული ხელმოწერის/განვითარებული ელექტრონული შტამპის სერტიფიკატის მოქმედების სტატუსის დასადგენად, რომელიც გამოიყენება ამ მუხლის   მე-2 პუნქტის „ა“ და „ბ“ ქვეპუნქტებში მითითებული მომსახურებებისას. 3.  თუ საქართველოში არ არსებობს სხვა კვალიფიციური სანდო მომსახურების მიმწოდებელი ან შეუძლებელია მისთვის ამ მუხლის მე-2 პუნქტით განსაზღვრული წესით საჭირო მონაცემთა, პროგრამული ან/და აპარატურული უზრუნველყოფის დროებით სარგებლობაში გადაცემა,  სააგენტო ვალდებულია, დროებით სარგებლობაში მიიღოს ამ მუხლის მე-2 პუნქტით განსაზღვრული წესით საჭირო მონაცემები, პროგრამული ან/და აპარატურული უზრუნველყოფა და გასწიოს შესაბამისი მომსახურება. მუხლი 7🔗. კვალიფიციური ელექტრონული ხელმოწერის/ კვალიფიციური ელექტრონული შტამპის შექმნის საშუალება 1. იმისათვის, რომ ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალება მიჩნეულ იქნეს კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალებად, კანონით განსაზღვრული მოთხოვნების გარდა, იგი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: ა) უფლებამოსილ ხელმომწერს/შტამპის დამსმელს საშუალება უნდა ჰქონდეს, საიმედოდ დაიცვას ელექტრონული ხელმოწერის/ ელექტრონული შტამპის შექმნის მონაცემები მესამე პირების მიერ გამოყენებისგან, გარდა ამ მუხლის მე-2 პუნქტით განსაზღვრული მომსახურებისა; ბ) იგი აღიარებული უნდა იყოს კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალებად, ამ ტექნიკური რეგლამენტის შესაბამისად. 2. კვალიფიციური სანდო მომსახურების მიმწოდებელი უფლებამოსილია, ხელმომწერის/შტამპის დამსმელის მოთხოვნის საფუძველზე, საკუთარ ინფრასტრუქტურაში შექმნას და მართოს ხელმომწერის/შტამპის დამსმელის კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის მონაცემები. იგი ასევე უფლებამოსილია, შექმნას ამ მონაცემთა სარეზერვო ასლი/ასლები, თუ: ა) ყველა სარეზერვო ასლის უსაფრთხოება ისევეა დაცული, როგორც ორიგინალი მონაცემების უსაფრთხოება; ბ) სარეზერვო ასლების რაოდენობა არ აჭარბებს მომსახურების უწყვეტობის უზრუნველსაყოფად აუცილებელ მინიმუმს. მუხლი 8🔗. ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალების კვალიფიციურად აღიარება 1. ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალება ითვლება კვალიფიციური ელექტრონული ხელმოწერის/შტამპის შექმნის მოწყობილობად, თუ აკმაყოფილებს ერთ-ერთ შემდეგ პირობას: ა) ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალება სერტიფიცირებულია ამ მუხლის მე-2 პუნქტის შესაბამისად; ბ) ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალების უსაფრთხოება  დამოწმებულია ალტერნატიული მეთოდით, ამ მუხლის მე-3 პუნქტის შესაბამისად; გ)  მომსახურების განგრძობადობის მიზნით, აღიარებულია ავტომატურად, ამ მუხლის მე-4 პუნქტის შესაბამისად; დ) უცხოეთში გამოყენებული საშუალება საქართველოს ტერიტორიაზე აღიარებულია ამ რეგლამენტის მე-10 მუხლის შესაბამისად. 2. საქართველოს ტერიტორიაზე კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების სერტიფიცირებაზე უფლებამოსილია საქართველოს კანონმდებლობის შესაბამისად სსტ ისო/იეკ 17065 სტანდარტის მოქმედი ვერსიის მიხედვით აკრედიტებული სერტიფიცირების  ორგანო, რომლის აკრედიტაციის სფერო მოიცავს ამ რეგლამენტის მე-9 მუხლით განსაზღვრულ სტანდარტებსა და სერტიფიცირების მეთოდოლოგიას. სერტიფიცირებისათვის აუცილებელია ელექტრონული ხელმოწერის/ ელექტრონული შტამპის შექმნის საშუალებამ დააკმაყოფილოს ამ რეგლამენტის მე-9 მუხლით განსაზღვრული სერტიფიცირების მოთხოვნები. 3. უსაფრთხოების ალტერნატიული დამოწმება გულისხმობს ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალების უსაფრთხოების დამოწმებას ისეთი მეთოდოლოგიით, რომელიც შესაძლებელია, განსხვავდებოდეს ამ მუხლის მე-2 პუნქტით განსაზღვრული სერტიფიკაციის პროცესისაგან. უსაფრთხოების ალტერნატიული დამოწმება დასაშვებია მხოლოდ მაშინ, როდესაც დაცულია ყველა შემდეგი პირობა: ა) არ არსებობს კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების სერტიფიკაციის სტანდარტები (ეროვნული ან საერთაშორისო), ან ამ მუხლის მე-2 პუნქტის შესაბამისად, მიმდინარეობს ელექტრონული ხელმოწერის/კვალიფიციური შტამპის საშუალების სერტიფიცირების პროცესი; ბ) უსაფრთხოების დონის შემმოწმებელი პირის ვინაობა და შემოწმების მეთოდოლოგია შეთანხმებულია სააგენტოსთან და სააგენტოს მიერ დადგენილია, რომ მეთოდოლოგია უზრუნველყოფს იმავე დონის უსაფრთხოებას, რასაც ამ მუხლის მე-2 პუნქტით განსაზღვრული სერტიფიცირება. 4. მომსახურების განგრძობადობის მიზნით, ავტომატური აღიარებით სარგებლობს ყველა იმ ტიპის ელექტრონული ხელმოწერის /ელექტრონული შტამპის შექმნის საშუალება, რომლებზეც არაუგვიანეს 2020 წლის 1 იანვრამდე საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირი – სახელმწიფო სერვისების განვითარების სააგენტო გასცემს კვალიფიციური ელექტრონული ხელმოწერის ან კვალიფიციური ელექტრონული შტამპის სერტიფიკატს. 5. კვალიფიციური სანდო მომსახურების მიმწოდებელი ვალდებულია, ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალების მახასიათებლები ან/და სხვა დოკუმენტაცია, რომელიც დაადასტურებს, რომ ეს საშუალება აკმაყოფილებს ამავე მუხლის პირველი პუნქტის მოთხოვნებს, ამ საშუალების კვალიფიციურ სანდო მომსახურებაში გამოყენებამდე შესათანხმებლად და სანდო მომსახურების მიმწოდებლებისა და მათ მიერ შეთავაზებულ მომსახურებათა სიაში გამოსაქვეყნებლად წარუდგინოს სააგენტოს. განაცხადში მითითებული უნდა იყოს ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალების დასახელება და სხვა მახასიათებლები, რომლებიც საჭიროა მისი უნიკალური იდენტიფიკაციისათვის. კვალიფიციური სანდო მომსახურების მიმწოდებელს უფლება არ აქვს, გამოიყენოს ელექტრონული ხელმოწერის/ელექტრონული შტამპის შექმნის საშუალება კვალიფიციური სანდო მომსახურების მისაწოდებლად სიაში გამოქვეყნებამდე. მუხლი 9🔗. კვალიფიციური ელექტრონული ხელმოწერის/ კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების მიმართ განსაზღვრული მინიმალური უსაფრთხოებისა და სერტიფიცირების მოთხოვნები 1. თუ ელექტრონული ხელმოწერის შექმნის მონაცემები ან ელექტრონული შტამპის შექმნის მონაცემები სრულად ინახება მომხმარებლის (ხელმომწერის, შტამპის დამსმელის) მიერ მართვად გარემოში, მისი სერტიფიცირებისათვის აუცილებელია შემდეგი პირობების დაკმაყოფილება: ა) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების სტატუსის მოსაპოვებლად აღნიშნული საშუალებები უნდა შემოწმდეს შემდეგი წესით: ა.ა) გამოყენებულ უნდა იქნეს ISO/IEC 18045:2008 (Information technology — Security techniques — Methodology for IT security evaluation) სტანდარტით განსაზღვრული მეთოდოლოგია; ა.ბ) უსაფრთხოების კრიტერიუმები დადგენილი უნდა იყოს ISO/IEC 15408 (Information technology — Security techniques — Evaluation criteria for IT security) სტანდარტის (ISO/IEC 15408-1:2009; ISO/IEC 15408-2:2008; ISO/IEC 15408-3:2008) მიხედვით; ბ) კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების სერტიფიცირებისას გამოყენებული უნდა იყოს შესაბამისი სტანდარტი/სტანდარტები: ბ.ა) სსტ ენ 419211-1:2014 / 2018 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი - ნაწილი 1: მიმოხილვა); ბ.ბ) სსტ ენ 419211-2:2013 / 2018 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი – ნაწილი 2: დაცვა გენერირებადი გასაღებით); ბ.გ) სსტ ენ 419211-3:2013 / 2016 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი - ნაწილი 3: გასაღების შემყვანი მოწყობილობა); ბ.დ) სსტ ენ 419211-4:2013 / 2016 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი – ნაწილი 4: დაცვის გაფართოება გენერირებადი გასაღებით და ნდობის ინფორმაციული კავშირი  სერტიფიკატის მაგენერირებელი აპლიკაცია); ბ.ე) სსტ ენ 419211-5:2013 / 2016 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი – ნაწილი 5: დაცვის გაფართოება გენერირებადი გასაღებით  და ნდობის ინფორმაციული კავშირი ხელმოწერის შექმნის აპლიკაციისთვის); ბ.ვ) სსტ ენ 419211-6:2014 / 2016 (უსაფრთხო ხელმოწერის შექმნის მოწყობილობების დაცვის პროფილი – ნაწილი 6: დაცვის გაფართოება გასაღების შეყვანით  და ნდობის ინფორმაციული კავშირი ხელმოწერის შექმნის აპლიკაციისთვის). 2. თუ ელექტრონული ხელმოწერის შექმნის მონაცემები ან ელექტრონული შტამპის შექმნის მონაცემები მომხმარებლის (ხელმომწერის ან შტამპის დამსმელის) სახელით იმართება კვალიფიციური სანდო მომსახურების მიმწოდებლის მიერ, კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის უსაფრთხოება უნდა დამოწმდეს ამ რეგლამენტის მე-8 მუხლის  მე-3 პუნქტის მიხედვით. მუხლი 10🔗. უცხოეთში აღიარებული კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალებათა აღიარება საქართველოში ყველა საშუალება, რომელიც ევროპარლამენტისა და საბჭოს 2014 წლის 23 ივლისის №910/2014 „ელექტრონული იდენტიფიკაციის, შიდა ბაზარზე ელექტრონულ ტრანზაქციებთან დაკავშირებული სანდო მომსახურებებისა და 1999/93/EC დირექტივის გაუქმების შესახებ“ რეგულაციის მიხედვით მიიჩნევა კვალიფიციური ელექტრონული ხელმოწერის ან/და კვალიფიციური ელექტრონული შტამპის შექმნის საშუალებად, დაინტერესებული პირის მოთხოვნის შემთხვევაში, აღიარებული უნდა იყოს სააგენტოს მიერ, თუ: ა) მოწყობილობის უსაფრთხოება შემოწმებულია ISO/IEC 15408 (Information technology - Security techniques - Evaluation criteria for IT security) სტანდარტის მიხედვით ევროკავშირის წევრი სახელმწიფოს უფლებამოსილი ორგანოს მიერ, რაზეც გაცემულია შესაბამისი სერტიფიკატი; ბ) ამ მუხლის „ა“ ქვეპუნქტში მითითებული სერტიფიკატი მოქმედია და მისი გაცემიდან არ გასულა 5 წელზე მეტი. მუხლი 11🔗. კვალიფიციური ელექტრონული ხელმოწერის/ კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების აღიარების შეჩერება და გაუქმება 1. სააგენტო უფლებამოსილია, კანონის ან ამ რეგლამენტის მოთხოვნებთან შეუსაბამობის აღმოჩენის ან ამგვარი შეუსაბამობის დადგომის მაღალი რისკის არსებობის შემთხვევაში, კვალიფიციური სანდო მომსახურების მიმწოდებელს შეუზღუდოს ან აუკრძალოს ამ ტექნიკური რეგლამენტის მიხედვით აღიარებული კვალიფიციური ელექტრონული ხელმოწერის/კვალიფიციური ელექტრონული შტამპის შექმნის საშუალების გამოყენება. 2. ამ მუხლის პირველ პუნქტში მითითებული შესაბამისი გადაწყვეტილება არაუგვიანეს 24 საათისა უნდა ეცნობოს საქართველოში მოქმედ ყველა კვალიფიციური სანდო მომსახურების მიმწოდებელს. სააგენტოს გადაწყვეტილება მისი მიღებიდან მეორე დღეს უნდა აისახოს და გამოქვეყნდეს მე-8 მუხლის მე-5 პუნქტით განსაზღვრულ სიაში. მუხლი 12🔗. კვალიფიციური ელექტრონული ხელმოწერის სერტიფიკატი 1. კვალიფიციური ელექტრონული ხელმოწერის სერტიფიკატი, კანონით განსაზღვრულის გარდა, დამატებით უნდა შეიცავდეს: ა) ელექტრონულ მისამართს, სადაც უფასოდაა ხელმისაწვდომი ამ სერტიფიკატზე კვალიფიციური სანდო მომსახურების მიმწოდებლის მიერ შექმნილი განვითარებული ელექტრონული ხელმოწერის/განვითარებული ელექტრონული შტამპის სერტიფიკატი; ბ) კვალიფიციური სანდო მომსახურების მიმწოდებლის პირად ნომერს (თუ იგი ფიზიკური პირია) ან საიდენტიფიკაციო კოდს (იურიდიული პირის შემთხვევაში), თუ კვალიფიციური სანდო მომსახურების მიმწოდებელი არ არის ადმინისტრაციული ორგანო. 2. კვალიფიციური ელექტრონული ხელმოწერის სერტიფიკატი უნდა გაიცეს ინტერნეტის საინჟინრო სამუშაო ჯგუფის (Internet Engineering Task Force, IETF) მიერ RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile დოკუმენტის მიხედვით სერტიფიკატებისათვის დადგენილი X.509 სტანდარტის მიხედვით. დასაშვებია IETF-ის მიერ განახლებული X.509 სტანდარტის გამოყენებაც, ასეთის არსებობის შემთხვევაში. 3. კვალიფიციური ელექტრონული ხელმოწერის სერტიფიკატი უნდა აკმაყოფილებდეს ETSI EN 319 412-2 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificates issued to natural persons) და ETSI EN 319 512-5 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures)  სტანდარტების მოთხოვნებს. ცალკეულ კვალიფიციურ სანდო მომსახურებათა შემთხვევაში, სანდო მომსახურების მიმწოდებელს უფლება აქვს, არ დააკმაყოფილოს ამ სტანდარტების მოთხოვნები მხოლოდ არსებულ სისტემებთან ურთიერთთავსებადობის უზრუნველყოფის მიზნით. სანდო მომსახურების მიმწოდებელი ვალდებულია, აღნიშნული გარემოება ნათლად განსაზღვროს შესაბამის შინაგანაწესში. 4. თუ სერტიფიკატი გაცემული არ არის ფსევდონიმზე, სავალდებულოა სერტიფიკატში ფიზიკური პირის საიდენტიფიკაციო მონაცემების ჩაწერა ETSI EN 319 412-1 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures) სტანდარტის მიხედვით. 5. თუ სერტიფიკატი ფსევდონიმზეა გაცემული, სავალდებულოა, სერტიფიკატში ნათლად მიეთითოს ფსევდონიმის გამოყენების შესახებ. მუხლი 13🔗. კვალიფიციური ელექტრონული შტამპის სერტიფიკატი 1. კვალიფიციური ელექტრონული შტამპის სერტიფიკატი გარდა იმისა, რომ უნდა აკმაყოფილებდეს კანონის მოთხოვნებს, დამატებით უნდა შეიცავდეს: ა) ელექტრონულ მისამართს, სადაც უფასოდაა ხელმისაწვდომი ამ სერტიფიკატზე კვალიფიციური სანდო მომსახურების მიმწოდებლის მიერ შექმნილი განვითარებული ელექტრონული ხელმოწერის/განვითარებული ელექტრონული შტამპის სერტიფიკატი; ბ) კვალიფიციური სანდო მომსახურების მიმწოდებლის პირად ნომერს (თუ იგი ფიზიკური პირია) ან საიდენტიფიკაციო კოდს (იურიდიული პირის შემთხვევაში), თუ კვალიფიციური სანდო მომსახურების მიმწოდებელი არ არის ადმინისტრაციული ორგანო. 2. კვალიფიციური ელექტრონული შტამპის სერტიფიკატი უნდა გაიცეს ინტერნეტის საინჟინრო სამუშაო ჯგუფის (Internet Engineering Task Force, IETF) მიერ RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile დოკუმენტის მიხედვით სერტიფიკატებისათვის დადგენილი X.509 სტანდარტის მიხედვით. დასაშვებია IETF-ის მიერ განახლებული X.509 სტანდარტის გამოყენებაც, ასეთის არსებობის შემთხვევაში.   3. კვალიფიციური ელექტრონული შტამპის სერტიფიკატი უნდა აკმაყოფილებდეს ETSI EN 319 412-3 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificates issued to legal persons) და ETSI EN 319 512-5 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements) სტანდარტების მოთხოვნებს. ცალკეულ კვალიფიციურ სანდო მომსახურებათა შემთხვევაში, სანდო მომსახურების მიმწოდებელს უფლება აქვს, არ დააკმაყოფილოს ამ სტანდარტების მოთხოვნები მხოლოდ არსებულ სისტემებთან ურთიერთთავსებადობის უზრუნველყოფის მიზნით. სანდო მომსახურების მიმწოდებელი ვალდებულია, აღნიშნული გარემოება ნათლად განსაზღვროს შესაბამის შინაგანაწესში. 4. სერტიფიკატში იურიდიული პირის საიდენტიფიკაციო მონაცემები უნდა ჩაიწეროს ETSI EN 319 412-1 (Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1: Overview and common data structures) სტანდარტის მიხედვით. ცალკეულ კვალიფიციურ სანდო მომსახურებათა შემთხვევაში, სანდო მომსახურების მიმწოდებელი შეიძლება გათავისუფლდეს ამ სტანდარტის მოთხოვნების დაკმაყოფილების ვალდებულებისგან არსებულ სისტემებთან ურთიერთთავსებადობის უზრუნველსაყოფად. სააგენტო ვალდებულებისგან გათავისუფლების ნებართვის გაცემისას აფასებს მოთხოვნის დასაბუთებულობას და იღებს შესაბამის გადაწყვეტილებას. მუხლი 14🔗. სანდო მომსახურების კანონმდებლობით დადგენილ მოთხოვნებთან შესაბამისობის უზრუნველყოფა 1. სანდო მომსახურების მიმწოდებელი ვალდებულია, კვალიფიციური სანდო მომსახურების მიწოდებისათვის ავტორიზაციის მისაღებად, ასევე კვალიფიციური სანდო მომსახურების მიწოდების პროცესში არანაკლებ 2 წელიწადში ერთხელ სააგენტოს წარუდგინოს აუდიტის დასკვნა, მის მიერ გაწეული მომსახურების  კანონსა და ამ რეგლამენტთან შესაბამისობის შესახებ. 2. აუდიტის დასკვნად მიიჩნევა: ა) ამ რეგლამენტით განსაზღვრული შესაბამისობის შესახებ კერძო აუდიტის დასკვნა; ბ) შესაბამისობის სერტიფიკატი, რომელიც გაცემულია საქართველოს კანონმდებლობის შესაბამისად ISO/IEC 17065 სტანდარტის მოქმედი ვერსიის მიხედვით აკრედიტებული სერტიფიცირების იმ ორგანოს მიერ, რომლის აკრედიტაციის სფეროა სანდო მომსახურების მიმწოდებელთა შესაბამისობის შემოწმება ETSI EN 319 403 სტანდარტის მიხედვით. თუ ETSI EN 319 403 (Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodiesa ssessing Trust Service Providers) სტანდარტის ახალი ვერსიის მიღებიდან არ არის გასული 6 თვე, დასაშვებია სტანდარტის მოქმედი ვერსიის წინა ვერსიის გამოყენება. 3. კვალიფიციური სანდო მომსახურების მიმწოდებელმა ამ მუხლის პირველი პუნქტით გათვალისწინებული აუდიტი უნდა ჩაატაროს საკუთარი ხარჯით, ხოლო ამავე პუნქტით განსაზღვრული დასკვნა სააგენტოს უნდა წარუდგინოს მისი მიღებიდან 3 დღის ვადაში. მუხლი 15🔗. შესაბამისობის კერძო აუდიტი 1. შესაბამისობის კერძო აუდიტი შეიძლება ჩაატაროს პირმა ან პირთა ჯგუფმა – აუდიტის გუნდმა, რომელშიც შედიან უშუალოდ აუდიტის განმახორციელებელი პირები (აუდიტორები), ასევე, საჭიროებისამებრ, ექსპერტები და დამხმარე პერსონალი. 2. აუდიტის გუნდიდან, სულ მცირე, ერთი აუდიტორი უნდა ფლობდეს ინფორმაციული სისტემების აუდიტისა და კონტროლის ასოციაციის (Information Systems Audit and Control Association, ISACA) მიერ გაცემული ინფორმაციული სისტემების აუდიტორის სერტიფიკატს (Certified Information Systems Auditor – CISA). 3. აუდიტის გუნდი და თითოეული აუდიტორი ვალდებულია: ა) მოქმედებდეს დამოუკიდებლად და მიუკერძოებლად; ბ) განაცხადოს იმ საქმიან თუ ნათესაურ კავშირებზე პირთან, რომელსაც აფასებს; გ) არ მიიღოს საჩუქრები, საკომისიო, ფასდაკლება ან ნებისმიერი სხვა სახის სარგებელი იმ ორგანიზაციებისგან, მათი წარმომადგენლების ან სხვა დაინტერესებული პირებისაგან, რომლებსაც აფასებს; დ) სამსახურებრივი მოვალეობის შესრულების (აუდიტის განხორციელების) დროს დაიცვას მის მიერ მოპოვებული ნებისმიერი ფორმის ინფორმაციის კონფიდენციალურობა, გარდა საქართველოს კანონმდებლობით განსაზღვრული შემთხვევებისა. 4. აუდიტის გუნდმა უნდა შეაფასოს სანდო მომსახურების მიმწოდებლისა და მის მიერ წარმოებული სანდო მომსახურების/მომსახურებების კანონსა და ამ რეგლამენტთან შესაბამისობის საკითხი – როგორც შესაბამისი დოკუმენტაციის განხილვისა და ანალიზის, ისე ადგილზე ვიზიტისა და პროცესზე დაკვირვების საფუძველზე. თუ სანდო მომსახურების მიწოდებისას გამოიყენება რამდენიმე ადგილსამყოფელი, დასაშვებია აუდიტის ჩატარება ერთ ან რამდენიმე ძირითად ადგილსამყოფელში, რომელიც უშუალოდაა დაკავშირებული სანდო მომსახურების მიწოდებასთან. 5. აუდიტის გუნდის მიერ გაკეთებული აუდიტის დასკვნა, რომელიც წარედგინება სააგენტოს, უნდა იყოს საკმარისად დეტალური. იგი უნდა მოიცავდეს: ა) აუდიტის გავრცელების სფეროს, მათ შორის, მოთხოვნებს, რომლებთან შესაბამისობაც შემოწმებულია, აუდიტის მიერ შემოწმებულ ადგილმდებარეობებს, მნიშვნელოვან საკონტროლო ჟურნალებს, რომლებიც განხილულია და აუდიტის დროს გამოყენებულ აუდიტის მეთოდოლოგიებს;  ბ) დაკვირვებებსა და მათ შედეგებს – როგორც დადებითს, ისე უარყოფითს;  გ) აღმოჩენილი შეუსაბამობების დეტალებს, რომლებიც ობიექტური საბუთებით უნდა იყოს გამყარებული და მითითებას მათ შეუსაბამობაზე კრიტერიუმებთან, რომელთა მიმართაც აუდიტი ჩატარდა;   დ) კომენტარებს სანდო მომსახურების მიმწოდებლისა და სანდო მომსახურებების იმ კრიტერიუმებთან შეუსაბამობების შესახებ, რომელთა მიმართაც ჩატარდა აუდიტი, შეუსაბამობის დასაბუთებულ აღწერასთან ერთად და, საჭიროების შემთხვევაში, ნებისმიერ სასარგებლო შედარებას სანდო მომსახურების მიმწოდებლისა და კონკრეტული სანდო მომსახურებების წინა აუდიტის შედეგებთან. 6. შევსებული კითხვარები, საკონტროლო სიები, დაკვირვებები, ჟურნალები ან აუდიტორის შენიშვნები წარმოადგენენ აუდიტის დასკვნის განუყოფელ ნაწილს. აუდიტის დასკვნა უნდა მოიცავდეს ინფორმაციას აუდიტის განმავლობაში შეფასებული ნიმუშების შესახებ. აუდიტის დასკვნა უნდა განიხილავდეს სანდო მომსახურების მიმწოდებლის მიერ შიდა ორგანიზაციისა და მიღებული პროცედურების ადეკვატურობას.