Finanšu un kapitāla tirgus komisijas padomes lēmums Nr. 19
(prot. Nr. 5, 4. p.) Rīgā 2003. gada 24. janvārī
Par "Informācijas šifrēšanas un elektroniskās parakstīšanas noteikumiem"
Lai nodrošinātu Finanšu un kapitāla tirgus komisijai elektroniskā veidā iesniedzamo tirgus dalībnieku statistisko pārskatu konfidencialitāti un autentiskumu, Finanšu un kapitāla tirgus komisijas padome nolemj:
Apstiprināt "Informācijas šifrēšanas un elektroniskās parakstīšanas noteikumus" (pielikumā).
Finanšu un kapitāla tirgus komisijas priekšsēdētājs U. Cērps
Informācijas šifrēšanas un elektroniskās parakstīšanas noteikumi
"Informācijas šifrēšanas un elektroniskās parakstīšanas noteikumi" (tālāk tekstā - Noteikumi) izstrādāti, lai nodrošinātu ar Finanšu un kapitāla tirgus komisiju (tālāk tekstā - Komisija) elektroniskā veidā apmaināmās informācijas konfidencialitāti un autentiskumu. Noteikumi nosaka informācijas šifrēšanas un elektroniskās parakstīšanas kārtību.
Noteikumi ir saistoši Latvijas Republikā reģistrētām kredītiestādēm, apdrošinātājiem, privātajiem pensiju fondiem, apdrošināšanas starpniekiem, biržām, Latvijas Centrālajam depozitārijam, brokeru sabiedrībām, ieguldījumu sabiedrībām un krājaizdevu sabiedrībām (tālāk tekstā - tirgus dalībnieki).
1. Noteikumos lietotie termini
1.1. Drošības sistēma - administratīvu pasākumu un programmatūras kopums, kas nodrošina elektroniskās informācijas konfidencialitāti un autentiskumu tās apmaiņas procesā.
1.2. Dalībnieki - tirgus dalībnieki, kuri ir iesnieguši Komisijā lietotāju reģistrācijas pieteikumu un noslēguši ar Komisiju līgumu par noteiktas informācijas apmaiņu elektroniskā veidā.
1.3. Lietotāji - dalībnieku pilnvarotas personas, kuras ir tiesīgas šifrēt un elektroniski parakstīt nosūtāmo informāciju, kā arī pārbaudīt saņemtās informācijas autentiskumu, izmantojot drošības sistēmu.
1.4. Komisijas lietotāji - Komisijas pilnvarotas personas, kuras ir tiesīgas šifrēt un elektroniski parakstīt nosūtāmo informāciju, kā arī pārbaudīt saņemtās informācijas autentiskumu, izmantojot drošības sistēmu.
1.5. Autentiskums - elektroniski saņemtās informācijas nosūtītāja nepārprotama identifikācija un elektroniski parakstītās informācijas īstums.
1.6. Elektroniskais paraksts - elektroniska informācija, kas nepārprotami identificē informācijas sūtītāju (parakstītāju) un vienlaikus nodrošina elektroniski parakstītās informācijas īstumu.
1.7. Atslēga - specifiska informācija, kas tiek izmantota datu šifrēšanai, atšifrēšanai, elektroniskai parakstīšanai un paraksta pārbaudei. Drošības sistēmā katram lietotājam ir divi atslēgu pāri: šifrēšanas atslēgu pāris un parakstīšanas atslēgu pāris.
1.8. Šifrēšanas atslēgu pāris - lietotāja atslēgu pāris, kas domāts datu šifrēšanai un atšifrēšanai un sastāv no šifrēšanas publiskās atslēgas un atšifrēšanas privātās atslēgas.
1.9. Parakstīšanas atslēgu pāris - lietotāja atslēgu pāris, kas domāts datu parakstīšanai un pārbaudei un sastāv no parakstīšanas privātās atslēgas un pārbaudes publiskās atslēgas.
1.10. Privātā atslēga - atslēgu pāra daļa, kas lietotājam ir jāglabā drošā, citiem nepieejamā vietā.
1.11. Publiskā atslēga - atslēgu pāra daļa, kas ir publiski pieejama dalībniekiem.
1.12. Parole - simbolu virkne, kas domāta, lai aizsargātu lietotāja privātās atslēgas no nesankcionētas lietošanas.
2. Vispārīgā informācija
2.1. Drošības sistēmā informācijas šifrēšanai, atšifrēšanai, elektroniskai parakstīšanai un paraksta pārbaudei tiek izmantota Komisijas noteikta programmatūra.
2.2. Komisija pilnvaro savus darbiniekus lietotāju reģistrācijas un citas ar šiem noteikumiem saistītās informācijas apmaiņai ar tirgus dalībniekiem un dara zināmus tirgus dalībniekiem šo darbinieku vārdus.
2.3. Tirgus dalībnieks pilnvaro savus darbiniekus lietotāju reģistrācijas un citas ar šiem noteikumiem saistītās informācijas apmaiņai un iesniedz Komisijai šo darbinieku sarakstu.
3. Jaunu lietotāju ieviešana
3.1. Jaunu lietotāju reģistrācijai drošības sistēmā tirgus dalībnieks iesniedz Komisijai reģistrācijas pieteikumu (1. pielikums). Katram dalībniekam drošības sistēmā ir jābūt reģistrētiem vismaz diviem lietotājiem.
3.2. Pamatojoties uz 3.1. punktā minēto pieteikumu, Komisija reģistrē jaunus drošības sistēmas lietotājus. Komisija nodod tirgus dalībnieka pilnvarotai personai drošības sistēmas programmatūru ar tās dokumentāciju, parakstot nodošanas-pieņemšanas aktu (2. pielikums), un Komisijas lietotāju publiskās atslēgas saskaņā ar 7.1. punktu.
3.3. Pēc drošības programmatūras, tās dokumentācijas un Komisijas publisko atslēgu saņemšanas dalībniekam ir jāuzstāda drošības programmatūra un jāveic atslēgu pāru ģenerēšana katram 3.1. punktā minētajā pieteikumā norādītajam lietotājam.
3.4. Dalībnieks paziņo Komisijai par lietotāju ieviešanas procedūras sekmīgu pabeigšanu, elektroniski nosūtot 3.3. punktā minēto atslēgu pāru publiskās atslēgas un iesniedzot lietotāja publiskās atslēgas nodošanas protokolu (3. pielikums). Šo lietotāju tiesības izmantot drošības sistēmu informācijas šifrēšanai un parakstīšanai stājas spēkā nākamajā darba dienā pēc šī protokola iesniegšanas.
4. Lietotāja darbības apturēšana
4.1. Drošības sistēmas lietotāja darbības apturēšanai dalībnieks iesniedz Komisijai lietotāja publiskās atslēgas anulēšanas protokolu (4. pielikums), norādot, kāda veida informācijas šifrēšanai un parakstīšanai dalībnieks pārtrauc attiecīgā lietotāja pilnvaras.
4.2. Pamatojoties uz 4.1. punktā minēto pieteikumu, Komisija aptur attiecīgā lietotāja darbību drošības sistēmā. Darbības apturēšana drošības sistēmā stājas spēkā nākamajā darba dienā pēc pieteikuma iesniegšanas.
4.3. Ārkārtas situācijā dalībnieks var paziņot Komisijai par lietotāja darbības apturēšanu drošības sistēmā, nosūtot 4.1. punktā minēto protokolu pa faksu. Komisija nekavējoties veic īslaicīgu attiecīgā lietotāja darbības apturēšanu. Pēc tam dalībniekam ir nekavējoties jārīkojas saskaņā ar 4.1. punktu.
4.4. Ja Komisija ir apturējusi dalībnieka darbību vai atsaukusi dalībnieka darbības licenci, tad 4.1. punktā minētais pieteikums nav jāiesniedz un Komisija automātiski aptur visu dalībnieka reģistrēto lietotāju darbību.
4.5. Ja Komisija ir atcēlusi darbības ierobežojumus 4.4. punktā minētajam dalībniekam, viņam ir no jauna jāveic visas 2.3. un 3.1. punktā minētās darbības.
5. Lietotāja atslēgas darbības termiņi
5.1. Lietotāja atslēgas darbības termiņš ir 24 mēneši no izveidošanas dienas. Mēnesi pirms šī termiņa beigām dalībniekam jāveic jauna atslēgu pāra ģenerēšana un publiskās atslēgas nodošana Komisijai saskaņā ar 3.3 un 3.4. punktu.
5.2. Ja lietotāja atslēgas drošības sistēmā tiek bloķētas tehnisku vai kādu citu neparedzētu iemeslu dēļ, dalībniekam jāveic jauna atslēgu pāra ģenerēšana un publiskās atslēgas nodošana Komisijai saskaņā ar 3.3 un 3.4. punktu.
6. Dalībnieka pienākumi un atbildība
6.1. Dalībnieks ir atbildīgs par informāciju, kas ir elektroniski parakstīta, izmantojot drošības sistēmā reģistrēto dalībnieka lietotāju privātās atslēgas.
6.2. Dalībniekam ir pienākums uzstādīt drošības sistēmas programmatūru un apmācīt lietotājus darbam ar to.
6.3. Dalībniekam ir jānodrošina, lai lietotājs glabātu savas šifrēšanas un parakstīšanas privātās atslēgas drošā vietā.
6.4. Dalībniekam ir jānodrošina, lai lietotājs nevienam neizpaustu paroli, ar kuru ir aizsargāta viņa privāto atslēgu izmantošana.
6.5. Ja dalībniekam ir aizdomas, ka lietotāja parole vai privātā atslēga ir kļuvusi pieejama trešajām personām vai nozaudēta, jāveic 4.1. vai 4.3. punktā minētās darbības.
6.6. Dalībnieka pienākums ir nekavējoties veikt Komisijas atbilstošo publisko atslēgu atjaunošanu visiem dalībnieka lietotājiem pēc 7.1. punktā minēto protokolu saņemšanas vai anulēt atbilstošās atslēgas pēc 7.2. punktā minētā protokola saņemšanas.
7. Komisijas publiskās atslēgas nodošana un anulēšana
7.1. Komisija nosūta dalībniekam Komisijas lietotāju publiskās atslēgas elektroniskā veidā un iesniedz Komisijas publiskās atslēgas nodošanas protokolu (5. pielikums), norādot, kāda veida informācijas šifrēšanai un parakstīšanai Komisija pilnvaro šos Komisijas lietotājus.
7.2. Komisijas lietotāja darbība tiek apturēta, Komisijai iesniedzot dalībniekam Komisijas publiskās atslēgas anulēšanas protokolu (6. pielikums), norādot, kāda veida informācijas šifrēšanai un parakstīšanai Komisija pārtrauc attiecīgā Komisijas lietotāja pilnvaras.
7.3. Komisijas lietotāju publisko atslēgu pārmaiņas stājas spēkā nākamajā darba dienā pēc Komisijas publiskās atslēgas nodošanas vai anulēšanas protokola saņemšanas.
8. Informācijas šifrēšana, parakstīšana un autentificēšana
8.1. Lietotājs, nosūtot informāciju Komisijai, to šifrē un elektroniski paraksta, izmantojot visu to Komisijas lietotāju publiskās atslēgas, kuri ir reģistrēti drošības sistēmā šīs informācijas apmaiņai.
8.2. Komisija, nosūtot informāciju dalībniekam, to šifrē un elektroniski paraksta, izmantojot visu to dalībnieka lietotāju publiskās atslēgas, kuri ir reģistrēti drošības sistēmā šīs informācijas apmaiņai.
8.3. Lietotājam, saņemot informāciju, ir jāpārbauda, vai tā ir šifrēta un elektroniski parakstīta un vai elektroniskais paraksts, ar kuru tā ir parakstīta, pieder Komisijas lietotājam, kurš ir pilnvarots parakstīt šo informāciju.
8.4. Ja dalībnieks ir saņēmis informāciju, kas nav pareizi šifrēta vai elektroniski parakstīta, dalībniekam par to nekavējoties jāinformē Komisija.