-
ДУУ отговаря пред Автора, съответно пред Титуляря на КЕП и пред всички трети лица за вредите:
-
от неизпълнение на изискванията по чл. 21 и на задълженията по чл. 22 и 25 от ЗЕДЕП при осъществяване на дейността си по предоставяне на УУ;
-
от неверни или липсващи данни в удостоверението към момента на издаването му;
-
които са им причинени в случай, че по време на издаването на удостоверението лицето, посочено като Автор, не е разполагало с частния ключ, съответстващ на публичния ключ;
-
от алгоритмичното несъответствие между частния ключ и публичния ключ, вписван в удостоверението.
ДУУ е отговорен по отношение на проверката на идентичността и установяване на самоличността на субектите заявяващи удостоверение.
ДУУ носи отговорност всички процедури по предоставяне на удостоверителни услуги да се изпълняват в съответствие с правилата в „Практика при предоставяне на удостоверителни услуги“ и „Политика за предоставяне на удостоверителни услуги“.
Случай на не носене на отговорност от ДУУ
ДУУ не носи отговорност в случаите, когато настъпилите вреди са следствие от небрежност, неизпълнение на задълженията или липса на познания в областта на PKI технологиите от страна на Авторите, Титулярите или Доверяващите се страни.
ДУУ не носи отговорност и в случаи на вреди причинени от:
-
използване на удостоверение извън пределите на вписаните в него предназначения и ограничения на неговото действие;
-
незаконни действия от страна на Титуляра, Автора и трети страни;
-
използване на удостоверение, който не е издадено или използвано в съответствие с изискванията и процедурите на „Практика при предоставяне на удостоверителни услуги” и „Политика за предоставяне на удостоверителни услуги“;
-
използване на невалидно удостоверение – удостоверение, което е спряно, прекратено или с изтекъл срок на валидност;
-
несвоевременно прекратяване или спиране на удостоверение, което е следствие от забавена от страна на Титуляра или Автора заявка или поради причини извън контрола на ДУУ (природни бедствия и аварии);
-
компрометиран частен ключ, кореспондиращ на публичния ключ в удостоверението;
-
качеството и функционалността на софтуерните продукти и хардуерни устройства използувани от Автора, Титуляра и Доверяващи се страни.
Отговорност на Автора
Авторът отговаря спрямо третите лица ако:
-
при създаването на двойката частен-публичен ключ е използвал алгоритъм, който не отговаря на изискванията на Наредбата за изискванията към алгоритмите за създаване и проверка на квалифицирания електронен подпис;
-
не изпълнява точно изискванията за сигурност, определени от ДУУ;
-
не поиска от ДУУ прекратяване действието на удостоверението, когато е узнал, че частният ключ е бил използван неправомерно или съществува опасност от неправомерното му използване;
-
е извършил неверни изявления, направени пред ДУУ и имащи отношение към съдържанието или към издаването на удостоверението;
Когато удостоверението е издадено с вписан Титуляр, той отговаря за неизпълнението от страна на Автора на задълженията му.
Отговорност на Титуляря и на Автора към ДУУ
Авторът, съответно Титулярят, отговаря спрямо ДУУ, ако Авторът е предоставил неверни данни, съответно е премълчал данни, имащи отношение към съдържанието или към издаването на удостоверението, и когато не е държал частния ключ, съответстващ на посочения в удостоверението публичен ключ.
Електронен регистър Публикувани удостоверения и списъци
Съгласно изискванията на Наредбата за реда и водене на електронен регистър, ДУУ води електронен регистър, в който публикува:
-
базовото удостоверение на ДУУ (Spektar Root CA);
-
оперативните удостоверения на Удостоверяващите органи (Spektar Universal CA Spektar Secondary Qualified CA и Spektar NonUniversal CA );
-
всички издадени от ДУУ удостоверения;
-
списъци на прекратените удостоверения(CRL) издадени от ДУУ;
-
удостоверения за време за предоставяне на електронен подпис, създаден за определен електронен документ.
Публикувана информация
ДУУ публикува в електронния си регистър и информация за:
-
условията и реда за издаване на удостоверение, включително за правилата за установяване идентичността на Титуляря на КЕП;
-
процедурите за сигурност при издаване и управление на удостоверения за КЕП;
-
начина на използване на КЕП;
-
условията и реда за използване на КЕП, включително изискванията за съхраняване на частния ключ;
-
условията за достъп до удостоверението и начина на проверка на КЕП;
-
цената за получаване и използване на удостоверение, както и цените на останалите предоставяни услуги;
-
отговорността на ДУУ и на Титуляря на КЕП;
-
условията и реда, по които Авторът, съответно Титулярят прави искане за прекратяване действието на КЕП.
Достъп до информацията в електронния регистър
ДУУ предлага директорийни услуги за информацията съхранявана в електронния регистър като осигурява Х.500 и HTTP/HTTPS базиран достъп до информацията.
Електронният регистър е публичен и ДУУ не може да ограничава достъпа до информацията в него, освен по писмено искане на Автора и само по отношение на валидно удостоверение за неговия електронен подпис.
Информацията публикувана в електронния регистър на ДУУ е достъпна постоянно, освен в случаите на събития, извън контрола на Доставчика и при настъпили катастрофални и/или бедствени обстоятелства.
Актуализация на информацията в регистъра
Издадените от ДУУ удостоверения се публикуват в електронния регистър веднага след тяхното подписване на Удостоверяващия орган.
Актуализирането на списъците на действащите и прекратените удостоверения за КЕП се извършва през интервал от 3 /три/ часа. Списъците се публикуват веднага след всяка актуализация.
Публикуването на изменени ревизии на “Наръчника за потребителя” се осъществява съгласно вътрешните правила и процедури на ДУУ.
Мерки за сигурност
ДУУ обезпечава сигурността на електронния регистър съобразно внедрената в организацията система за информационна сигурност, съответстваща на изискванията на стандарт ISO/IEC 27001:2005.
В съответствие с функциониращата в ДУУ система за информационна сигурност се прилагат мерки по отношение на логическия достъп до информацията в регистъра и физическия достъп до компютърните информационни системи, съхраняващи данните. Прилаганите мерки правят извършването на промени в данните невъзможно, а възможността за непозволена намеса е сведена до минимум.
Въвеждане и актуализация на информация в електронния регистър се извършва единствено от надлежно овластени служители на ДУУ.
Сподели с приятели: |