Rozdział 1

Przepisy ogólne

§ 1. Rozporządzenie określa:

1) szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych;

2) podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów;

3) szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi certyfikacyjne.

§ 2. Użyte w rozporządzeniu określenia oznaczają:

1) ustawa - ustawę z dnia 18 września 2001 r. o podpisie elektronicznym;

2) algorytm szyfrowy - zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza;

3) funkcja skrótu - funkcję odwzorowującą ciągi bitów na ciągi bitów o stałej długości, w której dla danej wartości funkcji jest obliczeniowo trudne wyznaczenie argumentu odwzorowywanego na tę wartość, a dla danego argumentu jest obliczeniowo trudne wyznaczenie drugiego argumentu odwzorowywanego na tę samą wartość;

4) atrybut podpisu - dodatkowe dane, które są podpisywane razem z podpisywanymi danymi lub do nich logicznie dołączane, a w szczególności:

a) wskazanie kwalifikowanego certyfikatu lub kwalifikowany certyfikat służący do weryfikacji podpisu elektronicznego,

b) oznaczenie czasu,

c) format zawartości, umożliwiający w szczególności ustalenie sposobu kodowania podpisanych elektronicznie danych;

5) identyfikator obiektu - ciąg liczb, który jednoznacznie i niezmiennie wskazuje na określony obiekt, w szczególności skonstruowany w oparciu o postanowienia Polskiej Normy PN-ISO/IEC 9834;

6) komponent techniczny - sprzęt stosowany w celu wygenerowania lub użycia danych służących do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego;

7) oprogramowanie podpisujące - oprogramowanie, które przygotowuje dane, które mają zostać podpisane lub poświadczone elektronicznie, i przesyła je do komponentu technicznego;

8) oprogramowanie weryfikujące - oprogramowanie, które sprawdza poprawność bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego i ważność kwalifikowanego certyfikatu lub zaświadczenia certyfikacyjnego;

9) oprogramowanie publiczne - oprogramowanie podpisujące, do którego w normalnych warunkach eksploatacji może mieć dostęp każda osoba fizyczna; oprogramowaniem publicznym nie jest w szczególności oprogramowanie używane w mieszkaniu prywatnym, lokalu biurowym lub telefonie komórkowym;

10) klucze infrastruktury - klucze kryptograficzne algorytmów szyfrowych stosowane do innych celów niż składanie lub weryfikacja bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego, a w szczególności klucze stosowane:

a) w protokołach uzgadniania lub dystrybucji kluczy zapewniających poufność danych,

b) do zapewnienia, podczas transmisji lub przechowywania, poufności i integralności zgłoszeń certyfikacyjnych, kluczy użytkowników, rejestrów zdarzeń,

c) do weryfikacji dostępu do urządzeń, oprogramowania weryfikującego lub podpisującego;

11) moduł kluczowy - urządzenie współpracujące z komponentem technicznym, przechowujące klucze infrastruktury lub dane służące do składania bezpiecznych podpisów elektronicznych lub poświadczeń elektronicznych, lub klucze chroniące te dane, lub przechowujące części tych kluczy lub danych;

12) bezpieczna ścieżka - łącze zapewniające wymianę między oprogramowaniem podpisującym a komponentem technicznym informacji związanych z uwierzytelnieniem użytkownika komponentu technicznego, zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie;

13) bezpieczny kanał - łącze zapewniające wymianę między oprogramowaniem podpisującym a komponentem technicznym informacji związanych z przekazywaniem danych, które mają być podpisane lub poświadczone elektronicznie, zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie;

14) segment sieci - wydzieloną część sieci teleinformatycznej, połączoną z pozostałymi częściami za pośrednictwem specjalistycznych urządzeń umożliwiających odłączenie tej części od reszty sieci;

15) śluza bezpieczeństwa - sprzęt lub oprogramowanie chroniące segment sieci teleinformatycznej przed przepływem nieuprawnionych danych z innego segmentu sieci teleinformatycznej;

16) ścieżka certyfikacji - uporządkowany ciąg zaświadczeń certyfikacyjnych lub zaświadczeń certyfikacyjnych i kwalifikowanego certyfikatu, utworzony w ten sposób, że za pomocą danych służących do weryfikacji poświadczenia elektronicznego i nazwy wydawcy pierwszego zaświadczenia certyfikacyjnego na ścieżce jest możliwe wykazanie, że dla każdych dwóch bezpośrednio po sobie występujących zaświadczeń certyfikacyjnych lub zaświadczenia certyfikacyjnego i kwalifikowanego certyfikatu, poświadczenie elektroniczne zawarte w jednym z nich zostało sporządzone za pomocą danych służących do składania poświadczenia elektronicznego związanych z drugim z nich; dane służące do weryfikacji pierwszego poświadczenia elektronicznego są dla weryfikującego punktem zaufania;

17) zgłoszenie certyfikacyjne - zbiór dokumentów i danych identyfikujących podmiot podlegający certyfikacji;

18) znacznik czasu - jednostkę danych oznaczającą moment, w którym zaszło określone zdarzenie, względem ustalonego czasu odniesienia.