Π.Δ. 150/2001
Άρθρο 1
Σκοπός και Πεδίο Εφαρμογής
1. Με το παρόν Διάταγμα προσαρμόζεται η ελληνική νομοθεσία προς τις διατάξεις της Οδηγίας 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 13ης Δεκεμβρίου 1999 « Σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές» (ΕΕL 13/19.1.2000) στο εξής: Οδηγία.
2. Οι διατάξεις του παρόντος Διατάγματος δεν θίγουν διατάξεις που, αναφορικά με τη σύναψη και την ισχύ συμβάσεων ή εν γένει τη σύσταση νομικών υποχρεώσεων, επιβάλλουν τη χρήση ορισμένου τύπου, ούτε διατάξεις για την αποδεικτική ή άλλη χρήση εγγράφων ή διατάξεις με τις οποίες απαγορεύεται να διακινούνται και να καθίστανται γνωστά έγγραφα ορισμένων κατηγοριών και δεδομένα προσωπικού χαρακτήρα.
Άρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος Διατάγματος νοούνται ως:
1. «ηλεκτρονική υπογραφή»: δεδομένα σε ηλεκτρονική μορφή, τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με αυτά και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας.
2. «προηγμένη ηλεκτρονική υπογραφή»ή «ψηφιακή υπογραφή»: ηλεκτρονική υπογραφή, που πληροί τους εξής όρους:
α) συνδέεται μονοσήμαντα με τον υπογράφοντα,
β) είναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος,
γ) δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο και
δ) συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο, ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων.
3. «υπογράφων»: φυσικό ή νομικό πρόσωπο, που κατέχει διάταξη δημιουργίας υπογραφής και ενεργεί είτε στο δικό του όνομα είτε στο όνομα άλλου φυσικού ή νομικού προσώπου ή φορέα.
4. «δεδομένα δημιουργίας υπογραφής»: μονοσήμαντα δεδομένα, όπως κώδικες ή ιδιωτικά κλειδιά κρυπτογραφίας, που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής.
5. «διάταξη δημιουργίας υπογραφής»: διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων δημιουργίας της υπογραφής.
6. «ασφαλής διάταξη δημιουργίας υπογραφής» διάταξη δημιουργίας υπογραφής, που πληροί τους όρους του Παραρτήματος III.
7. «δεδομένα επαλήθευσης υπογραφής»: δεδομένα, όπως κώδικες, ή δημόσια κλειδιά κρυπτογραφίας, τα οποία χρησιμοποιούνται για την επαλήθευση της ηλεκτρονικής υπογραφής.
8. «διάταξη επαλήθευσης υπογραφής»: διατεταγμένο υλικό ή λογισμικό, που χρησιμοποιείται για την εφαρμογή των δεδομένων επαλήθευσης υπογραφής.
9. «πιστοποιητικό»: ηλεκτρονική βεβαίωση, η οποία συνδέει δεδομένα επαλήθευσης υπογραφής με ένα άτομο και επιβεβαιώνει την ταυτότητα του.
10. «αναγνωρισμένο πιστοποιητικό»: πιστοποιητικό που πληροί τους όρους του Παραρτήματος Ι και εκδίδεται από πάροχο υπηρεσιών πιστοποίησης, ο οποίος πληροί τους οριζόμενους στο Παράρτημα II όρους.
11. «πάροχος υπηρεσιών πιστοποίησης»: φυσικό ή νομικό πρόσωπο ή άλλος φορέας, που εκδίδει πιστοποιητικά ή παρέχει άλλες υπηρεσίες, συναφείς με τις ηλεκτρονικές υπογραφές.
12. «προϊόν ηλεκτρονικής υπογραφής»: υλικό ή λογισμικό ή συναφή συστατικά στοιχεία τους, που προορίζονται προς χρήση από τον πάροχο υπηρεσιών πιστοποίησης για την προσφορά υπηρεσιών ηλεκτρονικής υπογραφής ή προορίζονται να χρησιμοποιηθούν για τη δημιουργία ή επαλήθευση ηλεκτρονικών υπογραφών.
13. «εθελοντική διαπίστευση»: κάθε άδεια διαπίστευσης των ηλεκτρονικών δεδομένων, στην οποία ορίζονται τα δικαιώματα και οι υποχρεώσεις, που διέπουν την παροχή υπηρεσιών πιστοποίησης και η οποία χορηγείται ύστερα από αίτηση του ενδιαφερόμενου παρόχου υπηρεσιών από τον φορέα που προβλέπεται στην παράγραφο 5 του άρθρου 4 του παρόντος.
Άρθρο 3
Έννομες συνέπειες των ηλεκτρονικών υπογραφών
1. Η προηγμένη ηλεκτρονική υπογραφή που βασίζεται σε αναγνωρισμένο πιστοποιητικό και δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής επέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο.
2. Η ισχύς της ηλεκτρονικής υπογραφής ή το παραδεκτό της ως αποδεικτικού στοιχείου δεν αποκλείεται από μόνο τον λόγο ότι δεν συντρέχουν οι προϋποθέσεις της προηγούμενης παραγράφου.
Άρθρο 4
Πρόσβαση στην αγορά – Αρχές της εσωτερικής αγοράς
1. Τα διατιθέμενα προϊόντα ηλεκτρονικής υπογραφής μπορεί να αφορούν ασφαλείς διατάξεις υπογραφής ή και μη ασφαλείς διατάξεις στον βαθμό που αυτό διατυπώνεται κατά τρόπο απόλυτα σαφή για οποιονδήποτε τρίτο με την επιφύλαξη του άρθρου 3 του παρόντος.
2. Η συμμόρφωση των ασφαλών διατάξεων δημιουργίας υπογραφής προς το Παράρτημα III του παρόντος Διατάγματος διαπιστώνεται από την Εθνική Επιτροπή Τηλεπικοινωνιών Ταχυδρομείων (Ε.Ε.Τ.Τ.) (άρθρο 3 του Ν. 2867/2000) ή από οριζόμενους από αυτήν δημόσιους ή ιδιωτικούς φορείς. Η Ε.Ε.Τ.Τ. και οι οριζόμενοι από αυτή δημόσιοι ή ιδιωτικοί φορείς υποχρεούνται στην εφαρμογή των ελαχίστων κριτηρίων που προβλέπονται στην Απόφαση της Επιτροπής της 6.11.2000 (Ε (2000) 3179 τελικό). Η συμμόρφωση των προϊόντων ηλεκτρονικής υπογραφής προς αναγνωρισμένα πρότυπα αποτελεί τεκμήριο συμμόρφωσης με τις απαιτήσεις που καθορίζονται στο σημείο (στ) του Παραρτήματος II και στο Παράρτημα III του παρόντος.
3. Τα παρεχόμενα πιστοποιητικά επαλήθευσης ορίζουν ρητά, κατά τρόπο εύκολα αντιληπτό από μη ειδικό τρίτο, αν πρόκειται για αναγνωρισμένα ή μη αναγνωρισμένα πιστοποιητικά.
4. Με την επιφύλαξη της παραγράφου 5 του παρόντος άρθρου, για την παροχή των υπηρεσιών πιστοποίησης οποιασδήποτε μορφής δεν απαιτείται η χορήγηση άδειας στους παρόχους των υπηρεσιών αυτών.
5. Προκειμένου να επιτευχθεί βελτιωμένο επίπεδο παροχής υπηρεσιών πιστοποίησης, παρέχεται από την Ε.Ε.Τ.Τ. ή από οριζόμενους από αυτήν δημόσιους ή ιδιωτικούς φορείς, ύστερα από έγγραφη αίτηση του ενδιαφερόμενου παρόχου υπηρεσιών πιστοποίησης, εθελοντική διαπίστευση. Με την εθελοντική διαπίστευση απονέμονται δικαιώματα και επιβάλλονται υποχρεώσεις, συμπεριλαμβανομένων τελών, στον πάροχο υπηρεσιών πιστοποίησης. Οι προϋποθέσεις εθελοντικής διαπίστευσης πρέπει να είναι αντικειμενικές, διαφανείς, ανάλογες με τον επιδιωκόμενο σκοπό και να μην οδηγούν σε διακρίσεις. Η Ε.Ε.Τ.Τ. δεν μπορεί να περιορίσει τον αριθμό των παροχών υπηρεσιών πιστοποίησης, που επιθυμούν τη διαπίστευση τους σύμφωνα με τις διατάξεις του παρόντος.
6. Οι διαπιστευμένοι ή μη, πάροχοι υπηρεσιών πιστοποίησης, που πληρούν τις προϋποθέσεις του Παραρτήματος II του παρόντος, εκδίδουν αναγνωρισμένα πιστοποιητικά για το κοινό.
7. Οι πάροχοι υπηρεσιών πιστοποίησης οφείλουν ιδιαίτερα να μεριμνούν για την από μέρους τους τήρηση των διατάξεων για την προστασία του ανταγωνισμού, για τον αθέμιτο ανταγωνισμό, για την πνευματική και βιομηχανική ιδιοκτησία και για την προστασία του καταναλωτή.
8. Η Ε.Ε.Τ.Τ. έχει την εποπτεία και τον έλεγχο των εγκατεστημένων στην Ελλάδα παροχών υπηρεσιών πιστοποίησης, καθώς και των σύμφωνα με τις παραγράφους 5 και 2 του παρόντος φορέων διαπίστευσης και ελέγχου της συμμόρφωσης των υπογραφών προς το παράρτημα ΙΙΙ.
9. Σε περίπτωση που πάροχος υπηρεσιών πιστοποίησης ενεργεί ως διαπιστευμένος πάροχος υπηρεσιών πιστοποίησης, χωρίς να είναι, η Ε.Ε.Τ.Τ. επιβάλλει πρόστιμο από εξήντα χιλιάδες (60.000) έως τριακόσιες χιλιάδες (300.000) Ευρώ.
Άρθρο 5
Διεθνείς πτυχές
1. Η προσφορά υπηρεσιών πιστοποίησης εντός της ελληνικής επικράτειας από πάροχο υπηρεσιών πιστοποίησης, που είναι εγκατεστημένος στην Ελλάδα διέπεται από την κείμενη ελληνική νομοθεσία.
2. Υπηρεσίες πιστοποίησης στους καλυπτόμενους από τη νομοθεσία της Ευρωπαϊκής Ένωσης για την ηλεκτρονική υπογραφή τομείς, εφόσον προέρχονται από άλλη χώρα μέλος της Ευρωπαϊκής Ένωσης, συνεπάγονται τις ίδιες έννομες συνέπειες με τις αντίστοιχες υπηρεσίες πιστοποίησης, που παρέχονται από πάροχο υπηρεσιών πιστοποίησης, ο οποίος είναι εγκατεστημένος στην Ελλάδα.
3. Προϊόντα ηλεκτρονικής υπογραφής, τα οποία συνάδουν με την κείμενη νομοθεσία της Ευρωπαϊκής Ένωσης, συνεπάγονται τις ίδιες έννομες συνέπειες με τα αντίστοιχα προϊόντα ηλεκτρονικής υπογραφής, τα οποία προέρχονται από την Ελλάδα. Ιδιαίτερα, η διαπίστωση συμμόρφωσης προς την κείμενη νομοθεσία της Ευρωπαϊκής Ένωσης, που αφορά προϋποθέσεις για ασφαλείς διατάξεις δημιουργίας της υπογραφής από φορέα στον οποίο έχει ανατεθεί η διαπίστωση αυτή σύμφωνα με τη νομοθεσία κράτους μέλους της Ευρωπαϊκής Ένωσης, έχει άμεση ισχύ και στην Ελλάδα.
4. Τα αναγνωρισμένα πιστοποιητικά, που εκδίδονται στο κοινό από πάροχο υπηρεσιών πιστοποίησης, ο οποίος είναι εγκατεστημένος σε χώρα εκτός της Ευρωπαϊκής Ένωσης, είναι νομικώς ισοδύναμα με τα εκδιδόμενα από πάροχο υπηρεσιών πιστοποίησης εγκατεστημένο στην Ευρωπαϊκή Ένωση, εφόσον:
α) ο πάροχος αυτός πληροί τους όρους του παρόντος Διατάγματος και έχει διαπιστευθεί εθελοντικώς σε κράτος -μέλος της Ευρωπαϊκής Ένωσης
β) για το συγκεκριμένο πιστοποιητικό έχει εγγυηθεί πάροχος υπηρεσιών πιστοποίησης, που είναι εγκατεστημένος σε κράτος-μέλος και πληροί τους όρους του παρόντος Διατάγματος.
γ) το αναγνωρισμένο πιστοποιητικό του παρόχου υπηρεσιών πιστοποίησης αναγνωρίζεται βάσει διμερούς ή πολυμερούς συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και τρίτων χωρών ή διεθνών οργανισμών.
Άρθρο 6
Ευθύνη των παροχών πιστοποίησης
1. Ο πάροχος υπηρεσιών πιστοποίησης, διαπιστευμένος ή μη, που εκδίδει αναγνωρισμένο πιστοποιητικό στο κοινό ή εγγυάται για την ακρίβεια τέτοιου πιστοποιητικού, ευθύνεται έναντι οποιουδήποτε φορέα ή φυσικού ή νομικού προσώπου για τη ζημία που προκλήθηκε σε βάρος του επειδή το πρόσωπο αυτό εύλογα βασίσθηκε στο πιστοποιητικό, όσον αφορά:
α) την ακρίβεια, κατά τη στιγμή της έκδοσης του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό, καθώς και την ύπαρξη όλων των στοιχείων που απαιτούνται για την έκδοση του.
β) τη διαβεβαίωση ότι ο υπογράφων, η ταυτότητα του οποίου βεβαιώνεται στο αναγνωρισμένο πιστοποιητικό, κατά τη στιγμή της έκδοσης του, κατείχε δεδομένα δημιουργίας υπογραφής, που αντιστοιχούσαν στα αναφερόμενα ή καθοριζόμενα στο πιστοποιητικό δεδομένα επαλήθευσης της υπογραφής.
γ) τη διαβεβαίωση ότι αμφότερα τα δεδομένα δημιουργίας υπογραφής και επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωματικά, εφόσον προέρχονται από πάροχο υπηρεσιών πιστοποίησης.
2. Ο πάροχος υπηρεσιών πιστοποίησης ευθύνεται επίσης, αν παραλείψει να καταγράψει την ανάκληση του πιστοποιητικού.
3. Σε όλες τις παραπάνω περιπτώσεις ο πάροχος δεν ευθύνεται, αν αποδείξει ότι δεν τον βαρύνει πταίσμα.
4. Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, περιορισμοί χρήσης αυτού, υπό την προϋπόθεση ότι οι περιορισμοί τίθενται κατά τρόπο, ο οποίος είναι αναγνωρίσιμος από οποιονδήποτε τρίτο. Σ΄ αυτή την περίπτωση ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκύπτει από την υπέρβαση των αναφερόμενων περιορισμών κατά τη χρήση του αναγνωρισμένου πιστοποιητικού.
5. Στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, όρια για το ύψος των συναλλαγών, για τις οποίες μπορεί να χρησιμοποιηθεί το σχετικό πιστοποιητικό, με την προϋπόθεση ότι τα όρια αυτά τίθενται κατάτρόπο αναγνωρίσιμο από οποιονδήποτε τρίτο. Στην περίπτωση αυτήν ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκαλείται από την υπέρβαση των ορίων αυτών.
6. Τα οριζόμενα στις διατάξεις των παραπάνω παραγράφων ισχύουν με την επιφύλαξη των διατάξεων του Ν. 2251/1994 (Α΄ 191) όπως ισχύει για την προστασία καταναλωτών και ιδιαίτερα για τις καταχρηστικές ρήτρες των συμβάσεων, που συνάπτονται με καταναλωτές.
Άρθρο 7
Προστασία δεδομένων
1. Οι πάροχοι υπηρεσιών πιστοποίησης, η Ε.Ε.Τ.Τ και οι φορείς του άρθρου 4 του παρόντος Διατάγματος υπόκεινται στις διατάξεις του Ν. 2472/1997 (Α΄ 50) και του Ν. 2774/1999 (Α΄ 287) για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
2. Ειδικότερα ο πάροχος των υπηρεσιών πιστοποίησης που εκδίδει πιστοποιητικό, δύναται να συγκεντρώνει δεδομένα προσωπικού χαρακτήρα για την έκδοση πιστοποιητικών μόνο απευθείας από το ενδιαφερόμενο πρόσωπο ή κατόπιν ρητής συγκατάθεσης του και μόνο στο βαθμό που είναι απαραίτητο για την έκδοση και διατήρηση του πιστοποιητικού. Η συλλογή ή επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς απαγορεύεται, χωρίς τη συγκατάθεση του ενδιαφερόμενου προσώπου.
3. Επιτρέπεται στους παρόχους υπηρεσιών πιστοποίησης να αναγράφουν στο αναγνωρισμένο πιστοποιητικό ψευδώνυμο αντί του ονόματος του υπογράφοντος.
Άρθρο 8
Κοινοποίηση
1. Η Γενική Γραμματεία Επικοινωνιών του Υπουργείου Μεταφορών Επικοινωνιών ενημερώνει την Ευρωπαϊκή Επιτροπή το ταχύτερο δυνατόν για την εφαρμογή των διατάξεων του άρθρου 4 του παρόντος.
2. Η Ε.Ε.Τ.Τ ενημερώνει την Ευρωπαϊκή Επιτροπή για τις επωνυμίες και τις διευθύνσεις όλων των διαπιστευμένων εθνικών παροχών υπηρεσιών πιστοποίησης.
3. Τυχόν αλλαγές των παραπάνω πληροφοριών ανακοινώνονται το ταχύτερο δυνατόν στην Επιτροπή από τα ανωτέρω όργανα.
Άρθρο 9
Παραρτήματα
Αποτελούν αναπόσπαστο μέρος του παρόντος τα παρακάτω Παραρτήματα Ι, II, III και IV
ΠΑΡΑΡΤΗΜΑ Ι
Όροι ισχύοντες για αναγνωρισμένα πιστοποιητικά
Τα αναγνωρισμένα πιστοποιητικά πρέπει να περιλαμβάνουν:
α) ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό,
β) τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών πιστοποίησης και το κράτος, στο οποίο είναι εγκατεστημένος,
γ) το όνομα του υπογράφοντος ή ψευδώνυμο που αναγνωρίζεται ως ψευδώνυμο,
δ) πρόβλεψη ειδικού χαρακτηριστικού του υπογράφοντος, που θα περιληφθεί εφόσον είναι σημαντικό σε σχέση με τον σκοπό για τον οποίο προορίζεται το πιστοποιητικό,
ε) δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος,
στ) ένδειξη της έναρξης και του τέλους της περιόδου ισχύος του πιστοποιητικού,
ζ) τον κωδικό ταυτοποίησης του πιστοποιητικού,
η) την προηγμένη ηλεκτρονική υπογραφή του παρόχου των υπηρεσιών πιστοποίησης που το εκδίδει,
θ) τυχόν περιορισμούς του πεδίου χρήσης του πιστοποιητικού, και
ι) τυχόν όρια στο ύψος των συναλλαγών για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί.
ΠΑΡΑΡΤΗΜΑ II
Όροι ισχύοντες για παρόχους υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά
Οι παρόχοι υπηρεσιών πιστοποίησης πρέπει:
α) να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης, σύμφωνα με τα εκάστοτε ισχύοντα κριτήρια,
β) να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης,
γ) να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς,
δ) να προβαίνουν, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε επαλήθευση της ταυτότητας και ενδεχομένως τυχόν ειδικών χαρακτηριστικών του ατόμου στο όνομα του οποίου έχει εκδοθεί αναγνωρισμένο πιστοποιητικό.
ε) να απασχολούν προσωπικό που διαθέτει την κατάρτιση, την εμπειρία και τα προσόντα που είναι απαραίτητα για τις παρεχόμενες υπηρεσίες, ιδίως ικανότητα σε διαχειριστικό επίπεδο, τεχνογνωσία και εμπειρία στις ηλεκτρονικές υπογραφές και εξοικείωση με τις κατάλληλες διαδικασίες ασφάλειας και να χρησιμοποιούν κατάλληλες διοικητικές και διαχειριστικές διαδικασίες, οι οποίες να αντιστοιχούν προς αναγνωρισμένα πρότυπα.
στ) να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα οποία προστατεύονται έναν τιτροποποίησης και να διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών πιστοποίησης οι οποίες υποστηρίζονται από αυτά.
ζ) να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και σε περίπτωση που ο πάροχος πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής να εγγυώνται την τήρηση του απορρήτου κατά τη διάρκεια της διεργασίας παραγωγής των εν λόγω δεδομένων.
η) να διαθέτουν επαρκείς χρηματικούς πόρους ώστε να λειτουργούν σύμφωνα με τις απαιτήσεις που καθορίζονται στην οδηγία, ιδίως για την ανάληψη της ευθύνης ζημιών,
θ) να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο πιστοποιητικό για χρονικό διάστημα τριάντα (30) ετών, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε νομικές διαδικασίες. Η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα.
ι) να μην αποθηκεύουν ή αντιγράφουν δεδομένα δημιουργίας υπογραφής του ατόμου προς το οποίο ο πάροχος υπηρεσιών πιστοποίησης παρέσχε υπηρεσίες διαχείρισης κλειδιών.
ια) πριν συνάψουν συμβατική σχέση με πρόσωπο που ζητεί πιστοποιητικό από αυτούς για να κατοχυρώσει την ηλεκτρονική του υπογραφή, να το ενημερώνουν με ανθεκτικά μέσα επικοινωνίας σχετικά με τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού, συμπεριλαμβανομένων ενδεχομένων περιορισμών της χρήσης του πιστοποιητικού, της ύπαρξης μηχανισμού εθελοντικής διαπίστευσης και των διαδικασιών υποβολής παραπόνων και επίλυσης διαφορών. Οι πληροφορίες αυτές, οι οποίες δύνανται να διαβιβάζονται ηλεκτρονικώς, πρέπει να παρέχονται εγγράφως, σε εύκολα καταληπτή γλώσσα. Σχετικά αποσπάσματα των πληροφοριών αυτών καθίστανται επίσης προσιτά κατόπιν αιτήματος τρίτων, οι οποίοι βασίζονται στο πιστοποιητικό αυτό.
ιβ) να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε επαληθεύσιμη μορφή, ούτως ώστε:
– μόνο αρμόδιοι να μπορούν να διενεργούν εισαγωγές και τροποποιήσεις
– να μπορεί να ελέγχεται η γνησιότητα των πληροφοριών,
– να είναι δυνατή η κοινόχρηστη ανάκτηση πιστοποιητικών μόνον στις περιπτώσεις εκείνες για τις οποίες έχει δοθεί η συγκατάθεση του κατόχου και
– οι τυχόν τεχνικές αλλαγές που θέτουν σε κίνδυνο τις εν λόγω απαιτήσεις ασφαλείας να γίνονται εμφανώς αντιληπτές από τον χειριστή.
ΠΑΡΑΡΤΗΜΑ III
Διασφάλιση αξιοπιστίας της δημιουργίας υπογραφής
1. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής πρέπει, μέσω ενδεδειγμένων τεχνικών και διαδικαστικών μέσων, να διασφαλίζουν τουλάχιστον ότι:
α) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών απαντούν κατ΄ ουσία, μόνο μία φορά και ότι το απόρρητο είναι διασφαλισμένο.
β) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών δεν μπορούν, με εύλογη βεβαιότητα, να αντληθούν από αλλού και ότι η υπογραφή προστατεύεται από πλαστογραφία με τα μέσα της σύγχρονης τεχνολογίας,
γ) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών μπορούν να προστατεύονται αποτελεσματικά από τον νόμιμο υπογράφοντα κατά της χρησιμοποίησης από τρίτους.
2. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής δεν μεταβάλλουν τα προς υπογραφή δεδομένα ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στο υπογράφοντα πριν από τη διαδικασία υπογραφής.
ΠΑΡΑΡΤΗΜΑ IV
Συστάσεις για την ασφαλή επαλήθευση της υπογραφής
Κατά τη διαδικασία επαλήθευσης της υπογραφής θα πρέπει να διασφαλίζεται με εύλογη βεβαιότητα ότι:
α) τα δεδομένα που χρησιμοποιούνται προς επαλήθευση της υπογραφής αντιστοιχούν στα δεδομένα που εμφανίζονται στον επαληθεύοντα,
β) η υπογραφή επαληθεύεται με αξιοπιστία και ότι το αποτέλεσμα της επαλήθευσης εμφανίζεται με ορθό τρόπο,
γ) ο επαληθεύων μπορεί ενδεχομένως να ορίσει με βεβαιότητα τα περιεχόμενα των δεδομένων που υπογράφονται,
δ) η γνησιότητα και η εγκυρότητα του πιστοποιητικού που απαιτείται κατά τη στιγμή της επαλήθευσης της υπογραφής έχουν ελεγχθεί με αξιοπιστία,
ε) το αποτέλεσμα της επαλήθευσης όπως και η ταυτότητα του υπογράφοντος εμφανίζονται με τον ορθό τρόπο,
στ) η χρησιμοποίηση ψευδωνύμου δηλώνεται εμφανώς, και
ζ) μπορούν να εντοπιστούν τυχόν τροποποιήσεις απτόμενες της ασφάλειας.
Άρθρο 10
Έναρξη ισχύος
Η ισχύς του παρόντος Διατάγματος αρχίζει από τη δημοσίευση του στην Εφημερίδα της Κυβερνήσεως.
Στον Υπουργό Μεταφορών και Επικοινωνιών αναθέτουμε τη δημοσίευση και εκτέλεση του παρόντος Διατάγματος.
Αθήνα, 13 Ιουνίου 2001
Ο ΠΡΟΕΔΡΟΣ ΤΗΣ ΔΗΜΟΚΡΑΤΙΑΣ
ΚΩΝΣΤΑΝΤΙΝΟΣ ΣΤΕΦΑΝΟΠΟΥΛΟΣ