Capitolul ii - INTEGRITATEA PORTOFELELOR EUROPENE PENTRU IDENTITATEA DIGITALĂ - Regulamentul 2979/28-nov-2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte integritatea şi funcţionalităţile de bază ale portofelelor europene pentru identitatea digitală
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 4 Decembrie 2024
CAPITOLUL II:INTEGRITATEA PORTOFELELOR EUROPENE PENTRU IDENTITATEA DIGITALĂ
Art. 3: Integritatea unităţii de portofel
(1)Unităţile de portofel nu execută niciuna dintre funcţionalităţile enumerate la articolul 5a alineatul (4) din Regulamentul (UE) nr. 910/2014, cu excepţia autentificării utilizatorului portofelului pentru a permite accesarea unităţii de portofel, până când unitatea de portofel nu l-a autentificat pe utilizatorul portofelului.
(2)Furnizorii de portofele trebuie să semneze sau să sigileze, pentru fiecare unitate de portofel, cel puţin un atestat al unităţii de portofel care îndeplineşte cerinţele prevăzute la articolul 6. Certificatul utilizat pentru a semna sau a sigila atestatul unităţii de portofel se eliberează în cadrul unui certificat enumerat în lista de încredere menţionată în Regulamentul de punere în aplicare (UE) 2024/2980.
Art. 4: Instanţe ale portofelului
(1)Instanţele portofelelor utilizează cel puţin un dispozitiv criptografic securizat pentru gestionarea activelor critice.
(2)Furnizorii de portofele asigură integritatea, autenticitatea şi confidenţialitatea comunicării dintre instanţele portofelului şi aplicaţiile criptografice securizate pentru portofel.
(3)În cazul în care activele critice sunt legate de efectuarea identificării electronice la un nivel de asigurare ridicat, operaţiunile criptografice pentru portofel sau alte operaţiuni de prelucrare a activelor critice se efectuează în conformitate cu cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei (11).
(11)Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei din 8 septembrie 2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă (JO L 235, 9.9.2015, p. 7, ELI: http://data.europa.eu/eli/dir/2015/1502/oj).
Art. 5: Aplicaţii criptografice securizate pentru portofel
(1)Furnizorii de portofele se asigură că aplicaţiile criptografice securizate pentru portofel:
a)efectuează operaţiuni criptografice pentru portofel care implică active critice, altele decât cele necesare pentru ca unitatea de portofel să îl autentifice pe utilizatorul portofelului, numai în cazurile în care aplicaţiile respective i-au autentificat pe utilizatorii portofelelor;
b)atunci când îi autentifică pe utilizatorii portofelelor în contextul efectuării identificării electronice la un nivel de asigurare ridicat, efectuează autentificarea utilizatorilor portofelelor în conformitate cu cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;
c)sunt în măsură să genereze în mod securizat noi chei criptografice;
d)sunt în măsură să efectueze ştergerea într-un mod securizat a activelor critice;
e)sunt în măsură să genereze o dovadă a deţinerii unor chei private;
f)protejează cheile private generate de aplicaţiile criptografice securizate pentru portofel pe durata existenţei cheilor;
g)respectă cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;
h)sunt singurele componente capabile să execute operaţiuni criptografice pentru portofel şi orice altă operaţiune cu active critice în contextul efectuării identificării electronice la un nivel de asigurare ridicat.
(2)În cazul în care decid să furnizeze o aplicaţie criptografică securizată pentru portofel unui element de securitate integrat, furnizorii de portofele îşi bazează soluţia tehnică pe specificaţiile tehnice enumerate în anexa I sau pe alte specificaţii tehnice echivalente.
Art. 6: Autenticitatea şi valabilitatea unităţii de portofel
(1)Furnizorii de portofele se asigură că fiecare unitate de portofel conţine atestate ale unităţilor de portofel.
(2)Furnizorii de portofele se asigură că atestatele unităţilor de portofel menţionate la alineatul (1) conţin chei publice şi că cheile private corespunzătoare sunt protejate de un dispozitiv criptografic securizat pentru portofel.
(3)Furnizorii de portofele:
a)îi informează pe utilizatorii portofelelor cu privire la drepturile şi obligaţiile care le revin în legătură cu unitatea lor de portofel;
b)furnizează mecanisme, independente de unităţile de portofel, pentru identificarea şi autentificarea securizată a utilizatorilor portofelelor;
c)se asigură că utilizatorii portofelelor au dreptul să solicite revocarea atestatelor unităţilor lor de portofel, utilizând mecanismele de autentificare menţionate la litera (b).
Art. 7: Revocarea atestatelor unităţilor de portofel
(1)Furnizorii de portofele sunt singurele entităţi care pot revoca atestatele unităţilor de portofel pe care le-au furnizat.
(2)Furnizorii de portofele stabilesc politici accesibile publicului în care precizează condiţiile în care pot fi revocate atestatele unităţilor de portofel şi termenele aplicabile unei astfel de revocări.
(3)În cazul în care au revocat atestatele unităţilor de portofel, furnizorii de portofele îi informează pe utilizatorii portofelelor afectaţi de revocare, în termen de 24 de ore de la revocarea unităţilor lor de portofel, indicând motivul revocării şi consecinţele acestei revocări pentru utilizatorii portofelelor. Această informare se efectuează într-o manieră concisă, care este uşor accesibilă şi utilizează un limbaj clar şi simplu.
(4)În cazul în care au revocat atestatele unităţilor de portofel, furnizorii de portofele informează publicul larg cu privire la statutul de valabilitate al atestatelor unităţilor de portofel într-o manieră care să protejeze confidenţialitatea şi indică unde se află informaţiile respective în atestatele unităţilor de portofel.