eIDAS

eIDAS (inglise keeles electronic IDentification, Authentication and trust Services) on Euroopa Parlamendi ja nõukogu määrus (EL) nr 910/2014, mis võeti vastu 23. juuli 2014 ja millega tunnistati kehtetuks direktiiv 1999/93/EÜ.^[1]

Määruse eestikeelne nimi on "e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ"

Määrusega tagatakse siseturu nõuetekohane toimimine, seades samal ajal eesmärgiks saavutada e-identimise vahendite ja usaldusteenuste asjakohane turvalisuse tase:^[2][3]

1. sätestatakse tingimused, mille alusel peavad liikmesriigid tunnustama füüsiliste ja juriidiliste isikute e-identimise vahendeid, mis kuuluvad teise liikmesriigi teavitatud e-identimise süsteemi,
2. sätestatakse usaldusteenuste, eelkõige e-tehingute eeskirjad, ning
3. luuakse õigusraamistik digiallkirja, digitempli, digiajatempli, e-dokumentide, registreeritud e-andmevahetusteenuste ja veebisaitide autentimise sertifitseerimisteenuste jaoks.

Digiallkiri

  Pikemalt artiklis Digiallkiri

Digiallkirju on eIDASe järgi 4 kategooriat:

• kvalifitseeritud digiallkiri (Qualified Electronic Signatures - QES);
• täiustatud digiallkiri kvalifitseeritud sertifikaatidega (Advanced Electronic Signature with Qualified Certificates - AdES/QC)
• täiustatud digiallkiri (advanced electronic signature - AdES)
• lihtne allkiri

Määruse lisad

Nõuded kvalifitseeritud digiallkirjasertifikaatidele

Digiallkirja kvalifitseeritud sertifikaadid peavad sisaldama järgmist^[4]:

1. vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud digiallkirja kvalifitseeritud sertifikaadina;
2. kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus kõnealune teenuseosutaja asub, ning
   1. kui tegemist on juriidilise isikuga: nimi ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides,
   2. kui tegemist on füüsilise isikuga: isiku nimi;
3. vähemalt allkirja andja nimi või varjunimi; kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
4. digiallkirja valideerimisandmed, mis vastavad digiallkirja andmiseks vajalikele andmetele;
5. üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
6. kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
7. väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud digiallkiri või täiustatud digitempel;
8. koht, kus punktis g (7.) osutatud täiustatud digiallkirja või täiustatud digitemplit kinnitav sertifikaat on tasuta kättesaadav;
9. nende teenuste koht, mille abil on võimalik uurida kvalifitseeritud sertifikaadi kehtivust;
10. kui digiallkirja valideerimisandmetega seotud digiallkirja andmiseks vajalikud andmed asuvad kvalifitseeritud digiallkirja andmise vahendis, siis vähemalt automaatseks töötlemiseks sobivas formaadis asjakohane viide kõnealusele kohale.

Nõuded kvalifitseeritud digiallkirja andmise vahenditele

1. Kvalifitseeritud digiallkirja andmise vahendid tagavad asjakohaste tehniliste ja menetluslike vahendite abil vähemalt selle, et:
   1. Digiallkirja andmiseks kasutatavate digiallkirja andmiseks vajalike andmete konfidentsiaalsus on piisavalt tagatud;
   2. Digiallkirja andmiseks kasutatavad digiallkirja andmiseks vajalikud andmed võivad reaalselt esineda ainult ühe korra;
   3. on piisavalt kindel, et digiallkirja andmiseks kasutatavaid digiallkirja andmiseks vajalikke andmeid ei saa tuletada ja et digiallkiri on piisavalt kaitstud praegu kättesaadava tehnoloogia abil võltsimise vastu;
   4. õiguspärane allkirja andja saab digiallkirja andmiseks kasutatavaid digiallkirja andmiseks vajalikke andmeid piisavalt kaitsta, et teised isikud ei saaks neid kasutada.
2. Kvalifitseeritud digiallkirja andmise vahendid ei tohi muuta allkirjastatavaid andmeid ega takistada selliste andmete esitamist allkirja andjale enne allkirja andmist.
3. Digiallkirja andmiseks vajalikke andmeid võib allkirja andja nimel luua või hallata üksnes kvalifitseeritud usaldusteenuse osutaja.
4. Ilma et see piiraks punkti 1 alapunkti d (4.) kohaldamist, võib kvalifitseeritud usaldusteenuse osutaja, kes haldab digiallkirja andmiseks vajalikke andmeid allkirja andja nimel, dubleerida digiallkirja andmiseks vajalikud andmed üksnes varukoopiate omamiseks, eeldusel et on täidetud järgmised tingimused:
   1. dubleeritud andmekogumi turvatase peab olema sama mis algsel andmekogumil;
   2. dubleeritud andmekogumite arv ei ületa teenuse järjepidevuse tagamiseks vajalikku miinimumi.

Nõuded kvalifitseeritud templiteenustele

digitemplite kvalifitseeritud sertifikaadid peavad sisaldama järgmist:

1. vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud digitempli kvalifitseeritud sertifikaadina;
2. kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus teenuseosutaja asub, ning
   1. kui tegemist on juriidilise isikuga: nimi ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides,
   2. kui tegemist on füüsilise isikuga: isiku nimi;
3. vähemalt digitempli andja nimi ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides;
4. digitempli valideerimisandmed, mis vastavad digitempli loomiseks vajalikele andmetele;
5. üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
6. kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
7. väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud digiallkirja või täiustatud digitempel;
8. koht, kus punktis g osutatud täiustatud digiallkirja või täiustatud digitemplit kinnitav sertifikaat on tasuta kättesaadav;
9. nende teenuste koht, mille abil on võimalik uurida kvalifitseeritud sertifikaadi kehtivust;
10. kui digitempli valideerimisandmetega seotud digitempli loomiseks vajalikud andmed asuvad kvalifitseeritud digitempli loomise vahendis, siis vähemalt automaatseks töötlemiseks sobivas formaadis asjakohane viide kõnealusele kohale.

Nõuded veebilehtedel autentimiseks kvalifitseeritud sertifikaatidele

Kvalifitseeritud sertifikaadid veebisaidi autentimiseks peavad sisaldama järgmist:

1. vähemalt automaatseks töötlemiseks sobivas formaadis märge selle kohta, et sertifikaat on väljastatud veebisaidi autentimise kvalifitseeritud sertifikaadina;
2. kvalifitseeritud sertifikaate väljastava kvalifitseeritud usaldusteenuse osutajat üheselt mõistetavalt tähistavad andmed, mis sisaldavad vähemalt selle liikmesriigi nime, kus teenuseosutaja asub, ning
   1. kui tegemist on juriidilise isikuga: nimi ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides,
   2. kui tegemist on füüsilise isikuga: isiku nimi;
3. kui tegemist on füüsilise isikuga: vähemalt selle isiku nimi või varjunimi, kellele sertifikaat on väljastatud. Kui kasutatakse varjunime, on varjunime kasutus selgesti näidatud;
4. kui tegemist on juriidilise isikuga: vähemalt selle juriidilise isiku nimi, kellele sertifikaat on väljastatud, ja kui see on asjakohane, siis registrinumber, nagu see on esitatud ametlikes dokumentides;
5. selle füüsilise või juriidilise isiku aadressi elemendid, kellele sertifikaat on väljastatud, sealhulgas vähemalt linn ja riik; kui see on asjakohane, siis sellisel kujul, nagu need on esitatud ametlikes dokumentides;
6. selle domeeni nimi/nende domeenide nimed, mida haldab füüsiline või juriidiline isik, kellele sertifikaat on väljastatud;
7. üksikasjalikud andmed sertifikaadi kehtivusaja alguse ja lõpu kohta;
8. kvalifitseeritud usaldusteenuse osutajale omistatud ainukordne sertifikaadi tunnuskood;
9. väljastava kvalifitseeritud usaldusteenuse osutaja täiustatud digiallkiri või täiustatud digitempel;
10. koht, kus punktis h osutatud täiustatud digiallkirja või täiustatud digitemplit kinnitav sertifikaat on tasuta kättesaadav;
11. nende sertifikaadi kehtivusega seotud teenuste koht, mille abil on võimalik uurida kvalifitseeritud sertifikaadi kehtivust.

Vaata ka

• E-identimise ja e-tehingute usaldusteenuste seadus
• Isikuandmete kaitse üldmäärus (GDPR)

Viited

1. EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) nr 910/2014, Euroopa Liidu Teataja, 23. juuli 2014
2. "Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC". EUR-Lex. The European Parliament and the Council of the European Union. Vaadatud 18. märtsil 2016.
3. van Zijp, Jacques. "Is the EU ready for eIDAS?". Secure Identity Alliance. Originaali arhiivikoopia seisuga 22. november 2016. Vaadatud 18. märtsil 2016.
4. "Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC". EUR-Lex. The European Parliament and the Council of the European Union. Vaadatud 18. märtsil 2016.

Välislingid

• E-identimise ja e-tehingute usaldusteenuste seadus, Riigi Teataja, Vastu võetud 12.10.2016
• Turvalisemad tehingud internetis, ELi väljaanded, 17. märts 2016