Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Ustaw
  3. Dz.U.2016.1627

Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.

ROZPORZĄDZENIE
MINISTRA CYFRYZACJI 1
z dnia 5 października 2016 r.
w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników

Na podstawie art. 20a ust. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114 oraz z 2016 r. poz. 352 i 1579) zarządza się, co następuje:
§  1.
Rozporządzenie określa szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do wydania certyfikatu oraz stosowania technologii, o których mowa w art. 20a ust. 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w tym zakres i okres przechowywania danych w systemie oraz obowiązki informacyjne, do których zobowiązany jest administrator systemu.
§  2.
1.
System certyfikujący służący do wydawania i unieważniania certyfikatów wykorzystywanych przez podmioty publiczne do uwierzytelniania użytkowników:
1)
umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został on wystawiony;
2)
umożliwia niezwłoczne unieważnienie certyfikatu;
3)
precyzyjnie określa czas wystawienia i unieważnienia certyfikatu, zgodnie z urzędowym czasem określonym w przepisach wydanych na podstawie art. 4 ust. 2 ustawy z dnia 10 grudnia 2003 r. o czasie urzędowym na obszarze Rzeczypospolitej Polskiej (Dz. U. z 2004 r. poz. 144);
4)
potwierdza tożsamość osoby, dla której jest wydawany certyfikat;
5)
spełnia wymagania w zakresie bezpieczeństwa teleinformatycznego, dobierane na podstawie analizy ryzyka;
6)
nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości z wykorzystaniem certyfikatów.
2.
System certyfikujący przechowuje dane dotyczące wydanych certyfikatów przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym certyfikat został wystawiony.
3.
Bieżące zapewnienie poprawności i użyteczności funkcjonalnej systemu certyfikującego wymaga:
1)
systematycznego przeglądu skuteczności zastosowanych środków w zakresie bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień;
2)
utrzymywania w stanie aktualnym dokumentacji operacyjnej i technicznej systemu, zapewniającej jego bezpieczną eksploatację;
3)
zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania systemu;
4)
prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności podczas procesu tworzenia danych do potwierdzania tożsamości;
5)
zapewniania osobom ubiegającym się o certyfikat dostępu do informacji o warunkach stosowania certyfikatu.
4.
Warunki określone w ust. 1-3 uważa się za spełnione, gdy:
1)
została wdrożona polityka certyfikacji spełniająca wymagania wskazane w standardzie ETSI TS 102 042;
2)
zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami standardu CWA 14167-1 lub nowszego w zakresie świadczenia usług innych niż wydawanie certyfikatów kwalifikowanych;
3)
zastosowane zostały systemy i produkty zgodne z wymaganiami standardu CWA 14167-2, 3 i 4 lub nowszego.
5.
Administrator systemu certyfikującego udostępnia deklarację o spełnieniu wymagań określonych w ust. 3 oraz politykę certyfikacji:
1)
w Biuletynie Informacji Publicznej albo
2)
na stronie internetowej podmiotu - w przypadku podmiotów niezobowiązanych przez przepisy prawa do prowadzenia Biuletynu Informacji Publicznej.
§  3.
1.
System zarządzania tożsamością przetwarzający dane dotyczące tożsamości użytkowników wykorzystywany przez podmioty publiczne do uwierzytelniania użytkowników w oparciu o inne metody niż certyfikat:
1)
rejestruje użytkowników;
2)
potwierdza tożsamość użytkowników;
3)
przechowuje i udostępnia dane identyfikacyjne użytkowników systemom autoryzującym uprawnionym do ich otrzymania;
4)
umożliwia zablokowanie konta użytkownika na jego żądanie;
5)
zapewnia rozliczalność, rozumianą jako przypisanie określonego działania w systemie do osoby fizycznej lub procesu oraz umiejscowienie ich w czasie;
6)
zapewnia integralność, autentyczność i poufność danych identyfikacyjnych i uwierzytelniających użytkownika;
7)
zapewnia codzienną synchronizację czasu systemowego z czasem UTC(PL).
2.
System zarządzania tożsamością przechowuje dane dotyczące tożsamości użytkownika przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym wykonano w systemie ostatnią operację z użyciem tożsamości.
3.
Administrowanie systemem zarządzania tożsamością wymaga:
1)
zapewniania wiarygodności procesu rejestracji użytkowników i potwierdzania ich tożsamości;
2)
utrzymywania w stanie aktualnym dokumentacji operacyjnej i technicznej systemu, zapewniającej jego bezpieczną eksploatację;
3)
opracowania i ustanawiania, wdrażania i eksploatowania, monitorowania i przeglądania oraz utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
4.
Warunki określone w ust. 2 i 3 uważa się za spełnione, jeśli system zarządzania bezpieczeństwem informacji został zweryfikowany pozytywnie przez jednostkę certyfikującą akredytowaną, zgodnie z ustawą z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. poz. 542, 1228 i 1579).
§  4.
1.
System autoryzujący, uwierzytelniając użytkowników, dokonuje weryfikacji tożsamości użytkowników, wykorzystując usługi systemu certyfikującego lub systemu zarządzania tożsamością, oraz przechowuje dane potwierdzające tę weryfikację.
2.
Dane potwierdzające weryfikację, o których mowa w ust. 1, powinny w sposób jednoznaczny umożliwiać:
1)
ustalenie tożsamości osoby, która dokonała czynności w postaci elektronicznej;
2)
stwierdzenie ważności uprawnień w momencie dokonania czynności;
3)
ustalenie czasu dokonania czynności.
§  5.
Rozporządzenie wchodzi w życie z dniem 7 października 2016 r. 2
1 Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).
2 Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. poz. 545), które traci moc z dniem 7 października 2016 r. na podstawie art. 142 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579).

Zmiany w prawie

Mucha: Od 1 września obowiązek szkolny dla dzieci z Ukrainy
Mucha: Od 1 września obowiązek szkolny dla dzieci z Ukrainy

Od 1 września będzie obowiązek szkolny dla dzieci z Ukrainy, połączony z pobieraniem zasiłku 800 plus. Zapowiedziała to w środę wiceministra edukacji Joanna Mucha. Z przekazanych przez nią szacunkowych danych wynika, że do polskich szkół nie posłano prawdopodobnie ok. 75 tysięcy ukraińskich dzieci. Według Muchy często powodem takiej decyzji było przekonanie rodziców lub opiekunów, że bardzo szybko wrócą do Ukrainy.

Krzysztof Koślicki 12.06.2024
Wnioski o świadczenie z programu "Aktywny rodzic" od 1 października
Wnioski o świadczenie z programu "Aktywny rodzic" od 1 października

Pracujemy w tej chwili nad intuicyjnym, sympatycznym, dobrym dla użytkowników systemem - przekazała we wtorek w Warszawie szefowa MRPiPS Agnieszka Dziemianowicz-Bąk. Nowe przepisy umożliwią wprowadzenie do systemu prawnego trzech świadczeń: "aktywni rodzice w pracy", "aktywnie w żłobku" i "aktywnie w domu". Na to samo dziecko za dany miesiąc będzie jednak przysługiwało tylko jedno z tych świadczeń.

Krzysztof Koślicki 11.06.2024
KSeF od 1 lutego 2026 r. - ustawa opublikowana
KSeF od 1 lutego 2026 r. - ustawa opublikowana

Obligatoryjny Krajowy System e-Faktur wejdzie w życie 1 lutego 2026 roku. Ministerstwo Finansów zapowiedziało wcześniej, że będzie też drugi projekt, dotyczący uproszczeń oraz etapowego wejścia w życie KSeF - 1 lutego 2026 r. obowiązek obejmie przedsiębiorców, u których wartość sprzedaży przekroczy 200 mln zł, a od 1 kwietnia 2026 r. - wszystkich przedsiębiorców.

Monika Pogroszewska 11.06.2024
Prezydent podpisał nowelę ustawy o zasadach prowadzenia polityki rozwoju
Prezydent podpisał nowelę ustawy o zasadach prowadzenia polityki rozwoju

Prezydent podpisał nowelizację ustawy o zasadach prowadzenia polityki rozwoju oraz niektórych innych ustaw - poinformowała w poniedziałek kancelaria prezydenta. Nowe przepisy umożliwiają m.in. podpisywanie umów o objęcie przedsięwzięć wsparciem z KPO oraz rozliczania się z wykonawcami w euro.

Ret/PAP 10.06.2024
Wakacje składkowe dla przedsiębiorców z podpisem prezydenta
Wakacje składkowe dla przedsiębiorców z podpisem prezydenta

Prezydent Andrzej Duda podpisał nowelizację ustawy o systemie ubezpieczeń społecznych oraz niektórych innych ustaw – poinformowała Kancelaria Prezydenta RP w poniedziałkowym komunikacie. Ustawa przyznaje określonym przedsiębiorcom prawo do urlopu od płacenia składek na ubezpieczenia społeczne przez jeden miesiąc w roku.

Grażyna J. Leśniak 10.06.2024
Prezydent podpisał ustawę powołującą program "Aktywny Rodzic"
Prezydent podpisał ustawę powołującą program "Aktywny Rodzic"

Prezydent podpisał ustawę o wspieraniu rodziców w aktywności zawodowej oraz w wychowaniu dziecka "Aktywny rodzic". Przewiduje ona wprowadzenie do systemu prawnego trzech świadczeń wspierających rodziców w aktywności zawodowej oraz w wychowywaniu i rozwoju małego dziecka: „aktywni rodzice w pracy”, „aktywnie w żłobku” i „aktywnie w domu”. Na to samo dziecko za dany miesiąc będzie przysługiwało tylko jedno z tych świadczeń. O tym, które – zdecydują sami rodzice.

Grażyna J. Leśniak 10.06.2024
Metryka aktu
Identyfikator:

Dz.U.2016.1627
Rodzaj: Rozporządzenie
Tytuł: Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.
Data aktu: 05/10/2016
Data ogłoszenia: 06/10/2016
Data wejścia w życie: 07/10/2016