VALSTYBINĖS MOKESČIŲ INSPEKCIJOS
PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS VIRŠININKO
Į S A K Y M A S
DĖL ELEKTRONINIŲ DOKUMENTŲ KVALIFIKUOTO ELEKTRONINIO PARAŠO TAISYKLIŲ PATVIRTINIMO
2011 m. sausio 19 d. Nr. VA-9
Vilnius
Vadovaudamasis Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos nuostatų, patvirtintų Lietuvos Respublikos finansų ministro 1997 m. liepos 29 d. įsakymu Nr. 110 „Dėl Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos nuostatų patvirtinimo“ (Žin., 1997, Nr. 87-2212; 2004, Nr. 82-2966), 17 ir 18.11 punktais bei atsižvelgdamas į Reikalavimus elektroninio parašo tikrinimo procedūrai, patvirtintus Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2003 m. sausio 29 d. įsakymu Nr. T-8 (Žin., 2003, Nr. 11-432 ),
PATVIRTINTA
Valstybinės mokesčių inspekcijos prie
Lietuvos Respublikos finansų
ministerijos viršininko
2011 m. sausio 19 d. įsakymu Nr. VA-9
ELEKTRONINIŲ DOKUMENTŲ KVALIFIKUOTO ELEKTRONINIO PARAŠO TAISYKLĖS
I. Bendrosios nuostatos
1. Elektroninių dokumentų kvalifikuoto elektroninio parašo taisyklės (toliau – Taisyklės) nustato mokesčių mokėtojų rengiamų ir mokesčių administratoriui elektroniniu būdu teikiamų elektroninių dokumentų kvalifikuotų elektroninių parašų sudarymo ir tikrinimo tvarką, pasirašančio asmens ir tikrinančio asmens įsipareigojimus, nurodo techninius standartus ir veiksmus, kurie turi būti atliekami kuriant ir tikrinant elektroninių dokumentų kvalifikuotus elektroninius parašus.
2. Mokesčių mokėtojas, naudodamas jam tinkamas instrumentines priemones, rengia, pasirašo, sudaro kvalifikuotų elektroninių parašų formatus XAdES-EPES ir mokesčių administratoriui teikia GGeDOC grupės elektroninius dokumentus, o mokesčių administratorius tikrina gaunamus iš mokesčių mokėtojų GGeDOC grupės XAdES-EPES formato elektroninių dokumentų elektroninius parašus ir parengia juos ilgalaikiam saugojimui, suformuodamas XAdES-X-L formato elektroninius parašus.
3. Parašo taisyklės parengtos vadovaujantis Lietuvos Respublikos elektroninio parašo įstatymu (Žin., 2000, Nr. 61-1827), Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimu Nr. 2108 „Dėl reikalavimų kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, reikalavimų elektroninio parašo įrangai, kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos ir elektroninio parašo priežiūros reglamento patvirtinimo“ (Žin., 2003, Nr. 2-47), Elektroninių dokumentų valdymo taisyklėmis, patvirtintomis Lietuvos archyvų departamento prie Lietuvos Respublikos vyriausybės generalinio direktoriaus 2006 m. sausio 11 d. įsakymu Nr. V-12 (Žin., 2006, Nr. 7-268), Reikalavimais elektroninio parašo tikrinimo procedūrai, patvirtintais Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2003 m. sausio 29 d. įsakymu Nr. T-8 (Žin., 2003, Nr. 11-432), Laiko žymos formavimo paslaugų teikimo tvarka, patvirtinta Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2003 m. sausio 29 d. įsakymu Nr. T-10 (Žin., 2003, Nr. 11-434 ), Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės generalinio direktoriaus 2008 m. spalio 9 d. įsakymas Nr. V-119 „Dėl Elektroniniu parašu pasirašyto elektroninio dokumento specifikacijos reikalavimų aprašo patvirtinimo“ (Žin., 2008, Nr. 118-4488), Elektroniniu parašu pasirašyto elektroninio dokumento specifikacija ADOC-V1.0, patvirtinta Lietuvos archyvų departamento generalinio direktoriaus 2009 m. rugsėjo 7 d. įsakymu Nr. V-60 „Dėl Elektroniniu parašu pasirašyto elektroninio dokumento specifikacijos ADOC-V1.0 patvirtinimo“ (Žin., 2009, Nr.108-4574, toliau – ADOC-V1.0 specifikacija), kitais teisės aktais bei Europos Sąjungos elektroninio parašo standartizavimo iniciatyvos dokumentais ir minimaliais techninių standartų reikalavimais, apibrėžiančiais pakankamas sąlygas, kurioms esant elektroninis parašas tenkina kvalifikuotam elektroniniam parašui keliamus reikalavimus, apibrėžtais tarptautiniuose standartuose:
3.1. ETSI TR 102 038 v1.1.1: „TS Security – Electronic Signatures and Infrastructures (ESI); XML format for signature policies“;
3.2. ETSI TR 102 272 v1.1.1: „Electronic Signatures and Infrastructures (ESI); ASN.1 format for signature policies“;
3.11. ETSI TS 101 456 v1.2.1: „Policy requirements for certification authorities issuing qualified certificates“;
4. Parašo taisyklėse naudojamos pagrindinės sąvokos ir santrumpos:
CRL – Sertifikatų atšaukimo sąrašas (angl. Certificate Revocation List).
Elektroninio dokumento pakuotė (toliau – Pakuotė) – rinkmena, kurioje pateikiamas pasirašyto elektroninio dokumento turinys, elektroninio dokumento elektroniniai parašai ir elektroninio dokumento metaduomenys.
Elektroninio parašo TPĮ – elektroninio parašo formavimo taikomoji programinė įranga, atitinkanti tarptautinio standarto CWA 14170:2004 „Security Requirements for Signature Creation Applications“ reikalavimus.
Elektroninis dokumentas – mokesčių administratoriui elektroniniu būdu teikiamas ADOC-V1.0 specifikacijos dokumentas, pasirašytas kvalifikuotu elektroniniu parašu.
ID – Identifikatorius.
Galiojantis kvalifikuotas sertifikatas – kvalifikuotas sertifikatas, kurio galiojimo laikotarpį sudaro laiko intervalas, atitinkantis visus toliau nurodytus reikalavimus:
1) sertifikato galiojimo laikotarpis yra apribotas sertifikato galiojimo pradžios ir pabaigos laiko momentais, nurodytais kvalifikuotame sertifikate;
2) sertifikato galiojimo laikotarpis yra apribotas kreipimosi dėl sertifikato galiojimo nutraukimo ar sustabdymo laiku, paskelbtu ne vėliau negu praėjus kvalifikuoto sertifikato taisyklėse nurodytam sertifikato paskelbimo negaliojančiu terminui.
GGeDOC grupės elektroniniai dokumentai – valstybės ir savivaldybių institucijų, įstaigų ir įmonių, kitų subjektų, įgaliotų atlikti viešojo administravimo funkcijas, ir valstybės įgaliotų asmenų iš nevalstybinių organizacijų, privačių juridinių ir fizinių asmenų gaunami elektroniniai dokumentai.
Kvalifikuotas sertifikatas – sertifikatas, kurį sudarė sertifikavimo paslaugų teikėjas, atitinkantis Reikalavimus kvalifikuotus sertifikatus sudarantiems sertifikavimo paslaugų teikėjams, patvirtintus Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimu Nr. 2108, ir įregistruotas Kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų registravimo tvarkos, patvirtintos Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimu Nr. 2108, nustatyta tvarka, arba Europos Sąjungos valstybės sertifikavimo paslaugų teikėjas, turintis Europos Sąjungos valstybės narės teisės aktų suteiktą kvalifikuoto sertifikavimo paslaugų teikėjo statusą. Šiame sertifikate yra duomenys, nurodyti Lietuvos Respublikos elektroninio parašo įstatyme.
Kvalifikuotas elektroninis parašas – saugus elektroninis parašas, sudarytas saugia parašo formavimo įranga ir patvirtintas galiojančiu kvalifikuotu sertifikatu.
Laiko žymų tarnyba (angl. Time Stamping Authority) – tarnyba, kuri teikia laiko žymas kaip įrodymus, kad tam tikri duomenys (pvz., elektroninis parašas) jau egzistavo iki žymoje užfiksuoto laiko. Laiko žymos tarnybų veiklos procedūros ir naudojama įranga turi atitikti tarptautiniame standarte ETSI TS 102 023 v1.2.1 „Policy requirements for time-stamping authorities“ nustatytus reikalavimus.
Metaduomenys – neatsiejama elektroninio dokumento dalis, kurioje gali būti pateikiama elektroninių dokumentų rengimo, registravimo, sisteminimo, priėjimo, saugojimo ir naikinimo procedūras aprašanti struktūrizuota kontekstinė informacija.
Neišreikštinės parašo taisyklės – elektroninio parašo sudarymo ir tikrinimo taisyklės, kurios yra įvardytos elektroniniu parašu pasirašytame elektroniniame dokumente arba patvirtintos elektroninių dokumentų naudojimą reglamentuojančiuose teisės aktuose ir nurodytos XAdES-EPES formato elektroniniame paraše elementu <SignaturePolicyIdentifier>, kurio viduje yra elementas <SignaturePolicyImplied>.
OCSP – Operatyvus sertifikato statuso protokolas (angl. On-line Certificate Status Protocol).
Pagalbinių sertifikavimo paslaugų teikėjas – sertifikavimo paslaugų teikėjas, teikiantis sertifikavimo paslaugas, susijusias su elektroninio parašo naudojimu, išskyrus pagrindines sertifikavimo paslaugas. Pagalbinių sertifikavimo paslaugų teikėjas gali tikrinti fiziniam ar juridiniam asmeniui adresuotų pasirašytų elektroninių dokumentų elektroninius parašus, vadovaudamasis tarp asmens, kuriam yra adresuoti pasirašyti elektroniniai dokumentai, ir sertifikavimo paslaugų teikėjo sudaryta sutartimi.
Parašo pirminis tikrinimas – elektroninio parašo galiojimo tikrinimas ir parengimas ilgalaikiam saugojimui, taip suteikiant galimybę ateityje patikrinti elektroninio parašo galiojimą, nesikreipiant į viešųjų raktų infrastruktūrą.
Parašo pirminis tikrinimas iki sertifikato atšaukimo laikotarpio pabaigos – elektroninio parašo pirminio tikrinimo etapas atliekamas nedelsiant, gavus pasirašytą elektroninį dokumentą. Elektroninio parašo pirminio tikrinimo iki sertifikato atšaukimo laikotarpio pabaigos etapas susideda iš elektroninio parašo formato bei pasirašyto elektroninio dokumento autentiškumo tikrinimo, laiko žymos suformavimo ir kvalifikuoto sertifikato galiojimo pirmojo tikrinimo.
Parašo pirminis tikrinimas, pasibaigus sertifikato atšaukimo laikotarpiui – elektroninio parašo pirminio tikrinimo etapas atliekamas, pasibaigus kvalifikuoto sertifikato ir visų sekos sertifikatų atšaukimo laikotarpiui, skaičiuojant nuo elektroninio parašo laiko žymoje nurodyto laiko momento. Parašo pirminis tikrinimas, pasibaigus sertifikato atšaukimo laikotarpiui, susideda iš kvalifikuoto sertifikato galiojimo antrojo tikrinimo, nuorodų į sertifikavimo seką bei atšaukimo duomenų išsaugojimo XAdES-C formato paraše, laiko žymos šiam formatui uždėjimo ir sertifikavimo sekos bei šios sekos sertifikatų atšaukimo duomenų išsaugojimo XAdES-X-L formato elektroniniame paraše.
Patikima laiko žymų tarnyba – laiko žymų tarnyba, atitinkanti tarptautinio standarto LST ETSI TS 102 023 v1.2.1:2007 keliamus reikalavimus ir įtraukta į patikimų sertifikavimo paslaugų teikėjų sąrašą https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml, arba laiko žymų tarnyba, kuria elektroninio parašo tikrintojas pasitiki.
Patikimas sertifikatas – patikimo sertifikavimo centro sudarytas kvalifikuotas sertifikatas.
Patikimas sertifikavimo centras – sertifikavimo paslaugų teikėjas, sudarantis kvalifikuotus sertifikatus ir įtrauktas į patikimų sertifikavimo paslaugų teikėjų sąrašą https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml.
Saugus elektroninis parašas – elektroninis parašas, pasižymintis saugaus elektroninio parašo savybėmis, kaip apibrėžta Lietuvos Respublikos elektroninio parašo įstatyme, ir yra sukurtas priemonėmis, tenkinančiomis standarto LST CWA 14170:2005 „Reikalavimai, keliami parašo formavimo taikomosioms sistemoms“ reikalavimus.
Saugi parašo formavimo įranga – elektroninio parašo formavimo įranga, kuri atitinka šiuos reikalavimus:
1) parašo formavimo duomenis, naudojamus elektroniniam parašui sukurti, praktiškai įmanoma gauti tik vienintelį kartą, taip užtikrinamas jų slaptumas;
2) parašo formavimo duomenų, naudojamų elektroniniam parašui sukurti, atkurti praktiškai neįmanoma: nuo elektroninio parašo klastočių apsaugo esamos technologijos;
3) parašo formavimo duomenis, naudojamus elektroniniam parašui sukurti, pasirašantis asmuo gali patikimai apsaugoti nuo kitų asmenų;
5) tenkina standarto LST CWA 14169 „Saugi parašo formavimo įranga „EAL4+“ arba aukštesnius įvertinimo užtikrinimo lygio reikalavimus.
Sertifikato galiojimo antrasis tikrinimas – elektroninio dokumento parašą patvirtinančio kvalifikuoto sertifikato ir sertifikatų sekos galiojimo tikrinimas atliekamas, pasibaigus kvalifikuoto sertifikato ir visų sekos sertifikatų paskelbimo negaliojančiais terminui, skaičiuojant nuo parašo laiko žymoje nurodyto laiko momento.
Sertifikato galiojimo pirmasis tikrinimas – elektroninio dokumento parašą patvirtinančio kvalifikuoto sertifikato ir sertifikavimo sekos galiojimo tikrinimas atliekamas nedelsiant, gavus pasirašytą elektroninį dokumentą ir suformavus gauto parašo laiko žymą.
Sertifikato įspėjamasis laikotarpis – elektroninio dokumento parašą patvirtinančio kvalifikuoto sertifikato ir visų sertifikavimo sekos sertifikatų, įskaitant laiko žymų tarnybos sertifikavimo sekos sertifikatus, maksimalus sertifikato paskelbimo negaliojančiu laikotarpis.
Sertifikato paskelbimo negaliojančiu terminas (angl. grace period) – laikotarpis, skirtas pasirašančiam asmeniui ar kitiems teisės aktų numatytiems asmenims kreiptis į kvalifikuotus sertifikatus sudarantį sertifikavimo paslaugų teikėją paskelbti duomenis apie kvalifikuoto sertifikato galiojimo nutraukimą arba sustabdymą. Terminas pradedamas skaičiuoti nuo kreipimosi momento ir apima laikotarpį, reikalingą kvalifikuotus sertifikatus sudarančiam sertifikavimo paslaugų teikėjui išnagrinėti kreipimąsi, priimti sprendimą ir paskelbti duomenis apie kvalifikuoto sertifikato galiojimo nutraukimą arba sustabdymą. Sertifikato galiojimo atšaukimo laikotarpis nurodytas asmens kvalifikuoto sertifikato taisyklėse. Jeigu kvalifikuoto sertifikato taisyklėse nenurodytas kvalifikuoto sertifikatų atšaukimo laikotarpis, laikoma, kad kvalifikuotų sertifikatų galiojimo atšaukimo laikotarpis yra lygus nuliui.
Sertifikatų seka – pasirašančiojo asmens parašą patvirtinančių sertifikatų rinkinys, susidedantis iš pasirašančiojo asmens sertifikato, jį sudariusio ir pasirašiusio paslaugų teikėjo sertifikato ir kitų (jei yra) tokiu būdu susijusių paslaugų teikėjų sertifikatų, pasibaigiantis patikimu arba šakniniu paslaugų teikėjo sertifikatu.
Sertifikavimo paslaugų teikėjas – įmonė, juridinis asmuo, sudarantis sertifikatus arba teikiantis kitas paslaugas, susijusias su elektroniniu parašu.
Šakninis sertifikatas – pats save patvirtinantis sertifikatas, kuris gali būti patikrintas jame nurodytu viešuoju raktu.
TPĮ – Taikomoji programinė įranga.
TSL – Europos Sąjungos patikimų sertifikavimo paslaugų teikėjų sąrašas.
Viešųjų raktų infrastruktūra (angl. Public Key Infrastructure – PKI) – techninės, programinės įrangos, žmonių ir procedūrų visuma, kuri naudojama saugoti, kurti, valdyti, suteikti, atnaujinti sertifikatus viešųjų raktų kriptografijos metodais.
XAdES – elektroninio parašo aprašymo XML struktūra standartas LST ETSI TS 101 903 V1.4.1:2009 „Patobulintieji XML elektroniniai parašai (XAdES)“ (toliau – XAdES standartas).
XAdES-BES – elektroninio parašo bazinis formatas, aprašytas vadovaujantis XAdES standartu.
XAdES-C – elektroninio parašo su visomis tikrumo duomenų nuorodomis formatas, aprašytas vadovaujantis XAdES standartu.
XAdES-EPES – pagal Parašo taisykles sukurtas elektroninio parašo formatas, aprašytas vadovaujantis XAdES standartu.
XAdES-T – elektroninio parašo su laiko žyma formatas, aprašytas vadovaujantis XAdES standartu.
XAdES-X – elektroninio parašo su tikrumo nuorodomis ir pirmo tipo laiko žyma formatas, aprašytas vadovaujantis XAdES standartu.
XAdES-X-L – ilgalaikio saugojimo elektroninio parašo formatas, aprašytas vadovaujantis XAdES standartu.
XML – pasaulinio tinklo konsorciumo (angl. The Worl Wide Web Consortium, W3C) rekomenduojama bendrosios paskirties duomenų struktūra ir jų turinio aprašomoji kalba (angl. eXtensible Markup Language).
XMLDSIG – pasaulinio tinklo konsorciumo (angl. The Worl Wide Web Consortium, W3C) rekomenduojamas elektroninio parašo aprašymas, naudojant XML struktūrą.
II. MOKESČIŲ MOKĖTOJŲ TEIKIAMŲ mokesčių administratoriui elektroninių DOKUMENTŲ kvalifikuotų elektroninių parašų kūrimas
5. Mokesčių mokėtojų mokesčių administratoriui skirtų elektroninių dokumentų kvalifikuotų elektroninių parašų kūrimas apima mokesčių mokėtojus ir patikimų sertifikavimo paslaugų teikėjus.
6. Pasirašymo objektas yra elektroninio dokumento turinio duomenys, tenkinantys ADOC-V1.0 specifikacijos reikalavimus, bei elektroninio dokumento metaduomenys. Elektroninio dokumento turinio ir jo metaduomenų duomenų objektai pasirašomi vienu XAdES-EPES formato elektroniniu parašu.
7. Kad galėtų pasirašyti Elektroninius dokumentus kvalifikuotu elektroniniu parašu, mokesčių mokėtojas turi įsigyti elektroninio parašo kvalifikuotą sertifikatą bei saugią parašo formavimo įrangą stacionariame arba mobiliame įrenginyje.
8. Elektroninių dokumentų kvalifikuoti elektroniniai parašai kuriami naudojant elektroninio parašo taikomąją programinę įrangą (TPĮ) arba saugią tinklinę paslaugą.
Reikalavimai saugia parašo formavimo įranga pasirašomiems elektroniniams dokumentams
Pasirašymas stacionaria saugia parašo formavimo įranga
10. Stacionari saugi parašo formavimo įranga, esanti pasirašančiojo asmens disponuojamo kompiuterio išoriniame įrenginyje ir naudojama elektroniniams dokumentams pasirašyti, turi atitikti standarto CWA 14169:2009 „Secure Signature-Creation Devices „EAL 4+““ reikalavimus.
11. Stacionaria saugia parašo formavimo įranga mokesčių mokėtojai elektroninius dokumentus pasirašo saugioje elektroninio parašo TPĮ arba saugioje tinklinėje paslaugoje.
Pasirašymas mobiliąja saugia parašo formavimo įranga
13. Mobilioji saugi parašo formavimo įranga, esanti pasirašančiojo asmens disponuojamame mobiliajame telefone ir naudojama oficialių elektroninių dokumentų pasirašymui, turi atitikti standarto CWA 14169:2009 „Secure Signature-Creation Devices „EAL 4+““ reikalavimus.
14. Pasirašant mobilia saugia parašo formavimo įranga, yra reikalingos pagalbinių sertifikavimo paslaugų teikėjo paslaugos sertifikatui, kuriuo patvirtinamas elektroninis parašas, pateikti, pasirašomų duomenų santraukai saugiai perduoti į mobiliąją saugią parašo formavimo įrangą ir santraukai, užšifruotai pasirašančiojo asmens privačiu raktu, priimti.
15. Kad būtų užtikrintas pasirašymo proceso saugumas, elektroninio parašo TPĮ turi vizualizuoti jos sudarytą pasirašomą santrauką arba jos kodą ir prieš pasirašymą ta pati santrauka arba jos trumpinys turi būti vizualizuojami pasirašančiojo asmens disponuojamame mobiliajame telefone, turinčiame mobiliąją saugią parašo formavimo įrangą.
16. Mokesčių mokėtojų elektroninių dokumentų pasirašymas mobiliąja saugia parašo formavimo įranga pagal pasirašančiojo asmens pasirinkimą gali būti atliekamas panaudojant jo disponuojamą TPĮ ar bet kurią kitą saugią elektroninio parašo TPĮ tinklinę paslaugą.
Elektroninių dokumentų sudarymo ir pasirašymo priemonės
18. Mokesčių mokėtojas, naudodamas saugią elektroninio parašo TPĮ, gali parengti ir pasirašyti mokesčių administratoriui skirtus elektroninius dokumentus.
19. Elektroninio parašo TPĮ turi saugiai vizualizuoti pasirašomus elektroninio dokumento duomenis bei metaduomenis.
20. Mokesčių mokėtojo pasirašomam elektroniniam dokumentui naudojama elektroninio parašo TPĮ turi suteikti privalomus GGeDOC grupės dokumento metaduomenis. Šių metaduomenų rinkmenomis turi būti papildoma pasirašyto elektroninio dokumento pakuotė.
III. ELEKTRONINIO PARAŠO TIKRINIMAS IR PARENGIMAS ILGALAIKIAM SAUGOJIMUI
Elektroninio parašo tikrinimas
22. Elektroninių dokumentų kvalifikuoto elektroninio parašo pirminį tikrinimą atlieka mokesčių administratorius. Tikrinimo objektas yra pasirašytų elektroninių dokumentų elektroniniai parašai, esantys elektroninio dokumento pakuotėje, parengtoje pagal Taisyklių V skyriuje „Oficialaus elektroninio dokumento pakuotės formatas“ nustatytus reikalavimus.
23. Elektroninių dokumentų kvalifikuoto elektroninio parašo pirminis tikrinimas atliekamas gaunamiems iš mokesčių mokėtojų elektroniniams dokumentams.
24. Siekiant mokesčių mokėtojams maksimaliai supaprastinti elektroninių dokumentų parengimą ir pateikimą, mokesčių administratorius atlieka kvalifikuotų elektroninių parašų pirminį tikrinimą ir ilgalaikio saugojimo kvalifikuotų elektroninių parašų formato XAdES-X-L suformavimą pagal pateiktus XAdES-EPES formato parašus.
Elektroninio parašo pirminis tikrinimas
25. Mokesčių administratoriaus gaunamų elektroninių dokumentų kvalifikuotų elektroninių parašų pirminis tikrinimas apima patį elektroninio parašo tikrinimą ir elektroninio parašo parengimą ilgalaikiam saugojimui.
26. Elektroninio parašo pirminis tikrinimas susideda iš elektroninio parašo pirminio tikrinimo iki sertifikato galiojimo atšaukimo laikotarpio pabaigos ir elektroninio parašo pirminio tikrinimo, pasibaigus sertifikato galiojimo atšaukimo laikotarpiui.
27. Sertifikato galiojimo tikrinimas gali būti baigtas tik praėjus pasirašančio asmens kvalifikuoto sertifikato taisyklėse arba sertifikavimo veiklos nuostatuose nurodytam sertifikato galiojimo paskelbimo negaliojančiu laikotarpiui nuo laiko žymoje nurodyto laiko, iki kurio buvo sudarytas elektroninio dokumento kvalifikuotas elektroninis parašas.
Elektroninio parašo pirminis tikrinimas iki sertifikato galiojimo atšaukimo laikotarpio pabaigos
29. Elektroninio parašo pirminis tikrinimas iki sertifikato galiojimo atšaukimo laikotarpio pabaigos apima elektroninio parašo formato patikrinimą, laiko žymos suformavimą ir sertifikato galiojimo pirmąjį patikrinimą.
30. Elektroninio parašo pirminio tikrinimo paskirtis yra nustatyti tinkamu pakuotės formatu pateikto pasirašyto elektroninio dokumento autentiškumą, uždedant laiko žymų paslaugų teikėjo, atitinkančio standarto ETSI TS 102 023 v1.2.1 „Policy requirements for time-stamping authorities“ reikalavimus, sudarytą laiko žymą.
31. Laiko žymos suformavimu mokesčių administratoriaus sudarytas elektroninio dokumento pakuotėje XAdES-EPES formato parašas papildomas iki XAdES-T formato parašo. Ši laiko žyma nustato laiką, iki kurio yra suformuotas pasirašančio asmens elektroninio dokumento elektroninis parašas. Būtent šio laiko atžvilgiu yra tęsiamas elektroninio parašo pirminis tikrinimas, pasibaigus sertifikato galiojimo atšaukimo laikotarpiui, nustatant pasirašančiojo asmens kvalifikuoto sertifikato galiojimą bei sertifikavimo sekos sertifikatų iki patikimo sertifikato, esančio patikimų sertifikatų saugykloje, galiojimą, arba iki šakninio sertifikato.
32. Suformavus laiko žymą, atliekamas pasirašančiojo asmens kvalifikuoto sertifikato, įskaitant visus sertifikavimo sekos sertifikatus, galiojimo pirmasis patikrinimas. Jeigu patikrinimo metu nustatoma, kad pasirašančio asmens sertifikatas negalioja, elektroninio dokumento tolesnis tikrinimas nutraukiamas.
Elektroninio parašo pirminis tikrinimas, pasibaigus sertifikato galiojimo atšaukimo laikotarpiui
34. Elektroninio parašo pirminis tikrinimas, pasibaigus sertifikato galiojimo atšaukimo laikotarpiui, o tiksliau apibūdinant – pasibaigus sertifikato įspėjamajam laikotarpiui – yra skirtas įsitikinti, ar tikrai pasirašantis asmuo pasirašė elektroninį dokumentą jo kvalifikuoto sertifikato galiojimo laikotarpiu, tai yra, ar per leistiną sertifikato galiojimo atšaukimo laikotarpį nėra gauta naujų duomenų apie pasirašančiojo asmens sertifikato ir sertifikavimo sekos sertifikatų atšaukimą anksčiau negu parašo pirmojo tikrinimo etape nurodyta laiko žymos data.
35. Pasibaigus pasirašančiojo asmens sertifikato galiojimo atšaukimo laikotarpiui, atliekamas pasirašančiojo asmens kvalifikuoto sertifikato, įskaitant visus sertifikavimo sekos sertifikatus, galiojimo antrasis patikrinimas. Jei pasirašančiojo asmens sertifikato ar sertifikavimo sekos sertifikatų atšaukimas įvyko anksčiau negu parašo pirmojo tikrinimo etape nurodyta laiko žymos data, parašas laikomas negaliojančiu.
36. Sertifikato galiojimo antrojo patikrinimo metu tikrintų sertifikavimo sekos sertifikatų ir jų patikrinimo statuso nuorodos ir nurodomų duomenų santraukos yra išsaugomos elektroninio parašo formate, suformuojant XAdES-C formato duomenis. Taip pat atliekamas laiko žymos tarnybos sertifikato ir jo sertifikavimo sekos sertifikatų galiojimo patikrinimas.
37. Elektroninio parašo pirminis tikrinimas, suformavus XAdES-C formato duomenis, tęsiamas sukaupiant ir papildant elektroninį parašą duomenimis, leidžiančiais patikrinti elektroninio parašo galiojimą, nesikreipiant į viešųjų raktų infrastruktūrą.
38. Jei elektroninio parašo pirminio tikrinimo metu nustatoma, kad sertifikatas negalioja, tada elektroninis dokumentas taip pat negalioja.
39. Elektroninio parašo parengimas ilgalaikiam saugojimui yra elektroninio parašo pirminio tikrinimo proceso dalis ir apima duomenų apie sertifikatų galiojimą, surinkimą ir išsaugojimą, siekiant elektroninio parašo vėlesnio tikrinimo metu užtikrinti elektroninio parašo galiojimo įrodymus, nesikreipiant į sertifikavimo paslaugų teikėjus. Elektroninio parašo parengimas ilgalaikiam saugojimui susideda iš laiko žymos uždėjimo XAdES-C formato duomenims, tokiu būdu suformuojant XAdES-X pirmo tipo formato elektroninį parašą, ir sertifikatų bei jų atšaukimo duomenų surinkimo ir išsaugojimo, tuo pačiu suformuojant XAdES-X-L formato elektroninį parašą.
Elektroninio parašo vėlesni tikrinimai
40. Elektroninio parašo vėlesni tikrinimai apima patį elektroninio parašo galiojimo tikrinimą per elektroninio dokumento saugojimo laikotarpį.
IV. ELEKTRONINIO Parašo tikrumo NUSTATYMO taisyklės
Sertifikavimo sekos sudarymo ir tikrinimo taisyklės
42. Patikimais kvalifikuotais sertifikatais yra laikomi sertifikatai, sudaryti Europos Sąjungos šalių kvalifikuotų sertifikavimo paslaugų teikėjų, įregistruotų ir paskelbtų atitinkamos šalies elektroninio parašo priežiūros institucijoje pagal 1999 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyvą 1999/93/EB dėl Bendrijos elektroninių parašų reguliavimo sistemos (OL 2000 L 013, p. 0012 – 0020) ir nacionalinius elektroninių parašų teisės aktus, bei įtraukti į EDS patikimų sertifikavimo paslaugų teikėjų sertifikatų duomenų bazę.
43. Informacija apie Lietuvos Respublikos prižiūrimų ir/ar akredituotų Sertifikavimo paslaugų teikėjus skelbiama Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos interneto svetainėje adresu http://epp.ivpk.lt/lt/TSL/. Informacija apie Europos Sąjungos patikimus sertifikavimo paslaugų teikėjus, įskaitant laiko žymų paslaugų teikėjus, yra skelbiama adresu https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml.
44. EDS patikimų sertifikavimo paslaugų teikėjų sertifikatų duomenų bazė sudaroma pagal Europos Sąjungos patikimų sertifikavimo paslaugų teikėjų sąrašą TSL.
45. Sertifikato galiojimo patikrinimas apima visos sertifikatų sekos sertifikatų galiojimo patikrinimą:
45.1. Sertifikatų seka susideda iš vieno elemento – pasirašančio asmens kvalifikuotą sertifikatą patvirtinusio kvalifikuotų sertifikavimo paslaugų teikėjo sertifikato, įtraukto į patikimų sertifikatų saugyklą.
Kvalifikuotų sertifikatų galiojimo tikrinimo tvarka
46. Kvalifikuotas sertifikatas galioja sertifikate nurodytu galiojimo laikotarpiu, jeigu sertifikato galiojimas nėra atšauktas.
47. Kvalifikuotas sertifikatas, kuriuo yra patvirtintas tikrinamas elektroninis parašas, negalioja, jeigu kreipimosi atšaukti sertifikato galiojimą laikas yra ankstesnis už elektroninio parašo laiko žymoje nurodytą laiką.
48. Kvalifikuoto sertifikato galiojimo tikrinimas apima du etapus: kvalifikuoto sertifikato galiojimo pirmasis patikrinimas ir laiko žymos uždėjimas ir kvalifikuoto sertifikato galiojimo antrasis patikrinimas ir ilgalaikio saugojimo elektroninio parašo formato sudarymas:
48.1. Kvalifikuoto sertifikato galiojimo pirmasis patikrinimas turi būti atliekamas iš karto po kvalifikuoto elektroninio parašo laiko žymos uždėjimo, siekiant nustatyti, ar sertifikatas nėra atšauktas.
48.2. Kvalifikuoto sertifikato galiojimo pirmojo patikrinimo metu sertifikato galiojimo faktas negali būti patvirtintas. Kvalifikuoto sertifikato galiojimas, atšaukimas arba sustabdymas yra nustatomas kvalifikuoto sertifikato galiojimo antrojo patikrinimo metu, kuris yra atliekamas praėjus kvalifikuoto sertifikato galiojimo atšaukimo paskelbimo laikotarpiui bei sertifikato įspėjamajam laikotarpiui po kvalifikuoto elektroninio parašo laiko žymos uždėjimo.
48.3. Kvalifikuoto sertifikato galiojimo patikrinimo tvarka formuluojama atliktų parašo tikrinimo veiksmų laiko momentų atžvilgiu nepriklausomai nuo kvalifikuoto elektroninio parašo sudarymo faktinio laiko momento. Mokesčių administratorius atlieka pasirašytos elektroninio dokumento pakuotės, metaduomenų bei parašo formato patikrinimą ir uždeda laiko žymą laiko momentu t2; mokesčių administratorius atlieka kvalifikuoto sertifikato galiojimo pirmąjį patikrinimą po laiko momento t2. Jeigu pirmojo patikrinimo metu nustatoma, kad kvalifikuoto sertifikato galiojimas yra atšauktas arba sustabdytas ir kvalifikuoto sertifikato galiojimo atšaukimo laikas t, kuris yra prilyginamas kreipimosi į sertifikavimo paslaugų teikėją atšaukti arba sustabdyti kvalifikuoto sertifikato galiojimą laikui, yra mažesnis už t2, t. y. t < t2, tai laikoma, kad parašas yra patvirtintas negaliojančiu kvalifikuotu sertifikatu, t. y. pats parašas yra negaliojantis.
48.4. Jeigu kvalifikuoto sertifikato galiojimo atšaukimo laikas t yra didesnis arba lygus t2, t. y. t ? t2, tai parašo pirminio tikrinimo procesas yra tęsiamas.
48.5. Jeigu pirmojo patikrinimo metu nėra duomenų apie kvalifikuoto sertifikato atšaukimą arba sustabdymą, yra tęsiamas parašo pirminio tikrinimo procesas.
48.6. Parašo taisyklės nustato, kad kvalifikuoto sertifikato atšaukimo laikotarpiu laikomas pasirašančio asmens kvalifikuoto sertifikato taisyklėse nurodytas sertifikato atšaukimo laikotarpis c. Kvalifikuoto sertifikato taisyklėse nesant nurodyto kvalifikuoto sertifikato atšaukimo laikotarpio, laikoma, kad kvalifikuoto sertifikato galiojimo atšaukimo laikotarpis yra lygus nuliui.
48.7. Kvalifikuoto sertifikato galiojimo antrasis patikrinimas turi būti atliktas praėjus sertifikato paskelbimo negaliojančiu laikotarpiui ir sertifikato įspėjamajam laikotarpiui C, skaičiuojant nuo kvalifikuoto elektroninio parašo laiko žymos sukūrimo laiko t2, t. y. kvalifikuoto sertifikato galiojimo antrasis patikrinimas turi būti atliktas laiko momentu t4 > t3, kur t3 = t2 + C. Tokiu būdu užtikrinama, kad kvalifikuoto sertifikato galiojimo antrojo patikrinimo metu bus gauta teisinga informacija apie sertifikatus, kurių atšaukimas įvyko prieš laiko žymos sukūrimą, o vėlesnis sertifikatų atšaukimas neturi įtakos tikrinimo rezultatams. OCSP protokolas pateikia įrodymus, kad kvalifikuoto sertifikato galiojimo antrasis patikrinimas buvo atliktas tam tikru laiku, pagal kurį galima nustatyti, kad tikrinimas atliktas pasibaigus kvalifikuoto sertifikato galiojimo atšaukimo laikotarpiui.
48.8. Jeigu tikrinimo momentu t4 nėra informacijos apie kvalifikuoto sertifikato galiojimo atšaukimą, tai laikoma, kad kvalifikuotas sertifikatas yra galiojantis ir juo pagrįstas kvalifikuotas elektroninis parašas yra galiojantis.
48.9. Jeigu tikrinimo momentu t4 kvalifikuoto sertifikato galiojimo atšaukimas yra paskelbtas, tai kvalifikuoto elektroninio parašo, patvirtinto tokiu kvalifikuotu sertifikatu, galiojimas ar negaliojimas priklauso nuo kreipimosi atšaukti kvalifikuotą sertifikatą laiko t. Jeigu t yra daugiau arba lygu t2, tai kvalifikuotas elektroninis parašas yra galiojantis. Jeigu kreipimosi atšaukti kvalifikuotą sertifikatą laiko momentas t yra ankstesnis negu elektroninio parašo laiko žymoje nurodytas laiko momentas t2, t. y. jeigu t < t2, tai kvalifikuotas elektroninis parašas, patvirtintas tokiu kvalifikuotu sertifikatu, yra negaliojantis. Kvalifikuoto sertifikato galiojimo tikrinimo laiką, kvalifikuoto sertifikato galiojimo statusą tikrinimo metu ir kreipimosi atšaukti kvalifikuotą sertifikatą laiką kvalifikuoto sertifikato negaliojimo atveju pateikia OCSP protokolo tinklinė paslauga.
Laiko žymos naudojimo taisyklės
50. Laiko žymos galiojimą patvirtinančio sertifikavimo sekos galiojimo patikrinimui naudojamas laiko žymų tarnybos sertifikatas iš patikimų sertifikatų sąrašo.
51. Elektroninio dokumento kvalifikuoto elektroninio parašo laiko žymą mokesčių administratorius pirmą kartą uždeda gautiems iš mokesčių mokėtojų elektroninių dokumentų formato XAdES-EPES formato parašams elektroninio parašo pirminio tikrinimo pradžioje, suformuodamas XAdES-T formato elektroninį parašą. Antrą kartą laiko žyma yra uždedama suformavus XAdES-C formato duomenis, kuriuose išsaugomos nuorodos į pasirašančio asmens sertifikavimo sekos galiojimo informaciją, ir tokiu būdu eigoje sudarant XAdES-X formato parašą.
Pasirašančio asmens pateikiami kvalifikuoto elektroninio parašo tikrumo duomenys
52. Mokesčių mokėtojo parengto ir pasirašyto elektroninio dokumento kvalifikuoto elektroninio parašo formatas yra XAdES [ETSI TS 101 903] standarte apibrėžtas XAdES-EPES formato elektroninis parašas, nurodantis neišreikštinių parašo taisyklių taikymą.
53. Mokesčių mokėtojas parengia tik XAdES standarte apibrėžtą XAdES-EPES formato elektroninį parašą, kuriame nėra naudojami elementai, skirti tik aukštesniems formatų tipams (XAdES-T, XAdES-C, XAdES-X, XAdES-X-L, XAdES-A).
Tikrinančio asmens surenkami kvalifikuoto elektroninio parašo tikrumo duomenys
55. Mokesčių administratorius užtikrina mokesčių mokėtojo pasirašyto elektroninio dokumento kvalifikuoto elektroninio parašo formato XAdES-T su laiko žymos elementu SignatureTimeStamp sudarymą.
56. Mokesčių administratorius užtikrina iš mokesčių mokėtojų gautų elektroninių dokumentų kvalifikuotų elektroninių parašų ilgalaikį saugojimą. Tuo tikslu mokesčių administratorius surenka ir išsaugo ilgalaikiam saugojimui skirtuose XAdES-X-L formato parašuose parašo tikrumo duomenis, leidžiančius patikrinti parašo galiojimą nepriklausomai nuo viešųjų raktų (sertifikatų) infrastruktūros pagal XAdES [ETSI TS 101 903] standarto reikalavimus:
56.1. Iš mokesčių mokėtojų gautiems elektroniniams dokumentams su XAdES-EPES formato parašais elektroninio parašo laiko žymos elementas – SignatureTimeStamp (XAdES-T formato parašas), įrodantis, kad pasirašančio asmens kvalifikuotas parašas yra sukurtas iki šioje laiko žymoje nurodyto laiko.
56.2. Parašo nuorodų į sertifikavimo sekos sertifikatus ir jų atšaukimą elementai – CompleteCertificateRefs ir CompleteRevocationRefs (XAdES-C formato parašas), OCSP protokolo atveju įrodantys, kad sertifikavimo sekos galiojimo patikrinimas yra atliktas pasibaigus kvalifikuoto sertifikato negaliojimo paskelbimo laikotarpiui ir išsaugotos nuorodos į sertifikavimo sekos tikrinimo duomenis bei tų duomenų santraukos.
56.3. Parašo laiko žymos elementas – SigAndRefsTimeStamp (XAdES-X formato parašas), įrodantis XAdES-C formato parašo integralumą ir egzistavimą iki šioje laiko žymoje nurodyto laiko.
56.4. Parašo sertifikavimo sekos sertifikatų reikšmių ir sertifikavimo sekos sertifikatų atšaukimo reikšmių elementai – CertificateValues ir RevocationValues (XAdES-X-L formato parašas), saugantys XAdES-X-L formato paraše pateiktus duomenis ir įrodantys pasirašančio asmens kvalifikuoto sertifikato, panaudoto fizinio asmens kvalifikuoto elektroninio parašo sukūrimui, galiojimo statusą.
V. ElektroninIO DOKUMENTO PAKUOTĖS formatas
57. Mokesčių mokėtojas parengia ir teikia, o mokesčių administratorius priima pasirašytus elektroninius dokumentus, išsaugotus elektroninio dokumento pakuotėje, kuri turi atitikti ADOC-V1.0 specifikacijos reikalavimus pasirašytų oficialių elektroninių dokumentų pakuotėms.
Elektroninio dokumento pakuotės formatas
58. Mokesčių mokėtojo sukurto elektroninio dokumento pakuotės formatas turi atitikti žemiau išdėstytus reikalavimus:
58.4. Pakuotės šaknyje yra katalogas, pavadinimu „metadata“, kurio viduje yra metaduomenų rinkmenos.
58.5. Pakuotės šaknyje yra katalogas, pavadinimu „META-INF“:
58.5.1. Katalogo „META-INF“ viduje yra elektroninių parašų rinkmenos, grupuojamos į katalogą su pavadinimu „signatures“.
58.5.2. Katalogo „META-INF“ viduje yra pakuotės dalių tipų aprašo rinkmena, pavadinimu „manifest.xml“, rengiama pagal ODF standarto reikalavimus.
Elektroninio parašo formatas
59. Elektroninio dokumento kvalifikuoto elektroninio parašo elementas turi atitikti tokius reikalavimus:
59.1. Elektroninių parašų struktūra turi atitikti formatams keliamus reikalavimus, išdėstytus ADOC-V1.0 specifikacijos XAdES-EPES, XAdES-T ir XAdES-X-L. Kitų formatų parašai neleistini.
59.2. Elektroninių parašų rinkmenose esantys parašo elementai (angl. Signature) tikrinami pagal importuojamas XMLDSIG ir XAdES schemas.
59.3. Papildomai turi būti atliekamas ADOC-V1.0 specifikacijos elektroninių parašų elementų privalomumo bei apribojimų patikrinimas.
59.4. Gautas elektroninis dokumentas turi būti pasirašytas XAdES standarte aprašytu XAdES-EPES arba XAdES-T formato elektroniniu parašu elemente Signature.
59.5. Negalimi tokie elektroninio parašo atributai:
AllDataObjectsTimeStamp,
IndividualDataObjectsTimeStamp,
<CounterSignature>,
<SignatureTimeStamp>,
<CompleteCertificateRefs>,
<CompleteRevocationRefs>,
<AttributeCertificateRefs>,
<AttributeRevocationRefs>,
<SigAndRefsTimeStamp>,
<RefsOnlyTimeStamp>,
<CertificateValues>,
<RevocationValues>,
<ArchiveTimeStamp>.
59.6. Parašo elementas (Signature) neturi jokių aukštesniems XAdES formatams (XAdES-C, XAdES-X, XAdES-X-L, XAdES-A) naudojamų elementų.
59.7. XAdES EPES formato paraše turi būti pasirašomas atributas – Taisyklių identifikatorius (SignaturePolicyIdentifier), tikrinama, ar elementas yra toks:
<SignaturePolicyIdentifier>
<SignaturePolicyImplied/>
<SignaturePolicyIdentifier/>
59.8. Parašo elemente SignedInfo turi būti nuorodos kiekvienam pasirašomų duomenų objektui, įskaitant pasirašomus metaduomenis (elementai Reference):
59.9. Paraše naudojami algoritmai (transformavimo, kodavimo BASE64, kanonizavimo, santraukų sudarymo, pasirašymo) turi būti standartiniai, kad automatinėmis priemonėmis būtų įmanomas parašo patikrinimas.
Metaduomenų formatas
60. Mokesčių mokėtojo elektroninio dokumento metaduomenys turi tenkinti tokius reikalavimus:
60.2. Visi metaduomenys, kurie privalo būti pasirašyti pagal elektroninių dokumentų ADOC-V1.0 specifikacijos reikalavimus, turi būti pasirašyti.
Leistini parašo sudarymo algoritmai
61. Elektroninių dokumentų kvalifikuotų parašų formavimui, patvirtinimui ir ilgalaikiam saugojimui gali būti naudojami šie algoritmai:
Algoritmas |
Identifikatorius |
Santraukos sudarymas (angl. „Digest“) |
|
SHA1 |
http://www.w3.org/2000/09/xmldsig#sha1 |
SHA256 |
http://www.w3.org/2001/04/xmlenc#sha256 |
Kodavimas (angl. „Encoding“) |
|
Base64 |
http://www.w3.org/2000/09/xmldsig#base64 |
Pasirašymas (angl. „Signature“) |
|
DSAwithSHA1 (DSS) |
http://www.w3.org/2000/09/xmldsig#dsa-sha1 |
RSAwithSHA1 |
http://www.w3.org/2000/09/xmldsig#rsa-sha1 |
RSAwithSHA256 |
http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 |
Kanonizavimas (angl. „Canonicalization“) |
|
Canonical XML 1.0 (omits comments) |
http://www.w3.org/TR/2001/REC-xml-c14n-20010315 |
Canonical XML 1.0 with Comments |
http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments |
Transformavimas (angl. „Transform“) |
|
XPath |
http://www.w3.org/TR/1999/REC-xpath-19991116 |
Base64 |
http://www.w3.org/2000/09/xmldsig#base64 |