ValstHtaikomi_ver_12

 

LIETUVOS RESPUBLIKOS

RYŠIŲ REGULIAVIMO TARNYBOS

TARYBA

 

NUTARIMAS

DĖL AsmenS tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus sertifikatus tvarkos aprašO PATVIRTINIMO

 

2023 m. gruodžio 7 d. Nr. TN-659

Vilnius

 

Vadovaudamasi Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 4 straipsnio 2 dalies 4 punktu, 10 straipsnio 5 dalimi, 11 straipsnio 1 dalimi ir 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, 24 straipsnio 1 dalimi, Lietuvos Respublikos ryšių reguliavimo tarnybos taryba nutaria:

1. Patvirtinti Asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus sertifikatus tvarkos aprašą (pridedama).

2. Pripažinti netekusiu galios Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2018 m. spalio 26 d. įsakymą Nr. 1V-1055 „Dėl Asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus elektroninio parašo, elektroninio spaudo, interneto svetainės tapatumo nustatymo sertifikatus tvarkos aprašo patvirtinimo“.

 

 

Tarybos pirmininko pavaduotojas,

pavaduojantis Tarybos pirmininką                                                                              Darius Kuliešius

 

PATVIRTINTA

Lietuvos Respublikos ryšių reguliavimo

tarnybos tarybos 2023 m. gruodžio 7 d.

nutarimu Nr. TN-659

 

 

ASMENS TAPATYBĖS IR PAPILDOMŲ SPECIFINIŲ POŽYMIŲ TIKRINIMO IŠDUODANT KVALIFIKUOTUS SERTIFIKATUS TVARKOS APRAŠAS

 

I skyrius

BENDROSIOS NUOSTATOS

 

1. Asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus sertifikatus tvarkos aprašas (toliau – Aprašas) nustato asmens tapatybės ir papildomų specifinių požymių tikrinimo išduodant kvalifikuotus elektroninio parašo, elektroninio spaudo, interneto svetainės tapatumo nustatymo sertifikatus (toliau visi kartu – kvalifikuoti sertifikatai, o kiekvienas atskirai – kvalifikuotas sertifikatas) tvarką.

2. Aprašu privalo vadovautis kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai (toliau visi kartu – kvalifikuoti teikėjai, o kiekvienas atskirai – kvalifikuotas teikėjas) ir trečiosios šalys, kurias kvalifikuoti teikėjai įgalioja atlikti asmens tapatybės ir papildomų specifinių požymių tikrinimą išduodant kvalifikuotus sertifikatus (toliau kiekvienas atskirai – įgaliotoji trečioji šalis).

3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos įstatyme „Dėl užsieniečių teisinės padėties“, Reglamente (ES) Nr. 910/2014 ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

 

II SKYRIUS

Asmens tapatybės TIKRINIMAS asmeniui fiziškai dalyvaujant

 

4. Asmens tapatybė asmeniui fiziškai dalyvaujant tikrinama šiame skyriuje nustatyta tvarka, išskyrus tuos atvejus, kai pagal Lietuvos Respublikos asmens tapatybės kortelės ir paso įstatymą kvalifikuotas elektroninio parašo sertifikatas yra įrašomas į asmens tapatybės kortelę. Tokiu atveju asmens tapatybė tikrinama Asmens tapatybės kortelės ir paso išdavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos vidaus reikalų ministro ir Lietuvos Respublikos užsienio reikalų ministro 2015 m. kovo 19 d. įsakymu Nr. 1V-200/V-62 „Dėl Asmens tapatybės kortelės ir paso išdavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

5. Kvalifikuotas teikėjas ar įgaliotoji trečioji šalis privalo fizinio asmens, kuriam išduodamas kvalifikuotas elektroninio parašo arba interneto svetainės tapatumo nustatymo sertifikatas, tapatybę, kai ji nustatoma šiam asmeniui fiziškai dalyvaujant, patikrinti pagal vieną iš šių fizinio asmens pateiktų dokumentų: Lietuvos Respublikos piliečio pasą, Lietuvos Respublikos piliečio asmens tapatybės kortelę, kelionės dokumentą, nurodytą Kelionės dokumentų, kurie suteikia teisę užsieniečiui atvykti į Lietuvos Respubliką, sąraše, patvirtintame Lietuvos Respublikos užsienio reikalų ministro ir Lietuvos Respublikos vidaus reikalų ministro 2007 m. lapkričio 21 d. įsakymu Nr. V-101/1V-397 „Dėl Kelionės dokumentų, kurie suteikia teisę užsieniečiui atvykti į Lietuvos Respubliką, pripažinimo tvarkos aprašo ir sąrašo patvirtinimo“, arba leidimą gyventi Lietuvos Respublikoje (toliau visi kartu – asmens tapatybės dokumentai, o kiekvienas atskirai – asmens tapatybės dokumentas), kuriame yra šie duomenys, patvirtinantys fizinio asmens tapatybę:

5.1. vardas (vardai);

5.2. pavardė (pavardės);

5.3. asmens kodas (užsieniečiui – gimimo data (jeigu yra – asmens kodas ar kita šiam asmeniui suteikta unikali simbolių seka, skirta asmeniui identifikuoti);

5.4. nuotrauka;

5.5. parašas (išskyrus atvejus, kai asmens tapatybės dokumente jis neprivalomas);

5.6. pilietybė (jeigu asmuo be pilietybės – valstybė, kuri išdavė asmens tapatybės dokumentą).

6. Kvalifikuotas teikėjas ar įgaliotoji trečioji šalis privalo juridinio asmens, kuriam išduodamas kvalifikuotas elektroninio spaudo arba interneto svetainės tapatumo nustatymo sertifikatas, įgalioto atstovo tapatybę, kai ji tikrinama jam fiziškai dalyvaujant, patikrinti pagal šiuos juridinio asmens įgalioto atstovo pateiktus dokumentus:

6.1. registro, kuriame kaupiami ir saugomi duomenys apie juridinį asmenį, išrašą ar kitą dokumentą, jeigu pagal užsienio valstybės teisės aktus toks išrašas neišduodamas, kuris patvirtina, kad juridinis asmuo įregistruotas, ir kuriame yra šie duomenys:

6.1.1. juridinio asmens pavadinimas;

6.1.2. juridinio asmens teisinė forma;

6.1.3. juridinio asmens buveinė (adresas);

6.1.4. juridinio asmens kodas (jeigu pagal valstybės, kurioje juridinis asmuo yra įregistruotas, teisės aktus toks kodas yra suteikiamas);

6.2. juridinio asmens įgalioto atstovo asmens tapatybės dokumentą, kuriame yra Aprašo 5.1–5.6 papunkčiuose nurodyti duomenys;

6.3. Lietuvos Respublikos civilinio kodekso reikalavimus atitinkantį įgaliojimą atstovauti juridiniam asmeniui arba, jeigu juridinio asmens įgaliotas atstovas yra juridinio asmens vadovas, registro, kuriame kaupiami ir saugomi duomenys apie juridinį asmenį, išrašą, arba, jeigu pagal užsienio valstybės teisės aktus toks išrašas neišduodamas, kitą dokumentą apie juridinio asmens vadovą. Užsienyje išduotas įgaliojimas atstovauti juridiniam asmeniui turi būti legalizuotas arba patvirtintas dokumentų tvirtinimo pažyma (Apostille) Dokumentų legalizavimo ir tvirtinimo pažyma (Apostille) tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2006 m. spalio 30 d. nutarimu Nr. 1079 „Dėl Dokumentų legalizavimo ir tvirtinimo pažyma (Apostille) tvarkos aprašo patvirtinimo“, nustatyta tvarka, išskyrus atvejus, kai pagal Lietuvos Respublikos tarptautines sutartis ar Europos Sąjungos teisės aktus dokumentas neturi būti legalizuotas ar patvirtintas pažyma (Apostille).

7. Tikrindamas fizinio asmens, kuriam išduodamas kvalifikuotas sertifikatas, ar juridinio asmens įgalioto atstovo tapatybę, kai fizinis asmuo ar juridinio asmens įgaliotas atstovas dalyvauja fiziškai, kvalifikuoto teikėjo ar įgaliotosios trečiosios šalies atsakingas darbuotojas privalo:

7.1. įvertinti, ar pateiktas galiojantis asmens tapatybės dokumentas;

7.2. nustatyti, ar pateiktame asmens tapatybės dokumente yra būtent to asmens nuotrauka;

7.3. įvertinti pateikto asmens tapatybės dokumento būklę (ypač didelį dėmesį atkreipti į tai, ar nuotrauka, puslapiai ar įrašai nebuvo keičiami, taisomi ir pan.);

7.4. įsitikinti, ar juridinio asmens įgaliotas atstovas turi reikiamus įgaliojimus veikti juridinio asmens vardu (patikrinti įgaliojimą išdavusio asmens teisę išduoti tokį įgaliojimą, įgaliojimo galiojimo laiką, kokius veiksmus atlikti nurodyta įgaliojime, ar įgaliojimas atitinka Civilinio kodekso reikalavimus, o užsienyje išduotas įgaliojimas legalizuotas arba patvirtintas dokumentų tvirtinimo pažyma (Apostille) ir pan.);

7.5. padaryti pateikto asmens tapatybės dokumento ar jo puslapių, kuriuose yra asmens nuotrauka ir kiti asmens tapatybei patikrinti reikalingi duomenys, ir kitų pagal Aprašo 6 punktą pateiktų dokumentų kopijas ar skaitmenines kopijas.

 

III SKYRIUS

Asmens tapatybės TIKRINIMAS nuotoliniu būdu

 

pIRMASIS SKIRSNIS

bENDROSIOS NUOSTATOS

 

8. Asmens, kuriam išduodamas kvalifikuotas sertifikatas, tapatybė gali būti tikrinama nuotoliniu būdu, tai yra fiziniam asmeniui arba juridinio asmens įgaliotam atstovui fiziškai nedalyvaujant, tik šiais būdais:

8.1. Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalies antrosios pastraipos b punkte numatytu būdu;

8.2. Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalies antrosios pastraipos c punkte numatytu būdu;

8.3. nuotoliniu būdu vaizdo priemonėmis (toliau – asmens tapatybės tikrinimas vaizdo priemonėmis).

9. Tikrinant asmens tapatybę Aprašo 8 punkte numatytais būdais turi būti laikomasi Aprašo III skyriaus atitinkamuose skirsniuose nustatytų reikalavimų.

 

ANTRASIS SKIRSNIS

Asmens tapatybės TIKRINIMAS REGLAMENTO (ES) NR. 910/2014 24 STRAIPSNIO 1 DALYJE NURODYTAIS BŪDAIS

 

10. Asmens tapatybė Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalies antrosios pastraipos b punkte numatytu būdu gali būti tikrinama tik tuo atveju, jei kvalifikuotas teikėjas ar įgaliotoji trečioji šalis gali patikrinti ir įsitikinti, kad asmens tapatybės tikrinimui naudojama elektroninės atpažinties priemonė atitinka šiuos reikalavimus:

10.1. ji yra išduota pagal elektroninės atpažinties schemą, kuri yra įtraukta į Europos Komisijos pagal Reglamento (ES) Nr. 910/2014 9 straipsnį skelbiamą sąrašą (toliau – Elektroninės atpažinties schemų sąrašas);

10.2. jos saugumo užtikrinimo lygis, nurodytas Elektroninės atpažinties schemų sąraše, yra pakankamas arba aukštas;

10.3. ją išduodant asmens tapatybė buvo patikrinta fiziniam asmeniui ar juridinio asmens įgaliotam atstovui fiziškai dalyvaujant.

11. Asmens tapatybė Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalies antrosios pastraipos c punkte numatytu būdu gali būti tikrinama tik tuo atveju, jei kvalifikuotas teikėjas ar įgaliotoji trečioji šalis gali patikrinti ir įsitikinti:

11.1. kad išduodant asmens tapatybės tikrinimui naudojamą kvalifikuotą elektroninio parašo arba elektroninio spaudo sertifikatą asmens tapatybė buvo patikrinta fiziniam asmeniui ar juridinio asmens įgaliotam atstovui fiziškai dalyvaujant arba

11.2. kad išduodant asmens tapatybės tikrinimui naudojamą kvalifikuotą elektroninio parašo arba elektroninio spaudo sertifikatą Reglamento (ES) Nr. 910/2014 24 straipsnio 1 dalies antrosios pastraipos b punkte numatytu būdu buvo laikytasi Aprašo 10 punkte nustatytų reikalavimų.

12. Tikrindamas asmens tapatybę Aprašo 10 ar 11 punkte nustatyta tvarka, kvalifikuotas teikėjas ar įgaliotoji trečioji šalis privalo gauti Aprašo 5 punkte nurodyto asmens tapatybės dokumento ar jo puslapių, kuriuose yra Aprašo 5.1–5.6 papunkčiuose nurodyti duomenys, skaitmeninę kopiją ar Aprašo 6 punkte nurodytų dokumentų skaitmenines kopijas, kitus dokumentus ir informaciją, patvirtinančius atitiktį Aprašo 10 ar 11 punkte nustatytiems reikalavimams ir leidžiančius įsitikinti asmens tapatybės autentiškumu.

 

TREČIASIS SKIRSNIS

Asmens tapatybės TIKRINIMAS VAIZDO PRIEMONĖMIS

 

13. Tikrinant fizinio asmens ar juridinio asmens įgalioto atstovo tapatybę vaizdo priemonėmis, turi būti užtikrinamas šio asmens fiziniam dalyvavimui tikrinant asmens tapatybę lygiavertis saugumo lygis ir tai turi būti patvirtinta atitikties įvertinimo įstaigos.

14. Kvalifikuoto teikėjo ar įgaliotosios trečiosios šalies veiklos dokumentuose:

14.1. turi būti detaliai aprašytas asmens tapatybės tikrinimo vaizdo priemonėmis procesas, kuris turi apimti bent:

14.1.1. asmens tapatybės tikrinimo vaizdo priemonėmis inicijavimą;

14.1.2. asmens tapatybės dokumento patikrinimą;

14.1.3. asmens tapatybės duomenų gavimą;

14.1.4. asmens tapatybės duomenų (biometrinių duomenų) patikrinimą;

14.1.5. įrodymų bylos suformavimą;

14.2. turi būti nurodyti asmens tapatybės dokumentai, kurie gali būti naudojami tikrinant asmens tapatybę vaizdo priemonėmis. Tikrinant asmens tapatybę vaizdo priemonėmis gali būti naudojamas tik asmens tapatybės dokumentas, kuriame yra elektroninė laikmena su įrašytais biometriniais duomenimis (toliau – asmens tapatybės dokumento saugumo komponentas), kuriuos patikrinti gali kvalifikuotas teikėjas ar įgaliotoji trečioji šalis. Tuo atveju, jeigu kvalifikuotas teikėjas ar įgaliotoji trečioji šalis neturi techninių galimybių patikrinti asmens tapatybės dokumento saugumo komponente įrašytų biometrinių duomenų, toks asmens tapatybės dokumentas negali būti naudojamas tikrinant asmens tapatybę vaizdo priemonėmis;

14.3. turi būti detaliai aprašyti reikalavimai asmens tapatybės tikrinimo vaizdo priemonėmis metu perduodamo vaizdo kokybei;

14.4. turi būti detaliai aprašyti būdai ir priemonės, kuriais bus:

14.4.1. nustatoma, ar asmens, kurio tapatybė tikrinama, pateiktas asmens tapatybės dokumentas yra galiojantis ir ar jame yra nurodyta teisinga informacija, taip pat ar nuotrauka ir asmens tapatybės dokumente pateikta informacija (pvz., lytis, amžius) atitinka asmenį, kurio tapatybė tikrinama;

14.4.2. užtikrinama, kad asmens, kurio tapatybė buvo tikrinta vaizdo priemonėmis, vaizdo įrašo nebūtų galima pakartotinai panaudoti;

14.4.3. tikrinama asmens veido ir asmens tapatybės dokumente pateiktos asmens nuotraukos atitiktis;

14.4.4. tikrinamas asmens tapatybės dokumento autentiškumas, vientisumas, galiojimas;

14.4.5. nustatomas asmens, kurio tapatybė tikrinama vaizdo priemonėmis, gyvumas (angl. liveness);

14.5. jeigu tikrinant asmens tapatybę vaizdo priemonėmis bus naudojamos ir automatizuotos tikrinamų duomenų vertinimo priemonės, turi būti detaliai aprašytos procedūros taikomos tuo atveju, kai automatizuoto ir neautomatizuoto duomenų vertinimo rezultatai skiriasi;

14.6. turi būti nurodyti klaidingo atmetimo (angl. False Rejection Rate, FRR) ir klaidingo priėmimo (angl. False Acceptance Rate, FAR) rodikliai.

15. Tikrinant asmens tapatybę vaizdo priemonėmis taip pat turi būti laikomasi šių reikalavimų:

15.1. Siekiant išvengti galimo manipuliavimo vaizdu, asmens tapatybės dokumentu ar asmens gyvumu (angl. liveness detection):

15.1.1. asmens tapatybė turi būti tikrinama tiesioginio vaizdo ryšio metu, per vieną sesiją ir be pertraukų;

15.1.2. turi būti užtikrinamas ryšio vientisumas ir konfidencialumas, naudojant šifruotą kanalą;

15.1.3. asmens tapatybės tikrinimo ir jo metu užfiksuotų duomenų data ir laikas turi būti aiškiai nurodyti duomenų bazėje arba metaduomenyse;

15.1.4. tikrinant asmens tapatybę gauto vaizdo įrašo skiriamoji geba turi būti ne mažesnė nei 720 p: 1280×720, esant 25 kadrams per sekundę po suspaudimo;

15.1.5. asmens, kurio tapatybė tikrinama, turi būti prašoma patvirtinti užklausą, įvedant į jo mobiliojo ryšio įrenginį išsiųstą šiuo tikslu sugeneruotą unikalų, atsitiktinį kodą arba simbolių seką, kuriuos turi sudaryti mažiausiai šeši simboliai;

15.1.6. asmens tapatybės dokumento autentiškumas kriptografiniu būdu turi būti tikrinamas naudojant asmens tapatybės dokumento saugumo komponentą.

15.2. Siekiant išvengti galimo manipuliavimo biometriniais duomenimis:

15.2.1. asmens, kurio tapatybė tikrinama, veido palyginimui naudojama nuotrauka turi būti gauta iš to asmens tapatybės dokumento saugumo komponento;

15.2.2. asmens tapatybės tikrinimo proceso metu asmeniui užduodami klausimai ir (ar) fiziniai veiksmai, kuriuos turi atlikti asmuo priešais kamerą (jų pobūdis ir kiti požymiai) negali būti nuspėjami, o seka negali pasikartoti;

15.2.3. jei tapatybės tikrinimas atliekamas darant vaizdo įrašą tiesioginio vaizdo ryšio metu, privalo būti reikalaujama, kad tiesioginio vaizdo ryšio metu asmuo atsakytų į užduodamus klausimus ir (ar) atliktų aktyvius fizinius veiksmus pagal Aprašo 15.2.2 papunktyje nurodytus reikalavimus.

16. Kvalifikuotas teikėjas, tikrinantis asmens tapatybę vaizdo priemonėmis, turi turėti patvirtintą asmens tapatybės tikrinimo vaizdo priemonėmis rizikų valdymo planą (toliau – rizikų valdymo planas), kuriame turi būti nurodytos asmens tapatybės tikrinimo vaizdo priemonėmis saugumui kylančios rizikos (toliau – rizikos), atliktas jų vertinimas (toliau – rizikų vertinimas) ir numatytos rizikoms valdyti reikiamos techninės ir organizacinės priemonės (toliau – rizikų valdymo priemonės).

17. Rizikų valdymo planas ir jo veiksmingumas turi būti peržiūrėti ir pagal gautus rezultatus rizikos valdymo planas turi būti atnaujintas reguliariai, bet ne rečiau kaip kartą per metus, taip pat kai atliekami asmens tapatybės tikrinimo vaizdo priemonėmis pakeitimai ar įvykus asmens tapatybės tikrinimo vaizdo priemonėmis saugumo incidentui.

18. Vertinant rizikas, turi būti atsižvelgta į Reglamento (ES) 2016/679 ir kitų teisės aktų, susijusių su asmens duomenų apsauga, reikalavimus.

19. Rizikų valdymo plane turi būt įvertintos bent šios rizikos:

19.1. ISO 30107-3 „Information technology – Biometric presentation attack detection – Part 3: Testing and reporting“ standarte (toliau ISO 30107-3 standartas) nurodytos rizikos:

19.2. kriptografinių raktų pažeidimo arba kriptografinio protokolo pažeidžiamumo išnaudojimo, siekiant modifikuoti asmens tapatybės dokumento identifikavimo duomenis, rizika;

19.3. asmens išvaizdos pakeitimo fizinėmis priemonėmis rizika, kai siekiama imituoti asmens tapatybės dokumente nurodytą asmenį ir pavogti jo tapatybę, įskaitant bent šias priemones:

19.3.1. fizinės kaukės (pvz., latekso) naudojimą;

19.3.2. makiažo naudojimą;

19.4. asmens išvaizdos pakeitimo skaitmeninėmis priemonėmis rizika, įskaitant bent šias priemones:

19.4.1. virtualios kaukės (pvz., sumodeliuotos iš vaizdo įrašų ar nuotraukų ir primenančios asmenį, kurio tapatybę siekiama pavogti) naudojimą;

19.4.2. apgaulingų asmens, kurio tapatybę siekiama pavogti, veido nuotraukų, vaizdo įrašų įterpimą ar anksčiau padaryto vaizdo įrašo pakartojimą, norint pakeisti duomenis, kurie buvo užfiksuoti nuotolinio asmens tapatybės tikrinimo metu;

19.4.3. asmens, kurio tapatybė tikrinama, panašumo į kitą asmenį naudojimą, kad pavogtų to asmens tapatybę (pvz., panašus, dvynys ir pan.);

19.5. asmens, kurio tapatybė tikrinama, elgsenos rizika, įskaitant bent šias aplinkybes:

19.5.1. prievartos, kai asmuo verčiamas identifikuoti save nuotoliniu būdu (pvz., fizinio grasinimo, šantažo ir pan.) naudojimą;

19.5.2. apgaulingo prašymo pateikimą asmeniui identifikuoti save nuotoliniu būdu naudojantis ne ta paslauga, kurią jis pasirinko ir mano, kad naudojasi, o kita paslauga;

19.6. kvalifikuoto teikėjo nustatytos neskelbtinos informacijos, susijusios su sukčiavimo metodais, nutekėjimo rizika.

20. Rizikų valdymo plane numatytų rizikų valdymo priemonių veiksmingumas turi būti išbandytas, bandymai ir jų rezultatai turi būti aprašyti ataskaitoje ir patvirtinti, kad asmens tapatybės tikrinimo vaizdo priemonėmis techninės ir organizacinės priemonės užtikrina bandymų pavogti asmens tapatybę nustatymą ir kitų rizikų eliminavimą. Turi būti užtikrinamas rizikų valdymo priemonių veiksmingumo bandymų rezultatų konfidencialumas.

21. Asmens tapatybės tikrinimo vaizdo priemonėmis rizikų valdymo priemonių veiksmingumo bandymai, susiję su asmens išvaizdos pakeitimais, turi būti vykdomi pagal ISO 30107-3 standartą.

22. Asmens tapatybės vagystės rizikos matuojamos asmens tapatybės tikrinimo vaizdo priemonėmis, taikant klaidingo atmetimo ir klaidingo priėmimo rodiklius. Šie rodikliai taikomi rizikoms, susijusioms su:

22.1. asmens išvaizdos pakeitimu fizinėmis arba skaitmeninėmis priemonėmis;

22.2. panašumu į kitą asmenį, kai palyginamas asmens veidas su nuotrauka asmens tapatybės dokumente;

22.3. asmens elgsena.

23. Kvalifikuotas teikėjas privalo paskirti asmenį (-is), atsakingą (-us) už asmens tapatybės tikrinimo vaizdo priemonėmis proceso priežiūrą, asmenį (-is) atsakingą (-us) už tapatybės dokumentų klastojimo prevenciją ir asmenį (-is), atsakingą (-us) už biometrinių duomenų sukčiavimo prevenciją. Šiame punkte nurodytų funkcijų vykdymas negali būti paskirtas tam pačiam asmeniui.

 

IV SKYRIUS

Papildomų specifinių požymių tikrinimas

 

24. Papildomi specifiniai požymiai, nenurodyti Reglamento (ES) Nr. 910/2014 I, III ar IV prieduose, kvalifikuotame sertifikate nurodomi asmens pateiktų dokumentų pagrindu.

25. Asmens kodas ir kiti asmens tapatybės dokumentuose nurodomi duomenys kaip papildomi specifiniai požymiai kvalifikuotame sertifikate nurodomi asmens tapatybės dokumentų pagrindu.

26. Jei kiti, Aprašo 25 punkte nenurodyti, duomenys, kuriuos kaip papildomus specifinius požymius norima nurodyti kvalifikuotame sertifikate, yra kaupiami registre, kvalifikuotas teikėjas ar įgaliotoji trečioji šalis juos turi patikrinti pagal pateiktą atitinkamo registro, kuriame kaupiami ir saugomi tie duomenys, išrašą ar kitą dokumentą, jeigu išrašas neišduodamas.

27. Kvalifikuotas teikėjas ar įgaliotoji trečioji šalis privalo padaryti dokumentų, kurių pagrindu kvalifikuotame sertifikate nurodomi papildomi specifiniai požymiai, kopijas ar skaitmenines kopijas.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

28. Kvalifikuotas sertifikatas asmeniui negali būti išduotas, jei asmuo, prašantis išduoti kvalifikuotą sertifikatą, nesudaro galimybės kvalifikuotam teikėjui ar įgaliotajai trečiajai šaliai patikrinti jo tapatybės ir (ar) papildomų specifinių požymių arba kvalifikuotas teikėjas ar įgaliotoji trečioji šalis gautų dokumentų ir (ar) informacijos pagrindu negali patvirtinti asmens tapatybės ir (ar) papildomų specifinių požymių Aprašo nustatyta tvarka.

29. Kvalifikuotas teikėjas privalo saugoti visą su asmens tapatybės ir papildomų specifinių požymių patikrinimu susijusią informaciją Reglamento (ES) Nr. 910/2014 24 straipsnio 2 dalies h punkte nustatyta tvarka.

30. Atsakomybė dėl Apraše nustatytų asmens tapatybės ir papildomų specifinių požymių tikrinimo reikalavimų įvykdymo tenka kvalifikuotiems teikėjams.

 

___________________