Dne 1. září 2015 obdrželo Ministerstvo vnitra oznámení akreditovaného poskytovatele certifikačních služeb První certifikační autorita, a. s., se sídlem Praha 9, Podvinný mlýn 2178/6, PSČ 190 00, ve kterém společnost První certifikační autorita, a. s. oznamuje rozšíření poskytování kvalifikovaných certifikačních služeb o vydávání prostředků pro bezpečné vyváření elektronických podpisů.
Společnost První certifikační autorita, a. s. v oznámení doložila věcné, personální a organizační předpoklady pro zajištění rozšiřovaných služeb podle ustanovení § 10a odst. 3 zákona č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) formou dokumentace vztahující se k dotčené oblasti.
Společnost První certifikační autorita, a. s. bude vydávat tyto prostředky pro bezpečné vytváření elektronických podpisů:
- STARCOS 3.5 ID ECC C1R, výrobce Giesecke & Devrient GmbH
Dle certifikátu vydaného certifikačním úřadem Bundesamt für Sicherheit in der Informationstechnik dne 19. 4. 2013 v Bonnu, Německo, označení certifikátu BSI-DSZ-CC-0880-2013, a další dodané dokumentace je produkt STARCOS 3.5 ID ECC C1R ve shodě s bezpečnostním profilem Protection profiles for secure signature creation device – Part 2: Device with key generation, Version 2.0.1, BSI-CC-PP-0059-2009-MA-01. Prostředek STARCOS 3.5 ID ECC C1R byl posuzován dle Common Criteria for IT Security Evaluation (CC), Version 3.1 (dále jen „Common Criteria“), metodologií Common Methodology for IT Security Evaluation (CEM), Version 3.1 rozšířenou o doporučení certifikačního úřadu.
Technické posouzení prostředku STARCOS 3.5 ID ECC C1R bylo provedeno zkušební laboratoří SRC Security Research & Consulting GmbH, Bonn, Německo, která je licencovaná zkušební laboratoř pro hodnocení dle Common Criteria. Seznam licencovaných zkušebních laboratoří je k dispozici na internetové adrese: http://www.commoncriteriaportal.org/labs/.
Oznámení o úmyslu zahájit vydávání prostředku STARCOS 3.5 ID ECC C1R jako prostředek pro bezpečné vytváření elektronických podpisů bylo doručeno Ministerstvu vnitra dne 4. května 2016. V souladu s §10a odst. 3 byly doloženy věcné, personální a organizační předpoklady pro zajištění rozšiřované služby.
- STARCOS 3.2 QES V2.1B, výrobce Giesecke & Devrient GmbH
Dle certifikátu vydaného certifikačním úřadem Bundesamt für Sicherheit in der Informationstechnik dne 3. 9. 2010 v Bonnu, Německo, označení certifikátu BSI-DSZ-CC-0648-2010, a další dodané dokumentace je produkt STARCOS 3.2 QES V2.1B ve shodě s bezpečnostním profilem Secure Signature-Creation Device Protection Profile Type 3, Version 1.05. Prostředek STARCOS 3.2 QES V2.1B byl posuzován dle Common Criteria for IT Security Evaluation, version 2.3 (ISO/IEC 15408:2005 Information technology – Security techniques – Evaluation criteria for IT security) (dále jen „Common Criteria“), metodologií Common Methodology for Information Technology Security Evaluation 2.3 rozšířenou o doporučení certifikačního úřadu.
Technické posouzení prostředku STARCOS 3.2 QES V2.1B bylo provedeno zkušební laboratoří TÜV Informationstechnik GmbH, Essen, Německo, která je licencovaná zkušební laboratoř pro hodnocení dle Common Criteria. Seznam licencovaných zkušebních laboratoří je k dispozici na internetové adrese:
http://www.commoncriteriaportal.org/labs/.
- STARCOS 3.0 with EU compliant Electronic Signature Application V3.0, Type 3B, výrobce Giesecke & Devrient GmbH
Dle certifikátu vydaného certifikačním úřadem TÜV Informationstechnik GmbH dne 16. 9. 2005 v Essenu, označení certifikátu TUVIT-DSZ-CC-9232-2005, a další dodané dokumentace v rámci správního rozhodnutí, které proběhlo v roce 2010, je produkt STARCOS 3.0 with EU compliant Electronic Signature Application V3.0, Type 3B ve shodě s bezpečnostním profilem Secure Signature-Creation Device Protection Profile Type 3, Version 1.05.
Posuzovaný nástroj byl certifikačním úřadem TÜV Informationstechnik GmbH posuzován dle Common Criteria for ICT Security Evaluation, version 2.2 (ISO/IEC 15408 Information technology – Security techniques – Evaluation criteria for IT security) (dále jen „Common Criteria“), metodologií Common Methodology for IT Security Evaluation Part 1 version 0.6. TÜV Informationstechnik GmbH, Essen, Německo je licencovanou zkušební laboratoří pro hodnocení dle Common Criteria.
Výše zmíněné prostředky pro bezpečné vytváření elektronických podpisů musejí být používány v souladu s požadavky technické dokumentace výrobce nebo dodavatele a v souladu s uživatelskou dokumentací společnosti První certifikační autorita, a. s.
Ministerstvo neshledalo žádné důvody, které by vedly k zákazu rozšíření poskytování kvalifikovaných certifikačních služeb o vydávání prostředků pro bezpečné vytváření elektronických podpisů.
