11.1.  Lietuvos EAC PKI funkcionavimą ir patikimą veiklą;

11.2.  metodinį vadovavimą Lietuvos EAC PKI dalyviams;

11.3.  Lietuvos ir užsienio DV registravimą;

11.4.  Lietuvos ir užsienio DV prieigos prie Lietuvos Respublikos išduodamų asmens tapatybės kortelių, pasų, kelionės dokumentų ir trečiųjų šalių piliečių leidimų gyventi lustuose saugomų jautrių duomenų teisės nustatymą ir kontrolę;

11.5.  DV sertifikatų išdavimą ir galiojimo nutraukimą.

13.1.  privatusis raktas naudojamas pasirašyti Lietuvos CVCA sertifikatams, jungiamiesiems sertifikatams ir DV išduodamiems sertifikatams;

13.2.  privatusis raktas naudojamas pasirašyti DV prašymą išduoti sertifikatą, teikiamą kitos valstybės narės CVCA, kai vykdomas pirminis prašymas išduoti sertifikatą;

13.3.  sertifikatas naudojamas patikrinti nacionalinės ar kitos valstybės narės DV sertifikato parašą ar DV prašymo išduoti sertifikatą, teikiamo kitos valstybės narės CVCA, išorinį parašą;

13.4.  Lietuvos CVCA raktų poros generuojamos pagal CVCA CPS reikalavimus, raktų generavimo operacija priskiriama prie CVCA kritinių operacijų;

13.5.  Lietuvos CVCA sertifikatų, jungiamųjų sertifikatų ir DV prašymų kitai CVCA išduoti sertifikatą, kurie turi būti pasirašomi Lietuvos CVCA, profiliai pateikiami 2–4 prieduose.

14.1.  Lietuvos CVCA sudaro ir pati pasirašo savo sertifikatą (angl. self-signed certificate), sudaro ir pasirašo jungiamuosius CVCA sertifikatus ir pasirašo DV sertifikatus.

15.1.  CVCA, DV ir jų viešuosius raktus identifikuoja sertifikato savininko nuoroda (angl. Certificate Holder Reference).

15.2.  Sertifikate įrašoma sertifikato savininko ir sertifikatą išdavusios atsakingos sertifikavimo įstaigos (angl. Certification Authority Reference) nuorodos.

15.3.  CVCA sertifikate sertifikato savininko ir sertifikatą išdavusios įstaigos nuorodos sutampa.

15.4.  Sertifikato savininko nuorodą sudaro unikalus identifikatorius, sudarytas iš šių elementų:

15.5.  Sertifikato savininko nuorodą pagal 15.4 punktą Lietuvos CVCA sertifikate sudaro:

15.6.  Lietuvos CVCA sudaromų sertifikatų unikalumą užtikrina sertifikato serijinis numeris, kuris turi būti unikalus tarp visų CVCA išduodamų sertifikatų.

15.7.  Valstybės CVCA tapatybė identifikuojama pagal sertifikato savininko ir sertifikavimo įstaigos nuorodą CVCA sertifikate.

15.8.  Viešasis raktas yra autentifikuojamas patikrinus jį atitinkančiu privačiuoju raktu sudarytą sertifikato prašymo vidinį parašą.

16.1.  Prieš pradėdama vykdyti DV prašymus išduoti sertifikatus, kiekviena CVCA privalo patvirtinti viena kitos tapatybę. CVCA tapatybės patvirtinimą prižiūri Europos Komisija.

16.2.  Lietuvos nacionalinis EAC PKI koordinatorius Europos komisijai teikia užpildytas registravimo formas, kurios pateiktos bendrosios sertifikavimo politikos D priede. Nacionalinis EAC PKI koordinatorius užtikrinta, kad registracijos formos bus užpildytos reikalaujama informacija ir bus oficialiai pasirašytos ir saugiai perduotos Europos komisijai. Jeigu nacionalinis EAC PKI koordinatorius registracijos procedūras vykdo tiesiogiai su kitos valstybės narės nacionaliniu EAC PKI koordinatoriumi, apie tokią sėkmingai įvykusią registraciją privalomai informuoja Europos Komisiją.

16.3.  Apie pasikeitusius registracijos duomenis Lietuvos nacionalinis EAC PKI koordinatorius informuoja Europos Komisiją.

16.4.  Lietuvos nacionalinis EAC PKI koordinatorius, gavęs registracijos prašymą iš valstybės narės nacionalinio EAC PKI koordinatoriaus, registracijos prašymą saugiai perduoda nacionaliniam CVCA. SPOC privalo patikrinti gauto registracijos prašymo integralumą. Integralaus prašymo atveju SPOC, naudodamas technologines integracines sąsajas, teikia prašymą gauti naujausius besiregistruojančios valstybės narės CVCA sertifikatus.

16.5.  Apie įvykdytą ar neįvykdytą valstybės narės CVCA registraciją Lietuvos nacionalinis EAC PKI koordinatorius per ne daugiau kaip keturias savaites nuo prašymo gavimo dienos informuoja registracijos prašymą teikusią valstybės narės CVCA. Neįvykdytos (atšauktos) registracijos atveju Lietuvos nacionalinis EAC PKI koordinatorius atsakyme nurodo neįvykdytos (atšauktos) registracijos priežastį.

17.1.  DV sertifikavimo veiklos nuostatų viešąją dalį;

17.2.  DV sertifikavimo politiką;

17.3.  DV sertifikavimo politikos atitikties Nacionalinei SP sertifikatą;

17.4.  Pageidaujamos prieigos prie MRTD jautrių duomenų apimtį (teises);

17.5.  Pirštų atspaudų skaitymo iš MRTD tikslą;

17.6.  Organizacijų, naudosiančių DV išduodamus sertifikatus IS, sąrašą;

19.1.  Prašymo formatas turi atitikti TR-EAC-1-3 C.2. punkte nurodytą sertifikato prašymo profilio šabloną. Prašyme išduoti sertifikatą turi būti 2 parašai:

20.1.  Sertifikatą atitinkanti raktų pora ir sertifikatas keičiami šiais atvejais:

20.2.  Jei baigiasi DV sertifikato galiojimas, teikiamas prašymas pakartotinai išduoti sertifikatą. Keičiamas sertifikatas turi galioti bent laikotarpį, per kurį apdorojamas ir įvykdomas prašymas pakartotinai išduoti sertifikatą.

20.3.  Jei DV sertifikato galiojimas nutraukiamas arba sertifikatą reikia pakeisti, prašymo išduoti sertifikatą procedūros yra analogiškos procedūroms prašant sertifikatą išduoti pirmą kartą (17 punktas).

20.4.  Lietuvos CVCA turi užtikrinti, kad anksčiau registruotų DV prašymai išduoti sertifikatus būtų išsamūs, tikslūs ir tinkamai autorizuoti.

21.1.  Lietuvos CVCA (SPOC) turi patikrinti prašymą išduoti sertifikatą:

21.2.  Jei prašyme įrašytas naujas viešasis raktas neatitinka privačiojo rakto, kuriuo sudarytas vidinis parašas, DV gali teikti pakartotinį prašymą.

21.3.  DV sertifikatų išdavimo procedūra vykdoma naudojant SPOC. Jeigu nėra galimybės naudoti SPOC, naudojamas alternatyvus suderintas komunikavimo būdas.

21.4.  Lietuvos CVCA (SPOC) privalo apdoroti prašymą per 72 valandas. Jei Lietuvos CVCA sistema neveikia ilgiau nei šis terminas, Lietuvos CVCA privalo pranešti visoms susijusioms DV ne vėliau kaip prieš 7 dienas iki veiklos sustabdymo, jei jis planuotas, o esant neplanuotam veiklos sustabdymui – kaip galima greičiau.

22.1.  Nepavykus sudaryti sertifikato dėl Lietuvos CVCA (SPOC) kaltės, Lietuvos CVCA (SPOC) turi apie tai informuoti DV per SPOC, elektroniniu paštu ar kitu sutartu būdu.

22.2.  Lietuvos CVCA ir DV raktų poros ir sertifikatai turi būti generuojami ir išduodami pagal CVCA CPS aprašytas procedūras.

22.3.  Lietuvos CVCA savo pasirašytą sertifikatą turi priimti Lietuvos CVCA įgaliotas ir atsakingas už Lietuvos CVCA asmuo iškart po raktų generavimo ceremonijos.

22.4.  Lietuvos CVCA turi imtis kovos su sertifikatų klastojimu priemonių bei užtikrinti, kad sertifikatų išdavimo procedūra būtų saugiai susijusi su registracijos ir kitomis sertifikato gyvavimo ciklo valdymo procedūromis.

23.1.  Lietuvos CVCA privalo laikytis šių reikalavimų:

23.2.  Po pažeidimo ar kompromitacijos privačiojo rakto naudojimas turi būti iš karto ir visam laikui nutraukiamas.

23.3.  Lietuvos CVCA privačiojo rakto pažeidimo ar kompromitacijos atveju privalo imtis šių veiksmų:

24.1.  Visiems Lietuvos CVCA sudarytiems sertifikatams sertifikatų galiojimo sustabdymo procedūros netaikomos.

24.2.  Norint nutraukti sertifikato galiojimą, DV turi nedelsdama apie tai informuoti Lietuvos CVCA. Po šios informacijos gavimo Lietuvos CVCA nebegali taikyti pakartotinio sertifikato išavimo procedūros.

24.3.  Pateikusi sertifikato galiojimo nutraukimo prašymą, DV, siekdama gauti naują sertifikatą, turi atlikti pirminio tapatybės patvirtinimo procedūrą (16, 17 punktai).

24.4.  Atskiru susitarimu, siekiant supaprastinti naujo sertifikato išdavimo procedūras po sertifikato galiojimo nutraukimo, kartu su sertifikato prašymu DV gali pateikti DV atstovo pasirašytą prašymą, kuriame nurodytos sertifikato galiojimo nutraukimo priežastys ir naujai sudaromo sertifikato viešasis raktas. Sertifikato prašymo išorinis parašas nesudaromas.

24.5.  Negaliojančių sertifikatų sąrašai (angl. Certificate revocation list (CRL)) nesudaromi ir neskelbiami, kiti būdai sertifikato statusui patikrinti (pvz., OCSP protokolas) netaikomi.

24.6.  Lietuvos CVCA neleidžia jokių sertifikato struktūros ar sertifikatą sudarančios informacijos modifikacijų, sudaromi ir išduodami tik 4 priede aprašytos struktūros sertifikatai.

24.7.  Sertifikatų atnaujinimas (angl. certificate renew), kuomet sertifikuojamas tas pats viešasis raktas, Lietuvos CVCA veikloje netaikomas.

24.8.  Sertifikatus atitinkančių raktų deponavimas (angl. key escrow) negalimas visiems Lietuvos EAC PKI infrastruktūroje naudojamiems sertifikatams.

24.9.  Lietuvos CVCA ir DV sertifikatai nėra viešai skelbiami.

26.1.  Lietuvos CVCA techninė įranga (tarnybinės stotys, HSM moduliai) saugoma Asmens dokumentų išrašymo centro tarnybinių stočių saugykloje, atskirtoje nuo kitos techninės įrangos, rakinamoje spintoje.

26.2.  Fizinis Lietuvos CVCA techninės įrangos saugumas užtikrintas šiomis priemonėmis:

27.1.  Procedūrinės kontrolės priemonės įgyvendinamos atskiriant Lietuvos CVCA techninės įrangos administravimo ir naudojimo pareigas. Yra naudojami 2 kriptografinių modulių (HSM) identifikacinių kortelių rinkiniai: operatoriaus ir administratoriaus rinkinys.

27.2.  Kritinės Lietuvos CVCA operacijos turi būti atliekamos esant bent dvigubai kontrolei.

27.3.  Lietuvos CVCA vidinis tinklas yra apsaugotas ugniasienėmis, naudojama įsilaužimų aptikimo ir prevencijos sistema. Lietuvos CVCA HSM laikomas atjungtas nuo tinklo.

27.4.  Jautrūs duomenys yra apsaugoti nuo tiesioginės prieigos ir yra prieinami tik tinkamai identifikuotiems ir autentifikuotiems asmenims. Jautrius duomenis sudaro Lietuvos CVCA privačiųjų raktų kopijos, DV prašymų išduoti sertifikatą ir išduotų sertifikatų duomenų bazė, veiklos procesų ir procedūrų aprašymai, šių CVCA CPS neskelbiama dalis.

27.5.  Prieiga prie Lietuvos CVCA taikomųjų programų kontroliuojama slaptažodžių politika, funkcijų atskyrimas įgyvendinamas priskiriant darbuotojams atitinkamus darbo laukus (roles).

27.6.  Lietuvos CVCA darbuotojų vykdomos kritinės operacijos turi būti dokumentuojamos ir pasirašomos visų operacijas vykdžiusių dalyvių ir stebėtojų.

27.7.  Nebenaudojamos informacijos laikmenos turi būti utilizuojamos jas sunaikinant arba atliekant visišką jose įrašytos informacijos ištrynimą arba išmagnetinimą (angl. disk-wipping or dagaussing).

28.1.  Su Lietuvos CVCA sistemomis dirba tik patyrę ir kvalifikuoti darbuotojai. Asmens dokumentų išrašymo centras be CVCA funkcijų administruoja ir kitas valstybinės reikšmės informacines ir kitas sistemas (pvz., asmens dokumentų išrašymo sistemą, kuri užtikrina kvalifikuotų viešo naudojimo sertifikatų įrašymą į asmens tapatybės dokumentų elektronines laikmenas).

28.2.  Lietuvos CVCA užtikrina, kad joje dirbantys darbuotojai:

28.3.  Sertifikavimo paslaugų teikėjo darbuotojų biografija tikrinama laikantis Lietuvos Respublikos vidaus reikalų ministerijos darbuotojams taikomos tvarkos.

28.4.  Darbuotojams, pažeidžiantiems Lietuvos CVCA kritinių operacijų vykdymo ar kitus saugumo reikalavimus, taikomos iš anksto numatytos atitinkamos drausminės sankcijos.

28.5.  Darbuotojai, vykdantys aukšto patikimumo reikalaujančias funkcijas, kurių rolės turi būti griežtai atskirtos:

28.6.  Visi aukšto patikimumo funkcijas vykdantys darbuotojai privalo turėti aiškias pareigybines instrukcijas vykdomai sertifikavimo veiklai.

29.1.  Lietuvos CVCA dokumentuoja visas vykdomas kritines operacijas.

29.2.  Kita, ne su kritinių operacijų vykdymu susijusi, sertifikatų ir kriptografinių raktų gyvavimo ciklo informacija kaupiama Lietuvos CVCA sisteminiuose įrašuose (angl. logs) ir elektroniniuose laiškuose.

29.3.  Visi su sertifikatų ir kriptografinių raktų gyvavimo ciklu susiję įvykiai registruojami ir dokumentuojami taip, kad būtų galima nustatyti įvykio laiką, atsakingus asmenis ir kitas svarbias įvykio aplinkybes, leisiančias nustatyti tinkamą ar netinkamą Lietuvos CVCA sistemų naudojimą.

29.4.  Registravimo metu gauta informacija turi būti kaupiama ir archyvuojama.

30.1.  Lietuvos CVCA įrašų archyvavimo procedūros turi užtikrinti duomenų vientisumą, autentiškumą ir konfidencialumą:

30.2.  Įrašai Lietuvos CVCA saugomi 10 metų. Tolesnis jų saugojimas užtikrinamas Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982).

31.1.  Lietuvos CVCA turi įgyvendinusi priemones, apsaugančias veiklą nuo žalingos aplinkos poveikio: elektros energijos tiekimo pertraukimų, potvynių, fizinio pažeidimo ir t. t. (priemonės detalizuotos 26 punkte).

31.2.  Įvykus avariniam įvykiui, įskaitant privačiojo rakto pažeidimą, CVCA, DV ir IS turi užtikrinti, kad pagrindinė sertifikavimo veikla būtų atkurta per 5 darbo dienas, visos sertifikavimo veiklos funkcijos atkuriamos per 2 savaites.

31.3.  Lietuvos CVCA veiksmai kritinių situacijų atveju aprašyti 23.3 punkte.

32.1.  Jei Lietuvos CVCA nutraukia savo veiklą ji privalo:

33.1.  Lietuvos CVCA kriptografiniai raktai generuojami kontroliuojamoje ir saugioje aplinkoje, esant bent dvigubai kontrolei. Raktų generavimo procedūra aprašyta CVCA CPS neskelbiamoje dalyje.

33.2.  Raktai generuojami naudojant kriptografinį įrenginį (HSM), atitinkantį vieną iš šių standartų:

33.3.  Prieš pasibaigiant Lietuvos CVCA privataus rakto galiojimui, Lietuvos CVCA arba turi generuoti naują raktų porą, arba sudaryti jungiamąjį sertifikatą.

33.4.  Platinant naujai sugeneruotus viešuosius raktus ir sertifikatus Lietuvos CVCA turi naudoti iš anksto sutartus ryšio kanalus (taip užtikrinamas viešojo rakto ir sertifikato autentiškumas).

34.1.  Privatieji raktai saugomi ir parašai kuriami tik su 33.2 punktą atitinkančiu kriptografiniu įrenginiu (HSM).

34.2.  Jei Lietuvos CVCA privačiųjų raktų kopijos saugomos ne saugiame kriptografiniame įrenginyje (HSM), jos turi būti šifruojamos. Šifravimo rakto ilgis turi būti ne trumpesnis nei Lietuvos CVCA privataus rakto ilgis.

34.3.  Lietuvos CVCA darbuotojai, siekiantys pasinaudoti kriptografiniu įrenginiu (HSM), identifikuojami ir autentifikuojami naudojant su kriptografiniu įrenginiu susietas identifikacines korteles.

34.4.  Lietuvos CVCA privataus rakto atstatymo naudojant rakto kopiją procedūra vykdoma analogiškai raktų generavimo procedūrai.

34.5.  Lietuvos CVCA privatieji raktai ir jų kopijos negali būti saugomi pasibaigus jų gyvavimo ciklui, privatieji raktai turi būti ištrinami iš kriptografinio įrenginio (HSM), o laikmenos, kuriose buvo saugomos privataus rakto kopijos, turi būti utilizuojamos pagal 27.7 punkto reikalavimus.

35.1.  CVCA trumpiausias rakto galiojimo terminas - 6 mėn., ilgiausias - 3 metai;

35.2.  DV trumpiausias rakto galiojimo terminas - 2 sav., ilgiausias - 3 mėn.;

35.3.  IS trumpiausias rakto galiojimo terminas - 1 diena, ilgiausias - 1 mėn.

36.1.  Lietuvos CVCA sistemų kitimai vykdomi tik gavus Lietuvos CVCA saugumo pareigūno ir Asmens dokumentų išrašymo centro direktoriaus pritarimą.

36.2.  Saugumo reikalavimų atitikimo Nacionalinei sertifikavimo politikai analizė turi būti atliekama bet kurio sistemos kūrimo ar tobulinimo projekto pradinėje stadijoje.

44.1.  keitimai, kurie nekeičia CVCA CPS saugumo lygio. Šie pakeitimai atliekami be išankstinio perspėjimo, CVCA CPS unikalus identifikatorius nėra keičiamas;

44.2.  kiti keitimai. Kitų keitimų atveju Lietuvos CVCA ne vėliau kaip prieš 3 mėnesius apie keitimus turi informuoti Europos Komisiją ir DV, kurios naudoja CVCA išduotus sertifikatus. Šių pakeitimų atveju keičiama CVCA CPS unikalaus identifikatoriaus versijos lauko reikšmė.