11.1. Lietuvos EAC PKI funkcionavimą ir patikimą veiklą;

11.2. metodinį vadovavimą Lietuvos EAC PKI dalyviams;

11.3. Lietuvos ir užsienio DV registravimą;

11.4. Lietuvos ir užsienio DV prieigos prie Lietuvos Respublikos išduodamų pasų ir kelionės dokumentų lustuose saugomų jautrių duomenų teisės nustatymą ir kontrolę;

11.5. Lietuvos ir užsienio DV prašymų sudaryti sertifikatą identifikavimą ir autentifikavimą, sertifikatų DV išdavimą ir galiojimo nutraukimą.

13.1. privatusis raktas naudojamas pasirašyti Lietuvos CVCA sertifikatams, jungiamiesiems sertifikatams ir DV išduodamiems sertifikatams;

13.2. privatusis raktas naudojamas pasirašyti DV prašymą išduoti sertifikatą, teikiamą kitos valstybės narės CVCA, kai prašymas teikiamas pirmą kartą (16.9.5.2 punktas);

13.3. sertifikatas naudojamas patikrinti nacionalinės ar kitos valstybės narės DV sertifikato parašą ar DV prašymo išduoti sertifikatą, teikiamo kitos valstybės narės CVCA, išorinį parašą;

13.4. Lietuvos CVCA raktų poros generuojamos pagal CVCA CPS reikalavimus, raktų generavimo operacija priskiriama prie CVCA kritinių operacijų;

13.5. Lietuvos CVCA sertifikatų, jungiamųjų sertifikatų ir DV prašymų kitai CVCA išduoti sertifikatą, kurie turi būti pasirašomi Lietuvos CVCA, profiliai pateikiami 2–4 prieduose.

14.1. Lietuvos CVCA sudaro ir pati pasirašo savo sertifikatą (angl. self-signed certificate), sudaro ir pasirašo jungiamuosius CVCA sertifikatus ir pasirašo DV sertifikatus.

15.1. CVCA ir DV ir jų viešuosius raktus identifikuoja sertifikato savininko nuoroda.

15.2. Sertifikate įrašoma sertifikato savininko ir sertifikatą išdavusios atsakingos sertifikavimo įstaigos nuorodos.

15.3. CVCA sertifikate sertifikato savininko ir sertifikatą išdavusios įstaigos nuorodos sutampa.

15.4. Sertifikato savininko nuorodą sudaro unikalus identifikatorius, sudarytas iš šių elementų:

15.5. Sertifikato savininko nuorodą pagal 15.4 punktą Lietuvos CVCA sertifikate sudaro:

15.6. Lietuvos CVCA sudaromų sertifikatų unikalumą užtikrina sertifikato serijinis numeris, kuris turi būti unikalus tarp visų CVCA išduodamų sertifikatų.

15.7. Valstybės CVCA tapatybė identifikuojama pagal sertifikato savininko ir sertifikavimo įstaigos nuorodą CVCA sertifikate.

15.8. Viešasis raktas yra autentifikuojamas patikrinus jį atitinkančiu privačiuoju raktu sudarytą sertifikato prašymo vidinį parašą (16.9.5.1 punktas).

16.1. Prieš pradėdamos vykdyti DV prašymus išduoti sertifikatus, CVCA privalo patvirtinti viena kitos tapatybę. CVCA tapatybės patvirtinimą prižiūri Europos Komisija. CVCA tapatybės patvirtinimui Europos Komisijai turi pateikti:

16.2. Pasikeitus Lietuvos CVCA registracijos informacijai, Lietuvos CVCA apie tai turi informuoti Europos Komisiją ir pateikti veiklą reglamentuojančios dokumentacijos atnaujinimą.

16.3. Pasibaigus galioti Lietuvos CVCA sertifikatui ir nesudarius jungiamojo sertifikato arba nutraukus Lietuvos CVCA sertifikato galiojimą, Lietuvos CVCA Europos Komisijai turi pateikti naujo Lietuvos CVCA viešojo rakto kopiją.

16.4. CVCA registracijos data laikoma Europos Komisijos sprendimo registruoti CVCA data.

16.5. Lietuvos DV registracija Lietuvos CVCA.

16.6. Lietuvos DV registracija Lietuvos CVCA turi būti vykdoma saugiu kanalu, registruodamasi DV privalo pateikti:

16.7. Kitos valstybės narės DV registracija Lietuvos CVCA.

16.8. Kitos valstybės narės DV gali pradėti registracijos procedūras tik tada, kai šalies narės CVCA, atsakinga už DV veiklą, yra įvykdžiusi registracijos procedūrą Europos Komisijoje.

16.9. Kitos valstybės DV registracija Lietuvos CVCA turi būti vykdoma saugiu kanalu. Registruodamasi DV privalo pateikti:

16.10. Jei keičiasi esminiai ir svarbūs registracijos duomenys, DV turi pateikti išsamią informaciją apie pasikeitimus Lietuvos CVCA. Lietuvos CVCA vertina, ar reikalingas naujas tapatybės patvirtinimas. Bet kurie duomenys, kurie mažina DV veiklos saugumą, yra svarbūs, tokiu atveju visada vykdoma nauja tapatybės patvirtinimo procedūra.

16.11. Ne valstybės narės CVCA, siekiančios, kad jos prižiūrimos DV galėtų gauti Lietuvos CVCA išduodamus sertifikatus, registracija nepatenka į šio dokumento apimtį. Tokiu atveju principinį sprendimą turi priimti Lietuvos Respublikos užsienio reikalų ir vidaus reikalų ministerijos. Ne valstybės narės EAC PKI infrastruktūra turi atitikti Lietuvos nacionalinės sertifikavimo politikos reikalavimus.

17.1. Pakartotinio sertifikato išdavimo procedūra vykdoma tada, kai keičiami tik šie sertifikate įrašyti duomenys:

17.2. Visais kitais atvejais vykdomos pradinės tapatybės patvirtinimo ir registracijos procedūros.

17.3. Lietuvos CVCA gavusi DV prašymą pakartotinai išduoti sertifikatą, turi užtikrinti prašymo galiojimą, patvirtindama, kad:

18.1. Registravimo įstaiga Lietuvos CVCA veikloje nėra išskirta, todėl prašymai išduoti sertifikatą teikiami tiesiai Lietuvos CVCA.

18.2. Prašymą išduoti sertifikatą rengia sertifikato gavėjas.

18.3. DV prašymą išduoti sertifikatą teikia tik sėkmingai atlikusi pradinį tapatybės patvirtinimą pagal 16 punktą.

18.4. Prašymas turi atitikti 4 priede nustatytą sertifikato prašymo šabloną.

18.5. DV prašymą išduoti sertifikatą teikia elektroniniu paštu ar kitu saugiu ir patikimu ryšio kanalu. Prašymą Lietuvos CVCA teikiant kitos šalies DV, perduodama informacija turi būti šifruojama. Jei prašymą teikia Lietuvos DV ir prašymas teikiamas SVDPT ar kitu saugiu tinklu, informacijos šifruoti nebūtina. Prašymą teikiant viešaisiais telekomunikacijų tinklais, informacija privalo būti šifruojama.

19.1. Sertifikatą atitinkanti raktų pora ir sertifikatas keičiami šiais atvejais:

19.2. Jei baigiasi DV sertifikato galiojimas (19.1.1 punktas), teikiamas prašymas pakartotinai išduoti sertifikatą. Keičiamas sertifikatas turi galioti bent laikotarpį, per kurį apdorojamas ir įvykdomas prašymas pakartotinai išduoti sertifikatą (pagal CVCA CPS ? 96 val.).

19.3. Jei DV sertifikato galiojimas nutraukiamas arba sertifikatą reikia pakeisti (19.1.1–19.1.3 punktai), prašymo išduoti sertifikatą procedūros yra analogiškos procedūroms prašant sertifikatą išduoti pirmą kartą (16.5, 16.9 punktai).

19.4. Lietuvos CVCA turi užtikrinti, kad anksčiau registruotų DV prašymai išduoti sertifikatus būtų išsamūs, tikslūs ir tinkamai autorizuoti.

20.1. Lietuvos CVCA turi patikrinti prašymą išduoti sertifikatą:

20.2. Jei prašyme įrašytas naujas viešasis raktas neatitinka privačiojo rakto, kuriuo sudarytas vidinis parašas, DV gali teikti pakartotinį prašymą.

20.3. Jei išorinį prašymo parašą tvirtinantis, keičiamas DV sertifikatas prašymo gavimo metu yra nebegaliojantis arba jo galiojimas yra nutrauktas, taikoma pradinės tapatybės nustatymo ir registracijos procedūra (16.5, 16.9 punktai).

20.4. Turi būti atliekama bent dviguba sertifikato prašymo patikrinimo kontrolė. Atlikus sertifikato patikrinimą, sertifikato prašymas turi būti oficialiai patvirtinamas Lietuvos CVCA.

20.5. Lietuvos CVCA privalo apdoroti prašymą per 72 val. Jei Lietuvos CVCA sistema neveikia ilgiau nei šis terminas, Lietuvos CVCA privalo pranešti visoms susijusioms DV ne vėliau kaip prieš 7 dienas iki veiklos sustabdymo, jei jis planuotas, o esant neplanuotam veiklos sustabdymui – kaip galima greičiau.

21.1. Gavusi prašymą Lietuvos CVCA turi įsitikinti, kad DV yra įregistruota Lietuvos CVCA.

21.2. Patikrinti, ar kitos valstybės narės CVCA, kuriai prašymas yra rengiamas, yra įregistruota Europos Komisijos.

21.3. Pasirašytas prašymas DV išsiunčiamas elektroniniu paštu ar kitu saugiu ir patikimu ryšio kanalu.

21.4. Lietuvos CVCA privalo išsiųsti pasirašytą prašymą per 96 val. nuo prašymo gavimo.

22.1. Sertifikato išdavimo procedūra apima sertifikato sukūrimą, sertifikato pasirašymą ir sertifikato išdavimą.

22.2. Sukurtas sertifikatas išsiunčiamas elektroniniu paštu ar perduodamas kitu saugiu ir patikimu būdu.

22.3. Lietuvos CVCA turi išduoti sertifikatą DV per 24 val. po prašymo tvarkymo procedūrų atlikimo. Sertifikato išdavimo data laikoma sertifikato išsiuntimo elektroniniu paštu data. Sertifikatą perduodant kitu saugiu ir patikimu būdu, sertifikato išdavimo data nustatoma bendru susitarimu.

22.4. Nepavykus sudaryti sertifikato dėl 20.2, 20.3 punktuose nurodytų priežasčių ar dėl Lietuvos CVCA kaltės, Lietuvos CVCA turi apie tai informuoti DV elektroniniu paštu ar kitu sutartu būdu.

22.5. Lietuvos CVCA ir DV raktų poros ir sertifikatai turi būti generuojami ir išduodami pagal CVCA CPS aprašytas procedūras.

22.6. Lietuvos CVCA savo pasirašytą sertifikatą turi priimti Lietuvos CVCA įgaliotas ir atsakingas už Lietuvos CVCA asmuo iškart po raktų generavimo ceremonijos.

22.7. Lietuvos CVCA turi imtis kovos su sertifikatų klastojimu priemonių bei užtikrinti, kad sertifikatų išdavimo procedūra būtų saugiai susijusi su registracijos ir kitomis sertifikato gyvavimo ciklo valdymo procedūromis.

23.1. Lietuvos CVCA privalo laikytis šių reikalavimų:

23.2. Po pažeidimo ar kompromitacijos privačiojo rakto naudojimas turi būti iš karto ir visam laikui nutraukiamas.

23.3. Lietuvos CVCA privačiojo rakto pažeidimo ar kompromitacijos atveju privalo imtis šių veiksmų:

23.4. nedelsiant nutraukti sertifikatų išdavimą DV;

23.5. nutraukti Lietuvos DV prašymų išduoti sertifikatą, teikiamų kitų valstybių narių CVCA, pasirašymą;

23.6. informuoti visus Lietuvos EAC PKI ir susijusius valstybių narių EAC PKI dalyvius;

23.7. iš Lietuvos CVCA darbuotojų sudaryti kritinių situacijų valdymo komitetą, kuris išanalizuotų susidariusią padėtį ir priežastis, parengtų reikiamus veiklos pakeitimus.

23.8. Lietuvos CVCA veikla tęsiama tik gavus oficialų Asmens dokumentų išrašymo centro direktoriaus įsakymą.

24.1. Visiems Lietuvos CVCA sudarytiems sertifikatams sertifikatų galiojimo sustabdymo procedūros netaikomos.

24.2. Norint nutraukti sertifikato galiojimą, DV turi nedelsdama apie tai informuoti Lietuvos CVCA. Po šios informacijos gavimo Lietuvos CVCA nebegali taikyti pakartotinio sertifikato išavimo procedūros.

24.3. Pateikusi sertifikato galiojimo nutraukimo prašymą, DV, siekdama gauti naują sertifikatą, turi atlikti pirminio tapatybės patvirtinimo procedūrą (16.5, 16.9 punktai).

24.4. Atskiru susitarimu, siekiant supaprastinti naujo sertifikato išdavimo procedūras po sertifikato galiojimo nutraukimo, kartu su sertifikato prašymu DV gali pateikti DV atstovo pasirašytą prašymą, kuriame nurodytos sertifikato galiojimo nutraukimo priežastys ir naujai sudaromo sertifikato viešasis raktas. Sertifikato prašymo išorinis parašas nesudaromas.

24.5. Negaliojančių sertifikatų sąrašai (angl. Certificate revocation list (CRL)) nesudaromi ir neskelbiami, kiti būdai sertifikato statusui patikrinti (pvz., OCSP protokolas) netaikomi.

24.6. Lietuvos CVCA neleidžia jokių sertifikato struktūros ar sertifikatą sudarančios informacijos modifikacijų, sudaromi ir išduodami tik 4 priede aprašytos struktūros sertifikatai.

24.7. Sertifikatų atnaujinimas (angl. certificate renew), kuomet sertifikuojamas tas pats viešasis raktas, Lietuvos CVCA veikloje netaikomas.

24.8. Sertifikatus atitinkančių raktų deponavimas (angl. key escrow) negalimas visiems Lietuvos EAC PKI infrastruktūroje naudojamiems sertifikatams.

24.9. Lietuvos CVCA ir DV sertifikatai nėra viešai skelbiami.

26.1. Lietuvos CVCA techninė įranga (tarnybinės stotys, HSM moduliai) saugoma Asmens dokumentų išrašymo centro tarnybinių stočių saugykloje, atskirtoje nuo kitos techninės įrangos, rakinamoje spintoje.

26.2. Fizinis Lietuvos CVCA techninės įrangos saugumas užtikrintas šiomis priemonėmis:

27.1. Procedūrinės kontrolės priemonės įgyvendinamos atskiriant Lietuvos CVCA techninės įrangos administravimo ir naudojimo pareigas. Yra naudojami 2 kriptografinių modulių (HSM) identifikacinių kortelių rinkiniai: operatoriaus ir administratoriaus rinkinys.

27.2. Kritinės Lietuvos CVCA operacijos turi būti atliekamos esant bent dvigubai kontrolei.

27.3. Lietuvos CVCA vidinis tinklas yra apsaugotas ugniasienėmis, naudojama įsilaužimų aptikimo ir prevencijos sistema. Lietuvos CVCA HSM laikomas atjungtas nuo tinklo.

27.4. Jautrūs duomenys yra apsaugoti nuo tiesioginės prieigos ir yra prieinami tik tinkamai identifikuotiems ir autentifikuotiems asmenims. Jautrius duomenis sudaro Lietuvos CVCA privačiųjų raktų kopijos, DV prašymų išduoti sertifikatą ir išduotų sertifikatų duomenų bazė, veiklos procesų ir procedūrų aprašymai, šių CVCA CPS neskelbiama dalis.

27.5. Prieiga prie Lietuvos CVCA taikomųjų programų kontroliuojama slaptažodžių politika, funkcijų atskyrimas įgyvendinamas priskiriant darbuotojams atitinkamus darbo laukus (roles).

27.6. Lietuvos CVCA darbuotojų vykdomos kritinės operacijos turi būti dokumentuojamos ir pasirašomos visų operacijas vykdžiusių dalyvių ir stebėtojų.

27.7. Nebenaudojamos informacijos laikmenos turi būti utilizuojamos jas sunaikinant arba atliekant visišką jose įrašytos informacijos ištrynimą arba išmagnetinimą (angl. disk-wipping or dagaussing).

28.1. Su Lietuvos CVCA sistemomis dirba tik patyrę ir kvalifikuoti darbuotojai. Asmens dokumentų išrašymo centras be CVCA funkcijų administruoja ir kitas valstybinės reikšmės informacines ir kitas sistemas (pvz., asmens dokumentų išrašymo sistemą, kuri užtikrina kvalifikuotų viešo naudojimo sertifikatų įrašymą į asmens tapatybės dokumentų elektronines laikmenas).

28.2. Lietuvos CVCA užtikrina, kad joje dirbantys darbuotojai:

28.3. Sertifikavimo paslaugų teikėjo darbuotojų biografija tikrinama laikantis Lietuvos Respublikos vidaus reikalų ministerijos darbuotojams taikomos tvarkos.

28.4. Darbuotojams, pažeidžiantiems Lietuvos CVCA kritinių operacijų vykdymo ar kitus saugumo reikalavimus, taikomos iš anksto numatytos atitinkamos drausminės sankcijos.

28.5. Darbuotojai, vykdantys aukšto patikimumo reikalaujančias funkcijas, kurių rolės turi būti griežtai atskirtos:

28.6. Visi aukšto patikimumo funkcijas vykdantys darbuotojai privalo turėti aiškias pareigybines instrukcijas vykdomai sertifikavimo veiklai.

29.1. Lietuvos CVCA dokumentuoja visas vykdomas kritines operacijas.

29.2. Kita, ne su kritinių operacijų vykdymu susijusi, sertifikatų ir kriptografinių raktų gyvavimo ciklo informacija kaupiama Lietuvos CVCA sisteminiuose įrašuose (angl. logs) ir elektroniniuose laiškuose.

29.3. Visi su sertifikatų ir kriptografinių raktų gyvavimo ciklu susiję įvykiai registruojami ir dokumentuojami taip, kad būtų galima nustatyti įvykio laiką, atsakingus asmenis ir kitas svarbias įvykio aplinkybes, leisiančias nustatyti tinkamą ar netinkamą Lietuvos CVCA sistemų naudojimą.

29.4. Registravimo metu gauta informacija turi būti kaupiama ir archyvuojama.

30.1. Lietuvos CVCA įrašų archyvavimo procedūros turi užtikrinti duomenų vientisumą, autentiškumą ir konfidencialumą:

30.2. Įrašai Lietuvos CVCA saugomi 10 metų. Tolesnis jų saugojimas užtikrinamas Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982).

31.1. Lietuvos CVCA turi įgyvendinusi priemones, apsaugančias veiklą nuo žalingos aplinkos poveikio: elektros energijos tiekimo pertraukimų, potvynių, fizinio pažeidimo ir t. t. (priemonės detalizuotos 26 punkte).

31.2. Įvykus avariniam įvykiui, įskaitant privačiojo rakto pažeidimą, CVCA, DV ir IS turi užtikrinti, kad pagrindinė sertifikavimo veikla būtų atkurta per 5 darbo dienas, visos sertifikavimo veiklos funkcijos atkuriamos per 2 savaites.

31.3. Lietuvos CVCA veiksmai kritinių situacijų atveju aprašyti 23.2 punkte.

32.1. Jei Lietuvos CVCA nutraukia savo veiklą ji privalo:

33.1. Lietuvos CVCA kriptografiniai raktai generuojami kontroliuojamoje ir saugioje aplinkoje, esant bent dvigubai kontrolei. Raktų generavimo procedūra aprašyta CVCA CPS neskelbiamoje dalyje.

33.2. Raktai generuojami naudojant kriptografinį įrenginį (HSM), atitinkantį vieną iš šių standartų:

33.3. Prieš pasibaigiant Lietuvos CVCA privataus rakto galiojimui, Lietuvos CVCA arba turi generuoti naują raktų porą, arba sudaryti jungiamąjį sertifikatą.

33.4. Platinant naujai sugeneruotus viešuosius raktus ir sertifikatus Lietuvos CVCA turi naudoti iš anksto sutartus ryšio kanalus (taip užtikrinamas viešojo rakto ir sertifikato autentiškumas).

34.1. Privatieji raktai saugomi ir parašai kuriami tik su 33.2 punktą atitinkančiu kriptografiniu įrenginiu (HSM).

34.2. Jei Lietuvos CVCA privačiųjų raktų kopijos saugomos ne saugiame kriptografiniame įrenginyje (HSM), jos turi būti šifruojamos. Šifravimo rakto ilgis turi būti ne trumpesnis nei Lietuvos CVCA privataus rakto ilgis.

34.3. Lietuvos CVCA darbuotojai, siekiantys pasinaudoti kriptografiniu įrenginiu (HSM), identifikuojami ir autentifikuojami naudojant su kriptografiniu įrenginiu susietas identifikacines korteles.

34.4. Lietuvos CVCA privataus rakto atstatymo naudojant rakto kopiją procedūra vykdoma analogiškai raktų generavimo procedūrai.

34.5. Lietuvos CVCA privatieji raktai ir jų kopijos negali būti saugomi pasibaigus jų gyvavimo ciklui, privatieji raktai turi būti ištrinami iš kriptografinio įrenginio (HSM), o laikmenos, kuriose buvo saugomos privataus rakto kopijos, turi būti utilizuojamos pagal 27.7 punkto reikalavimus.

35.1. Raktų galiojimo terminai, nustatyti 2006 m. birželio 28 d. Europos Komisijos sprendimo C(2006) 2909 5.5.1 punkte:

36.1. Lietuvos CVCA sistemų kitimai vykdomi tik gavus Lietuvos CVCA saugumo pareigūno ir Asmens dokumentų išrašymo centro direktoriaus pritarimą.

36.2. Saugumo reikalavimų atitikimo Nacionalinei sertifikavimo politikai analizė turi būti atliekama bet kurio sistemos kūrimo ar tobulinimo projekto pradinėje stadijoje.

43.1. keitimai, kurie nekeičia CVCA CPS saugumo lygio. Šie pakeitimai atliekami be išankstinio perspėjimo, CVCA CPS unikalus identifikatorius nėra keičiamas;

43.2. kiti keitimai. Kitų keitimų atveju Lietuvos CVCA ne vėliau kaip prieš 3 mėnesius apie keitimus turi informuoti Europos Komisiją ir DV, kurios naudoja CVCA išduotus sertifikatus. Šių pakeitimų atveju keičiama CVCA CPS unikalaus identifikatoriaus versijos lauko reikšmė.