4.1.   e. rezidento kvalifikuotas elektroninio parašo sertifikatas, skirtas e. rezidento kvalifikuotam elektroniniam parašui patvirtinti;

4.2.   e. rezidento atpažinimo elektroninėje erdvėje sertifikatas, skirtas e. rezidento tapatybei elektroninėje erdvėje nustatyti.

6.1.   E. rezidento sertifikatai – į Lietuvos Respublikos e. rezidentų elektroninės atpažinties ir elektroninio parašo priemonių kontaktines elektronines laikmenas įrašomi e. rezidento kvalifikuotas elektroninio parašo sertifikatas ir e. rezidento atpažinimo elektroninėje erdvėje sertifikatas.

6.2.   Kriptografinis modulis – patikimumo užtikrinimo paslaugų teikėjo kriptografiniams raktams generuoti, apsaugoti bei elektroniniam parašui kurti naudojama techninė ir su ja susijusi programinė įranga.

6.3.   Kriptografinių raktų pora – matematiškai susijusių privačiojo ir viešojo kriptografinių raktų pora.

6.4.   Negaliojančių sertifikatų sąrašas – patikimumo užtikrinimo paslaugų teikėjo periodiškai leidžiamas sertifikatų, kurių galiojimas atšauktas ar laikinai sustabdytas, elektroninio formato sąrašas.

6.5.   Privatusis kriptografinis raktas – unikalūs elektroninio parašo kūrimo duomenys.

6.6.   Registravimo tarnyba – Migracijos departamento direktoriaus nustatyti Migracijos departamento struktūriniai padaliniai ir Migracijos departamento atrinkti išorės paslaugų teikėjai išduodantys e. rezidento elektroninės atpažinties ir elektroninio parašo priemones su jose įrašytais elektroniniais e. rezidento sertifikatais.

6.7.   Sertifikatais pasikliaujančios šalys – fiziniai ir juridiniai asmenys, pasikliaujantys elektroniniais parašais, patvirtintais patikimumo užtikrinimo paslaugų teikėjo sudarytais sertifikatais.

6.8.   Sertifikato savininkas – fizinis asmuo, kurio vardu sudaromas sertifikatas.

6.9.   Sertifikatų naudotojai – sertifikatų savininkai ir sertifikatais pasikliaujančios šalys.

6.10. Sertifikavimo paslaugos – patikimumo užtikrinimo paslaugų teikėjo teikiamos sertifikatų sudarymo ir tvarkymo, taip pat informacijos apie sudarytų sertifikatų galiojimo statusą teikimo paslaugos.

6.11. Sertifikavimo tarnyba – aparatinė ir su ja susijusi programinė įranga, naudojama sertifikatams sudaryti ir tvarkyti.

6.12. Viešasis kriptografinis raktas – į sertifikatą įrašomi unikalūs elektroninio parašo patvirtinimo duomenys.

6.13. Kitos šiose taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (toliau – Reglamentas (ES) Nr. 910/2014).

13.1. užtikrinti registracijos duomenų konfidencialumą ir vientisumą;

13.2. užtikrinti informacinių sistemų, su kuriomis registravimo procedūros metu keičiamasi duomenimis, identifikavimą.

14.1. sudaromi kvalifikuoti elektroninio parašo sertifikatai turi atitikti Reglamente (ES) Nr. 910/2014 kvalifikuotiems elektroninio parašo sertifikatams nustatytus reikalavimus;

14.2. kriptografinių raktų poros turi būti generuojamos saugiai;

14.3. sertifikato sudarymo procedūra turi būti saugiai susieta su e. rezidentų registravimo sertifikatams gauti procedūra;

14.4. sertifikato sudarymo procedūra turi būti saugiai susieta su kriptografinių raktų poros generavimo procedūra;

14.5. privačiųjų kriptografinių raktų slaptumas turi būti išlaikytas iki jų įteikimo sertifikatų savininkui;

14.6. kvalifikuoti elektroninio parašo kūrimo įtaisai sertifikatų savininkams turi būti perduoti saugiai;

14.7. kiekviename vienos ir tos pačios rūšies sertifikate nurodyti sertifikato savininko identifikavimo duomenys turi būti unikalūs tarp visų patikimumo užtikrinimo paslaugų teikėjo sudarytų sertifikatų.

17.1. jo sudaromi kriptografiniai raktai būtų sudaromi naudojant algoritmus, kurie atitinka kvalifikuoto elektroninio parašo saugumui keliamus reikalavimus visą juos atitinkančio sertifikato galiojimo laikotarpį;

17.2. jo sudaromų kriptografinių raktų ilgiai būtų tinkami naudojimui visą juos atitinkančio sertifikato galiojimo laikotarpį, atsižvelgiant į kvalifikuoto elektroninio parašo saugumui ir kūrimo algoritmams keliamus reikalavimus.

20.1. patikimumo užtikrinimo paslaugų teikėjo pavadinimas ir kontaktai;

20.2. sertifikatų naudojimo apribojimai;

20.3. sertifikatų galiojimo tikrinimo, atšaukimo ir laikino sustabdymo procedūros;

20.4. sertifikatų sudarymo ir tvarkymo įrašų saugojimo laikotarpis;

20.5. sertifikatų savininko pareigos;

20.6. sertifikatais pasikliaujančių šalių pareigos;

20.7. patikimumo užtikrinimo paslaugų teikėjo pareigos ir atsakomybė;

20.8. informacija apie patikimumo užtikrinimo paslaugų teikėjo garantinius įsipareigojimus bei draudimo programas;

20.9. taikomų sutarčių, sertifikavimo veiklos nuostatų, taisyklių ir kitų susijusių dokumentų identifikacija ir nuorodos;

20.10. taikomų asmens duomenų apsaugos taisyklių aprašas ir nuorodos;

20.11. jei už teikiams paslaugas taikomi mokesčiai, taikomų piniginių lėšų sugrąžinimo taisyklių aprašas ir nuorodos;

20.12. taikomos teisės nustatymas, skundų procedūra, ginčų sprendimo mechanizmai;

20.13. informacija apie patikimumo užtikrinimo paslaugų teikėjo statusą;

20.14. jei buvo atliktas sertifikavimo veiklos atitikties Reglamento (ES) Nr. 910/2014 reikalavimams vertinimas, tai nurodoma atitikties vertinimo įstaiga ir vertinimo išvada.

23.1. sertifikavimo veiklos nuostatų nustatyta tvarka teikti patikimumo užtikrinimo paslaugų teikėjui tikslią ir išsamią informaciją, reikalingą asmens tapatybei nustatyti ir sertifikatams sudaryti;

23.2. naudoti e. rezidento elektroninės atpažinties ir elektroninio parašo priemonėje esančius parašo kūrimo ir patvirtinimo duomenis bei juos atitinkančius sertifikatus tik 4 punkte nurodytiems tikslams, laikantis sertifikate nurodytų naudojimo apribojimų;

23.3. naudoti sertifikatus tik jų galiojimo laikotarpiu. Sertifikatų galiojimo laikotarpiu gavęs pranešimą ar kitaip sužinojęs, kad jam išduotų sertifikatų galiojimas yra atšauktas arba sertifikatus sudariusi sertifikavimo tarnyba tapo nepatikima, nedelsiant ir visam laikui nutraukti jam išduotus sertifikatus atitinkančių parašo kūrimo duomenų (e. rezidento elektroninės atpažinties ir elektroninio parašo priemonės) naudojimą;

23.4. pasirūpinti, kad parašo kūrimo duomenimis (e. rezidento elektroninės atpažinties ir elektroninio parašo priemone) nepasinaudotų kiti asmenys;

23.5. sertifikatų galiojimo laikotarpiu praradęs parašo kūrimo duomenų (e. rezidento elektroninės atpažinties ir elektroninio parašo priemonės) kontrolę nedelsiant kreiptis į patikimumo užtikrinimo paslaugų teikėją su prašymu atšaukti juos atitinkančių sertifikatų galiojimą;

23.6. sertifikatų galiojimo laikotarpiu pasikeitus sertifikatuose įrašytiems duomenims arba pastebėjus, kad sertifikatuose yra įrašyti neteisingi duomenys, taip pat sužinojus, kad e. rezidento elektroninės atpažinties ir elektroninio parašo priemonės kontaktinės elektroninės laikmenos aktyvavimo duomenys (slaptažodis) galėjo tapti ar tapo žinomi kitiems asmenims, nedelsiant ir visam laikui nutraukti parašo kūrimo duomenų naudojimą bei kreiptis į patikimumo užtikrinimo paslaugų teikėją su prašymu atšaukti juos atitinkančių sertifikatų galiojimą;

23.7. leisti patikimumo užtikrinimo paslaugų teikėjui naudoti ir saugoti asmens duomenis, kaip to reikalauja taisyklės ir sertifikavimo veiklos nuostatai.

24.1. įsitikinti sertifikato galiojimu;

24.2. patikrinti visų sertifikatų seką sudarančių sertifikatų galiojimą;

24.3. įsitikinti, kad sertifikatas naudojamas pagal paskirtį, nurodytą sertifikate.

26.1. asmenys, kurie gali pateikti prašymą atšaukti ar laikinai sustabdyti sertifikato galiojimą;

26.2. prašymo pateikimo tvarka;

26.3. sertifikato galiojimo laikino sustabdymo ir galiojimo atšaukimo atvejai ir priežastys;

26.4. informacijos apie sertifikatų galiojimo statusą teikimo būdai.

27.1. gauti prašymai atšaukti ar laikinai sustabdyti sertifikato galiojimą būtų išnagrinėti nedelsiant;

27.2. prašymai atšaukti ar laikinai sustabdyti sertifikato galiojimą yra autentiški ir teisėti pagal sertifikavimo veiklos nuostatų reikalavimus;

27.3. maksimalus laikotarpis nuo prašymo atšaukti ar laikinai sustabdyti sertifikato galiojimą gavimo iki informacijos apie naują sertifikato galiojimo statusą pateikimo būtų ne ilgesnis kaip 24 valandos;

27.4. maksimalus laikotarpis nuo sprendimo atšaukti ar laikinai sustabdyti sertifikato galiojimą iki informacijos apie naują sertifikato galiojimo statusą pateikimo būtų ne ilgesnis nei 60 minučių;

27.5. sertifikato galiojimo atšaukimas negalėtų būti panaikintas;

27.6. sertifikatų galiojimo statuso pasikeitimus registruojančių sistemų laikas būtų sinchronizuojamas su pasauliniu koordinuotuoju laiku ne rečiau kaip kartą per 24 valandas.

34.1. apibrėžti ir įgyvendinti informacijos saugos politiką, kuri turi būti dokumentuota, patvirtinta vadovybės, reguliariai peržiūrima ir pagal poreikį atnaujinama;

34.2. skleisti informacijos saugos politiką savo ir kitų sertifikavimo paslaugų teikimo procese dalyvaujančių institucijų darbuotojams;

34.3. kai tai yra taikytina, informuoti apie informacijos saugos politikos pasikeitimus trečiąsias šalis – sertifikatų naudotojus, atitikties vertinimo įstaigą, priežiūros įstaigą ar kitas priežiūros institucijas;

34.4. užtikrinti, kad būtų apibrėžtos, įgyvendinamos, prižiūrimos ir dokumentuojamos visos su patikimumo užtikrinimo paslaugų teikėjo įrenginiais, sistemomis ir informaciniu turtu susijusios saugumo valdymo priemonės ir procedūros;

34.5. periodiškai atlikti saugumo ir veiklos procedūrų reikalavimams nustatyti būtiną rizikos analizę;

34.6. inventorizuoti sertifikavimo paslaugų teikimui naudojamą ir paslaugų teikimo procese sukauptą informacinį turtą ir pagal rizikos analizės rezultatus suklasifikuoti šio turto saugos reikalavimus;

34.7. užtikrinti, kad visi įtakos informacijos saugai turintys pakeitimai būtų patvirtinti patikimumo užtikrinimo paslaugų teikėjo vadovybės;

34.8. užtikrinti, kad sertifikavimo paslaugoms teikti naudojamų sistemų konfigūracija būtų reguliariai tikrinama, siekiant nustatyti galimas neatitiktis informacijos saugos politikos reikalavimams;

34.9. užtikrinti, kad informacijos kaupikliai ir laikmenos, kuriose saugoma jautri informacija, būtų sunaikinti iš karto po to, kai jie tampa nereikalingi sertifikavimo veiklai vykdyti.

36.1. laikyti sertifikatų sudarymo, kvalifikuotų elektroninio parašo kūrimo įtaisų rengimo ir sertifikatų galiojimo atšaukimo ar laikino sustabdymo įrangą fiziškai atskirtose zonose, į kurias patekti galėtų tik tam teisę turintys asmenys. Bet kokios bendrai su kitomis organizacijomis naudojamos patalpos turi būti už šių zonų ribų;

36.2. užtikrinti, kad zonos, kuriose laikoma sertifikatų sudarymo, kvalifikuotų elektroninio parašo kūrimo įtaisų rengimo ir sertifikatų galiojimo atšaukimo ar laikino sustabdymo įranga, būtų stebimos, teisės į šias zonas patekti neturintys asmenys į jas patekti galėtų tik lydimi tam teisę turinčių asmenų ir kiekvienas patekimas į šias zonas būtų registruojamas;

36.3. įgyvendinti priemones, skirtas užtikrinti turto apsaugą nuo praradimo, sugadinimo, neleistino naudojimo ir apsaugoti nuo veiklos sustabdymo;

36.4. įgyvendinti priemones, skirtas užtikrinti informacijos ir informacijos apdorojimo priemonių apsaugą nuo neleistino naudojimo ar vagystės;

36.5. įgyvendinti priemones, skirtas apsaugoti su paslaugų teikimu susijusią aparatinę ir programinę įrangą, informaciją bei jos kaupiklius nuo nesankcionuoto paėmimo iš nustatytos jų laikymo vietos.

37.1. fizinės prieigos kontrolę;

37.2. priešgaisrinę apsaugą;

37.3. apsaugą nuo komunalinių paslaugų (pvz., elektros energijos, telekomunikacijų) teikimo sutrikimų;

37.4. apsaugą nuo patalpų užliejimo;

37.5. apsaugą nuo įsilaužimo ir vagysčių.

38.1. sertifikavimo paslaugų teikimui naudojamų sistemų administratorių, auditorių ir operatorių prieigos teisės turi būti valdomos;

38.2. sertifikavimo paslaugų teikimui naudojamose sistemose turi būti įmanoma atskirti aukštos atsakomybės pareigybių teises. Pagalbinių programų naudojimas turi būti ribojamas ir kontroliuojamas;

38.3. sertifikatų sudarymo ir tvarkymo kritines operacijas atliekantys darbuotojai turi būti identifikuojami ir autentifikuojami;

38.4. patikimumo užtikrinimo paslaugų teikėjo darbuotojų veiksmai turi būti kontroliuojami, fiksuojant ir išsaugant informaciją apie sistemų naudojimą.

45.1. Sertifikatų valdymo informacinės sistemos saugos įgaliotinis – atsakingas už sistemos elektroninės informacijos saugos politikos įgyvendinimo koordinavimą ir priežiūrą;

45.2. sertifikavimo tarnybos pareigūnas – atsakingas už sertifikavimo paslaugų teikimui reikalingų infrastruktūros sertifikatų išdavimą, patikimumo užtikrinimo paslaugų teikėjo valdomų sertifikatų sudarymo ir tvarkymo operacijų tvirtinimą;

45.3. sertifikavimo tarnybos administratorius – atsakingas už patikimumo užtikrinimo paslaugų teikėjo sertifikatų sudarymui ir tvarkymui naudojamų sertifikavimo tarnybų diegimą, konfigūravimą ir palaikymą;

45.4. sertifikavimo tarnybos operatorius – atsakingas už sertifikatų sudarymo ir tvarkymo sistemų nenutrūkstamą veikimą, įgaliotas daryti atsargines kopijas ir vykdyti informacijos iš jų atstatymo procedūras;

45.5. sertifikavimo tarnybos auditorius – atsakingas už patikimumo užtikrinimo paslaugų teikėjo patikimų sistemų archyvų ir audito įrašų peržiūrą, perkėlimą į archyvus ir nereikalingų įrašų išvalymą.

47.1. užtikrinti einamųjų ir archyvinių įrašų konfidencialumą ir vientisumą;

47.2. užtikrinti, kad įrašai būtų saugomi sertifikavimo veiklos nuostatuose nustatyta tvarka;

47.3. užtikrinti, kad būtų fiksuojamas tikslus visų reikšmingų su patikimumo užtikrinimo paslaugų teikėjo veikla, kriptografinių raktų tvarkymu ir sertifikavimo paslaugų teikimui naudojamų sistemų laiko sinchronizavimu susijusių įvykių laikas;

47.4. užtikrinti, kad sertifikatų sudarymo ir tvarkymo operacijų įrašų saugojimo terminas būtų nustatytas atsižvelgiant į laikotarpį, per kurį patikimumo užtikrinimo paslaugų teikėjas teisminių procesų atveju turi teikti tinkamai vykdytos sertifikavimo veiklos įrodymus;

47.5. fiksuojamus įvykių duomenis apsaugoti nuo pakeitimo ar sunaikinimo visą jų saugojimo laikotarpį;

47.6. registruoti visus saugos incidentus bei neeilinius veiklos įvykius.

49.1. prašymuose sudaryti sertifikatus pateiktų dokumentų identifikavimo duomenys;

49.2. prašymą priėmusio darbuotojo identifikavimo duomenys;

49.3. prašymą priėmusios registravimo tarnybos pavadinimas.

50.1. visus patikimumo užtikrinimo paslaugų teikėjo kriptografinių raktų gyvavimo ciklo įvykius;

50.2. visus sudaromų sertifikatų gyvavimo ciklo įvykius;

50.3. visus asmenims generuojamų kriptografinių raktų gyvavimo ciklo įvykius;

50.4. visus įvykius, susijusius su kvalifikuotų elektroninio parašo kūrimo įtaisų parengimu;

50.5. visus įvykius, susijusius su sertifikatų galiojimo statuso keitimu, įskaitant prašymus, pranešimus ir su jų vykdymu susijusius veiksmus.

60.1. informuoti visus sertifikatų naudotojus ir kitus su patikimumo užtikrinimo paslaugų teikėjo veikla susijusius asmenis;

60.2. nurodyti, kad nebekontroliuojamu privačiuoju kriptografiniu raktu pasirašyti sertifikatai, per užklausų sistemą išsiųsti pranešimai apie sertifikatų galiojimo statusą ir negaliojančių sertifikatų sąrašai negali būti laikomi patikimais;

60.3. nutraukti nebekontroliuojamu privačiuoju kriptografiniu raktu pasirašytų sertifikatų galiojimą.

62.1. sertifikatų naudotojų informavimo būdai;

62.2. patikimumo užtikrinimo paslaugų teikėjo įsipareigojimų perdavimo apimtis ir sąlygos.

63.1. ne vėliau kaip prieš tris mėnesius iki veiklos nutraukimo dienos apie tai informuoti visus sertifikatų naudotojus ir priežiūros įstaigą;

63.2. nutraukti visų trečiųjų šalių įgaliojimus veikti patikimumo užtikrinimo paslaugų teikėjo vardu teikiant sertifikavimo paslaugas;

63.3. perduoti savo įsipareigojimus patikimai šaliai, esant galimybei, perduoti sertifikavimo paslaugų teikimą kitam patikimumo užtikrinimo paslaugų teikėjui;

63.4. sunaikinti paslaugų teikimui naudotus privačiuosius raktus, įskaitant jų atsargines kopijas.

68.1. JAV Nacionalinio standartų ir technologijų instituto standarto FIPS PUB 140-2 „Saugos reikalavimai kriptografiniams moduliams“ ne žemesnio kaip trečiojo saugumo lygmens (Level 3) reikalavimus arba;

68.2. Lietuvos standarto LST ISO/IEC 15408 „Informacijos technologija. Saugumo metodai. Informacijos technologijų saugumo įvertinimo kriterijai“ nustatytą informacinių technologijų saugumo įvertinimo užtikrinimo lygį EAL 4 atitinkančio apsaugos profilio reikalavimus.

76.1. privatieji kriptografiniai raktai būtų naudojami tik pagal jų paskirtį;

76.2. privatieji kriptografiniai raktai būtų naudojami tik fiziškai saugioje aplinkoje;

76.3. visos privačiųjų kriptografinių raktų kopijos pasibaigus atitinkamų raktų numatytam naudojimo terminui būtų sunaikintos.

80.1. paslaugų teikimui naudojamos sistemos turi būti apsaugotos ugniasienėmis;

80.2. vietinio tinklo įranga turi būti laikoma saugioje aplinkoje;

80.3. sertifikatų sudarymo, jų galiojimo atšaukimo ir laikino sustabdymo sistemose turi būti naudojama nuolatinio stebėjimo ir signalizavimo sistema, skirta nustatyti ir registruoti neteisėtus bandymus prieiti prie sistemos išteklių bei juos užkirsti;

80.4. konfidencialūs duomenys turi būti apsaugoti nuo jų atskleidimo dėl antrinio laikmenų panaudojimo.

81.1. įgyvendinant bet kokį sistemų plėtros projektą, projektavimo ir poreikių nustatymo etape turi būti atliekama saugumo reikalavimų analizė;

81.2. programinės įrangos atnaujinimas, modifikavimas ar skubus taisymas turi būti valdomas, dokumentuojant atliktus pakeitimus;

81.3. patikimumo užtikrinimo paslaugų teikėjo įrangos ir jo valdomos informacijos vientisumas turi būti apsaugotas nuo pažeidimų, kuriuos gali sukelti kompiuteriniai virusai, kenkėjiška programinė įranga ar neleistinos programinės įrangos naudojimas;

81.4. patikimumo užtikrinimo paslaugų teikėjo sistemose naudojami informacijos kaupikliai ir laikmenos turi būti tvarkomi saugiai, užtikrinant jų apsaugą nuo sugadinimo, vagystės, neteisėto panaudojimo ar susidėvėjimo;

81.5. patikimumo užtikrinimo paslaugų teikėjo sistemose naudojami informacijos kaupikliai ir laikmenos turi būti apsaugoti nuo susidėvėjimo visą juose esančių įrašų privalomojo saugojimo laikotarpį;

81.6. visų aukštos atsakomybės pareigas einančių darbuotojų vykdomos procedūros turi būti tiksliai apibrėžtos ir jų turi būti laikomasi;

81.7. saugumo spragoms užtaisyti skirti programinės įrangos atnaujinimai turi būti diegiami laiku, nebent jų diegimas galėtų pakenkti sistemų darbui;

81.8. ateityje reikalingų išteklių poreikis turi būti planuojamas.

82.1. patikimumo užtikrinimo paslaugų teikėjo vidinis kompiuterių tinklas turi būti padalintas į atskiras zonas, atsižvelgiant į jose esančių įrangos komponentų saugos ir atliekamų funkcijų reikalavimus;

82.2. prieiga prie zonų ir tarpusavio ryšiai turi būti ribojami taip, kad zonos būtų pasiekiamos tik su sertifikavimo paslaugų teikimu susijusioms funkcijoms vykdyti;

82.3. sertifikavimo paslaugų teikimui naudojamos sistemos turi būti administruojamos iš atskiro, tam skirto potinklio;

82.4. ryšių tarp atskirų sertifikavimo paslaugų teikimui naudojamų sistemų saugumui užtikrinti turi būti naudojamas šifravimas ir patikimas ryšio mazgų identifikavimas;

82.5. viešieji ir privatūs sertifikavimo paslaugų teikimui naudojamo tinklo adresai turi būti periodiškai skenuojami, siekiant nustatyti galimus pažeidžiamumus. Skenavimą turi atlikti kompetetingas ir nepriklausomas asmuo ar įstaiga;

82.6. sertifikavimo paslaugų teikimui naudojamoms sistemoms turi būti atliktas etiško įsilaužimo testas, kurį turi atlikti kompetetingas ir nepriklausomas asmuo ar įstaiga. Testas turi būti atliekamas pradedant sistemų naudojimą, taip pat atlikus ženklius sistemų pakeitimus.

85.1. sertifikavimo paslaugos turi būti teikiamos vadovaujantis nediskriminavimo principu;

85.2. sertifikavimo paslaugos turi būti teikiamos jų vartotojams, kurie sutinka su sertifikatų sudarymo ir tvarkymo sąlygomis;

85.3. turi būti užtikrintas prievolių dėl atsakomybės už vykdomą sertifikavimo veiklą įvykdymas;

85.4. turi būti užtikrintas finansinis stabilumas ir ištekliai, reikalingi tinkamai įgyvendinti taisyklių reikalavimus;

85.5. turi būti nustatytos su sertifikavimo paslaugų teikimu susijusių ginčų sprendimo procedūros;

85.6. subrangos, samdos ir kitos veiklos funkcijų perdavimo sutartys turi būti tinkamai įformintos ir teisiškai galiojančios.

90.1. esminiai, apie kuriuos turi būti pranešama sertifikatų naudotojams;

90.2. neesminiai, apie kuriuos sertifikatų naudotojams pranešti nėra privaloma.

93.1. taisyklių pakeitimus gali inicijuoti patikimumo užtikrinimo paslaugų teikėjas arba sertifikatų naudotojai;

93.2. už informacijos saugos politiką atsakingi patikimumo užtikrinimo paslaugų teikėjo darbuotojai:

93.3. esminių pakeitimų atveju, parengtas naujos taisyklių redakcijos projektas turi būti teikiamas suinteresuotoms šalims pastaboms ir pasiūlymams, paskelbiant projektą internete ne trumpesniam kaip 30 kalendorinių dienų laikotarpiui. Atsižvelgus į per 30 dienų gautas pastabas arba per šį laikotarpį negavus pastabų, taisyklių nauja redakcija teikiama tvirtinti;

93.4. neesminių pakeitimų atveju, nauja taisyklių redakcija teikiama tvirtinti iš karto ją parengus;

93.5. naują taisyklių redakciją tvirtina patikimumo užtikrinimo paslaugų teikėjo vadovas.