ENISA: Πρακτικός οδηγός για έλεγχο των παρόχων υπηρεσιών εμπιστοσύνης
Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) δημοσίευσε μια έκθεση, η οποία παρέχει κατευθυντήριες γραμμές για το πλαίσιο ελέγχου των παρόχων υπηρεσιών εμπιστοσύνης. Αυτές οι κατευθυντήριες γραμμές μπορούν να χρησιμοποιηθούν από παρόχους υπηρεσιών εμπιστοσύνης (που προετοιμάζονται για ελέγχους) και οργανισμούς αξιολόγησης της συμμόρφωσης (ελεγκτές) που πρέπει να προχωρούν σε τακτικό έλεγχο – όπως προβλέπεται από τον κανονισμό eIDAS –, και προσφέρουν ένα σύνολο ορθών πρακτικών που μπορούν να χρησιμοποιηθούν σε οργανωτικό επίπεδο.
Αυτή η έκθεση δίνει μια γενική εικόνα μιας τυπικής μεθοδολογίας ελέγχου σε τρία στάδια, παραθέτοντας όλες τις σχετικές απαιτήσεις για τη διαδικασία αξιολόγησης εκτός των εγκαταστάσεων του παρόχου (επίπεδο τεκμηρίωσης) και εντός αυτών (επίπεδο εφαρμογής), η οποία ολοκληρώνεται με έκθεση αξιολόγησης της συμμόρφωσης.
Οι κύριοι τομείς που εξετάζονται είναι:
• Υποχρεώσεις, εγγυήσεις και ευθύνη των παρόχων υπηρεσιών εμπιστοσύνης
• Τα πρότυπα που ισχύουν για τους παρόχους υπηρεσιών εμπιστοσύνης και τους οργανισμούς αξιολόγησης της συμμόρφωσης
• Μεθοδολογία ελέγχου των παρόχων υπηρεσιών εμπιστοσύνης (εκτός και εντός των εγκαταστάσεων του παρόχου)
• Τεκμηρίωση των παρόχων υπηρεσιών εμπιστοσύνης (σχέδια, πολιτικές και διαδικασίες)
• Εφαρμογή των υπηρεσιών των παρόχων υπηρεσιών εμπιστοσύνης
Ο εκτελεστικός διευθυντής Udo Helmbrecht σχολίασε: «Είναι σημαντικό να διασφαλίσουμε τις υπηρεσίες με τον κατάλληλο τρόπο. Τα συστήματα αξιολόγησης της συμμόρφωσης εξασφαλίζουν ότι το επίπεδο των υπηρεσιών που αντιστοιχούν τόσο στις υποδομές (δικτυακές και υλικές) όσο και στο ανθρώπινο δυναμικό, πληρούν τις απαιτήσεις ασφαλείας, ελαχιστοποιώντας την έκθεση στους κινδύνους και τα περιστατικά που σχετίζονται με την ασφάλεια. Οι συστάσεις του ENISA παρέχουν ένα ολοκληρωμένο έγγραφο αναφοράς για την εφαρμογή των υπηρεσιών εμπιστοσύνης».
Οι υπηρεσίες εμπιστοσύνης πρέπει να τηρούν ορισμένα κριτήρια, καθώς και συγκεκριμένα νομικές απαιτήσεις, πρότυπα (ETSI/CEN/ISO), όρους και προϋποθέσεις και την κατάσταση της τεχνολογίας. Από τους παρόχους υπηρεσιών εμπιστοσύνης απαιτείται να συμμορφώνονται με αυτές τις υποχρεώσεις στο πλαίσιο του κανονισμού eIDAS (ηλεκτρονική ταυτοποίηση, επαλήθευση της ταυτότητας και υπογραφή) που εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης σχετικά με τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά.