Кабінет Міністрів України
Постанова від 11 червня 2025 р. № 689 Київ
Про затвердження вимог до випуску гаманців з цифровою ідентифікацією
Відповідно до статті 151 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” Кабінет Міністрів України постановляє:
Затвердити вимоги до випуску гаманців з цифровою ідентифікацією, що додаються.
Прем’єр-міністр України
Д. ШМИГАЛЬ
| ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 11 червня 2025 р. № 689 |
ВИМОГИ
до випуску гаманців з цифровою ідентифікацією
1. Ці вимоги встановлюють функціональні, методологічні, технічні та технологічні умови випуску гаманців з цифровою ідентифікацією згідно із схемою електронної ідентифікації для надавачів гаманців з цифровою ідентифікацією.
2. У цих вимогах терміни вживаються в такому значенні:
валідація – процес перевірки та підтвердження дійсності даних в електронній формі;
відкритий вихідний код – вихідний код, виконуваний файл програмного забезпечення, що публікується на веб-ресурсах з відкритим доступом та може використовуватися на умовах публічної ліцензії;
виконуваний файл програмного забезпечення – вихідний код програмного забезпечення, скомпільований і придатний (призначений) для виконання програми комп’ютером;
вихідний код – набір інструкцій у формі слів, цифр, кодів, схем, символів чи в будь-якій іншій формі, створених розробником комп’ютерної програми мовою програмування для первинної версії комп’ютерної програми чи під час її подальшої зміни, що передбачає можливість їх компіляції;
компіляція – процес автоматизованого перетворення вихідного коду, створеного розробником мовою програмування, у код, придатний (призначений) до виконання комп’ютером;
користувач гаманця з цифровою ідентифікацією – користувач послуг електронної ідентифікації, що використовує кваліфікований електронний підпис чи печатку або гаманець з цифровою ідентифікацією;
надавач гаманця з цифровою ідентифікацією – надавач послуг електронної ідентифікації, який випускає гаманці з цифровою ідентифікацією та надає їх для користування.
Інші терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про захист персональних даних”, “Про авторське право і суміжні права” та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.
3. Гаманці з цифровою ідентифікацією повинні випускатися згідно із схемою електронної ідентифікації з високим рівнем довіри.
Випуск та використання гаманців з цифровою ідентифікацією для фізичних осіб здійснюються безоплатно, для юридичних осіб – на договірних засадах.
Випуск та використання гаманців з цифровою ідентифікацією повинні здійснюватися на добровільними засадах.
Гаманці з цифровою ідентифікацією та їх інтерфейси повинні відповідати ДСТУ EN 301 549:2022 (EN 301 549 V3.2.1 (2021-03), IDT) “Інформаційні технології. Вимоги щодо доступності продуктів та послуг ІКТ”.
4. Гаманці з цифровою ідентифікацією повинні надавати можливість користувачу гаманця з цифровою ідентифікацією у зручний та відкритий спосіб:
1) безпечно запитувати, отримувати, вибирати, об’єднувати, зберігати, видаляти, обмінюватися та надавати під одноосібним контролем користувача гаманця з цифровою ідентифікацією його ідентифікаційні дані;
2) використовувати псевдонім та зберігати його у захищеному вигляді локально в межах гаманця з цифровою ідентифікацією;
3) безпечно автентифікувати інших користувачів гаманців з цифровою ідентифікацією за допомогою їх гаманців з цифровою ідентифікацією, отримувати та обмінюватися ідентифікаційними даними особи у безпечний спосіб між такими гаманцями з цифровою ідентифікацією;
4) отримувати доступ до відомостей про проведення всіх операцій користувача гаманця з цифровою ідентифікацією за допомогою веб-інтерфейсу інформаційних панелей, функціональні можливості якого повинні забезпечувати:
перегляд актуального переліку третіх сторін, з якими користувач гаманця з цифровою ідентифікацією взаємодіяв, а також даних, якими обмінювалися;
безперешкодне знищення третіми особами персональних даних користувача гаманця з цифровою ідентифікацією відповідно до Закону України “Про захист персональних даних”;
безперешкодне звернення користувача гаманця з цифровою ідентифікацією до органу з питань захисту персональних даних відповідно до Закону України “Про захист персональних даних”;
створення кваліфікованого електронного підпису чи печатки;
завантаження (у разі наявності технічної можливості) даних користувачів гаманців з цифровою ідентифікацією та налаштувань;
перенесення даних користувача гаманця з цифровою ідентифікацією.
5. Гаманці з цифровою ідентифікацією повинні:
1) підтримувати єдині протоколи та інтерфейси для:
формування ідентифікаційних даних особи або сертифікатів відкритих ключів, які видаються кваліфікованими/некваліфікованими надавачами електронних довірчих послуг, в гаманці з цифровою ідентифікацією;
третіх осіб з метою запиту та перевірки ідентифікаційних даних особи;
передачі та пред’явлення третім особам ідентифікаційних даних особи або вибірково розкритих даних за умови наявності підключення до Інтернету та у випадках відсутності такого підключення;
забезпечення взаємодії користувача гаманця з цифровою ідентифікацією з гаманцем з цифровою ідентифікацією;
безпечного приєднання користувача гаманця з цифровою ідентифікацією з використанням засобів електронної ідентифікації;
взаємодії між гаманцями з цифровою ідентифікацією двох користувачів гаманців з цифровою ідентифікацією з метою безпечного отримання, перевірки та обміну ідентифікаційними даними особи;
автентифікації та ідентифікації третіх осіб;
перевірки автентичності та чинності гаманців з цифровою ідентифікацією третіми особами;
подання запиту про знищення персональних даних користувачів гаманців з цифровою ідентифікацією третіми особами;
подання звернення до органу з питань захисту персональних даних відповідно до Закону України “Про захист персональних даних”;
створення кваліфікованих електронних підписів чи печаток за допомогою засобів відповідного програмного або апаратного забезпечення;
2) забезпечувати можливість автентифікації та ідентифікації третіх осіб;
3) відповідати вимогам, визначеним до засобів електронної ідентифікації з високим рівнем довіри, зокрема стосовно вимог щодо підтвердження та перевірки особи, а також управління і автентифікації засобів електронної ідентифікації;
4) забезпечувати, щоб ідентифікаційні дані особи, доступні в контексті схеми електронної ідентифікації, згідно з якою випускається гаманець з цифровою ідентифікацією, однозначно встановлювали фізичну особу або юридичну особу, їх представників або уповноваженого представника юридичної особи та були пов’язані з таким гаманцем з цифровою ідентифікацією;
5) надавати можливість створювати кваліфікований електронний підпис за замовчуванням та безоплатно, якщо користувач гаманця з цифровою ідентифікацією є фізичною особою, яка використовує гаманець з цифровою ідентифікацією для створення кваліфікованого електронного підпису під час проваждення діяльності, не пов’язаної з господарською.
6. Компоненти комп’ютерної програми, яка є складовою гаманців з цифровою ідентифікацією, мають бути програмним забезпеченням з відкритим вихідним кодом.
Надавачі гаманців з цифровою ідентифікацією можуть визначати компоненти комп’ютерної програми, які не підлягають публікації з метою захисту національної безпеки, прав та свобод громадян.
7. Надавачі гаманців з цифровою ідентифікацією повинні забезпечити, щоб користувачі гаманців з цифровою ідентифікацією могли безперешкодно звернутися за технічною підтримкою та повідомити про технічні проблеми або будь-які інші інциденти, які мають негативний вплив на використання гаманців з цифровою ідентифікацією.
Всі етапи використання гаманців з цифровою ідентифікацією повинні передбачати гарантії безпеки.
Користувачі гаманців з цифровою ідентифікацією повинні мати повний доступ до всіх процесів випуску та використання гаманця з цифровою ідентифікацією та обробки персональних даних в ньому.
Надавач гаманця з цифровою ідентифікацією не повинен збирати інформацію про використання гаманця з цифровою ідентифікацією, що не є необхідною для надання послуг гаманця з цифровою ідентифікацією, крім випадків подання користувачем гаманця з цифровою ідентифікацією відповідного запиту.
Надавач гаманця з цифровою ідентифікацією не повинен об’єднувати ідентифікаційні дані особи чи будь-які інші персональні дані, які зберігаються або стосуються використання гаманця з цифровою ідентифікацією, з персональними даними, які використовуються ним під час надання будь-яких інших послуг або послуг, що надаються третіми особами, які не є необхідними для випуску гаманця з цифровою ідентифікацією, крім випадків подання користувачем гаманця з цифровою ідентифікацією відповідного запиту.
Персональні дані, які стосуються випуску гаманця з цифровою ідентифікацією, повинні бути логічно відокремленими від будь-яких інших даних, які обробляються надавачем гаманця з цифровою ідентифікацією.
8. Центральний засвідчувальний орган розміщує на власному офіційному веб-сайті механізми перевірки для забезпечення можливості перевірки автентичності та чинності гаманців з цифровою ідентифікацією.
9. Надавач гаманця з цифровою ідентифікацією повинен невідкладно інформувати користувачів гаманців з цифровою ідентифікацією про порушення безпеки, яке могло повністю або частково скомпрометувати їх гаманець з цифровою ідентифікацією або його зміст, зокрема, якщо їх гаманець з цифровою ідентифікацією був відкликаний.
Центральний засвідчувальний орган повинен забезпечити технічну можливість відкликання гаманця з цифровою ідентифікацією за таких умов:
за запитом користувача гаманця з цифровою ідентифікацією;
у разі порушення безпеки гаманця з цифровою ідентифікацією;
у зв’язку із смертю фізичної особи – користувача гаманця з цифровою ідентифікацією або внесенням до Єдиного державного реєстру юридичних осіб, фізичних осіб – підприємців та громадських формувань запису про припинення юридичної особи – користувача гаманця з цифровою ідентифікацією.
