Με την Απόφαση της ΕΕΤΤ  295/65 «Κανονισμός για την Εθελοντική Διαπίστευση των παρόχων υπηρεσιών πιστοποίησης» (ΦΕΚ 1730/Β/24-11-03) προσδιορίζονται τα κριτήρια και η διαδικασία εθελοντικής διαπίστευσης.

Παρακάτω συνοπτικά παρέχονται  πληροφορίες σχετικά με το εθνικό σχήμα Εθελοντικής Διαπίστευσης των παρόχων υπηρεσιών πιστοποίησης ηλ. υπογραφής.

Κριτήρια Εθελοντικής διαπίστευσης

Τα κριτήρια για την Εθελοντική Διαπίστευσης του παρόχου είναι τα ακόλουθα :

• Ο ΠΥΠ αποδεικνύει  τη συμμόρφωσή του με τις απαιτήσεις του ΠΔ 150/2001 και της Απόφασης της EETT 248/71/2002 και με κάθε άλλη ρύθμιση που αφορά στην έκδοση Αναγνωρισμένων Πιστοποιητικών.
• Οι δικαιούχοι, στους οποίους έχει χορηγηθεί πιστοποιητικό συμμόρφωσης Ασφαλών Κρυπτογραφικών Μονάδων ή Ασφαλών Διατάξεων Δημιουργίας Υπογραφής, σύμφωνα με τις διατάξεις της Απόφασης ΑΠ 295/64/2003 της ΕΕΤΤ «Κανονισμός για τον Έλεγχο Συμμόρφωσης Ασφαλών Διατάξεων Δημιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων», οφείλουν να μεριμνούν για την εκπλήρωση των απαιτήσεων περιβάλλοντος χώρου ώστε να διασφαλίζονται οι ακόλουθες λειτουργίες: α) παραγωγή των Δεδομένων Δημιουργίας Υπογραφής που χρησιμοποιούν για την υπογραφή των Αναγνωρισμένων Πιστοποιητικών των δικαιούχων και για την υπογραφή της πληροφορίας σχετικά με την κατάσταση των Πιστοποιητικών, β) παραγωγή των Δεδομένων Δημιουργίας Υπογραφής των δικαιούχων Αναγνωρισμένων Πιστοποιητικών, γ) υπογραφή των Αναγνωρισμένων Πιστοποιητικών των δικαιούχων, δ) υπογραφή της πληροφορίας σχετικά με την κατάσταση των Πιστοποιητικών.
• Η ασφάλεια των παρεχόμενων υπηρεσιών του ΠΥΠ  πρέπει να έχει διαπιστωθεί από Φορέα για Εθελοντική Διαπίστευση σύμφωνα με τη διαδικασία που ορίζεται στο άρθρο 5 του Κανονισμού για την Εθελοντική Διαπίστευση  (ΑΠ. ΕΕΤΤ 295/65).
• Ο ΠΥΠ που δηλώνει προς τους δικαιούχους Αναγνωρισμένων Πιστοποιητικών, στην EETT ή σε τρίτους ότι τα Δεδομένα Δημιουργίας Υπογραφής των δικαιούχων Αναγνωρισμένων Πιστοποιητικών παράγονται ή αποθηκεύονται σε ή εφαρμόζονται με Ασφαλή Διάταξη Δημιουργίας Υπογραφής, οφείλει να είναι σε θέση να τεκμηριώνει, πώς διασφαλίζει το γεγονός αυτό.

Η διαδικασία για την εθελοντική διαπίστευση ενός παρόχου ξεκινά κατόπιν αιτήσεως του ενδιαφερόμενου ΠΥΠ σε Φορέα για Εθελοντική Διαπίστευση.

Ο Φορέας για Εθελοντική Διαπίστευση ελέγχει  την ασφάλεια των παρεχόμενων υπηρεσιών του ΠΥΠ  όσον αφορά την καταλληλότητα των μέτρων ασφάλειας και της υλοποίησης αυτών στην πράξη.

Ο ΠΥΠ  υποβάλει  στον Φορέα για Εθελοντική Διαπίστευση τα ακόλουθα έγγραφα:

α) Πιστοποιητικά συμμόρφωσης που χορηγήθηκαν από Φορέα για Προϊόντα, τα οποία πρέπει να αντιστοιχούν στα προϊόντα που χρησιμοποιεί ο ΠΥΠ Ο Φορέας για Εθελοντική Διαπίστευση ελέγχει ιδίως την ισχύ των ως άνω Πιστοποιητικών και εάν οι απαιτήσεις περιβάλλοντος χώρου που αναφέρονται σε αυτά υλοποιούνται αποτελεσματικά από τον ΠΥΠ.

β) Έκθεση μέτρων ασφαλείας  που περιλαμβάνει τουλάχιστον :

• περιγραφή των εγκαταστάσεων και όλων των αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας και της καταλληλότητάς τους,
• τον κατάλογο των προϊόντων που χρησιμοποιούνται για τη δημιουργία Προηγμένων Ηλεκτρονικών Υπογραφών,
• τα προβλεπόμενα μέτρα ασφάλειας προκειμένου να διατηρηθούν σε αδιάλειπτη λειτουργία οι παρεχόμενες υπηρεσίες, ιδίως σε καταστάσεις έκτακτης ανάγκης,
• τα μέτρα προστασίας αρχείων και δεδομένων,
• περιγραφή των διαδικασιών εξασφάλισης της αξιοπιστίας του απασχολούμενου προσωπικού,
• τα κείμενα τα οποία περιγράφουν την Πολιτική Πιστοποίησης και τη Δήλωση Πρακτικής του ΠΥΠ.

Ο Φορέας για Εθελοντική Διαπίστευση ελέγχει, διεξάγοντας προς τούτο αυτοψία, την υλοποίηση στην πράξη των περιγραφόμενων στην Έκθεση μέτρων ασφάλειας.

Στην περίπτωση διαπίστωσης συμμόρφωσης του ΠΥΠ, ο Φορέας για Εθελοντική Διαπίστευση χορηγεί Πιστοποιητικό Συμμόρφωσης.

Η αξιολόγηση του Εθελοντικά Διαπιστευμένου ΠΥΠ για τη διαπίστωση της συμμόρφωσής του επαναλαμβάνεται κάθε τρία (3) έτη.

Η Διαδικασία Εθελοντικής Διαπίστευσης των ΠΥΠ περιγράφεται στο άρθρο 6 του Κανονισμού για την Εθελοντική Διαπίστευση  των Παρόχων Υπηρεσιών Πιστοποίησης (ΑΠ. ΕΕΤΤ 295/65).

Ο αιτών την Εθελοντική του Διαπίστευση θα πρέπει να καταθέσει έγγραφη  αίτηση στην ΕΕΤΤ προσκομίζοντας το σύνολο των εγγράφων που αναφέρονται στο άρθρο 6 παρ. 2 της Απόφασης 295/65. Στα εν λόγω έγγραφα περιλαμβάνεται, μεταξύ άλλων, και  το Πιστοποιητικού Συμμόρφωσης που εξέδωσε ο Φορέας για Εθελοντική Διαπίστευση.

Η ΕΕΤΤ,  λαμβάνοντας υπόψη τα ανωτέρω, εκδίδει αιτιολογημένη απόφασή της για την Εθελοντική Διαπίστευση του αιτούντα.

Η EETT εποπτεύει τους διαπιστευμένους Παρόχους Υπηρεσιών Πιστοποίησης.
Προς το σκοπό αυτό, η EETT ή τα οριζόμενα από την EETT πρόσωπα έχουν το δικαίωμα αυτεπαγγέλτως ή κατόπιν καταγγελίας να ζητούν στοιχεία και να προβαίνουν σε επιθεωρήσεις στους χώρους εγκατάστασης και λειτουργίας των διαπιστευμένων Παρόχων Υπηρεσιών Πιστοποίησης.

Προς το παρόν δεν έχουν οριστεί Φορείς για τη διαπίστωση συμμόρφωσης των Παρόχων Υπηρεσιών Πιστοποίησης προς τα κριτήρια Εθελοντικής Διαπίστευσης.