Sähköinen allekirjoitus ja muut eIDAS-palvelut

Sähköiset luottamuspalvelut ovat toimintoja, joita voi käyttää sähköisten asiointipalveluiden luotettavassa toteuttamisessa. Niistä säädetään EU:n eIDAS-asetuksessa. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus valvoo luottamuspalveluita ja myöntää niille hyväksytyn statuksen. Hyväksytyt luottamuspalvelut löytyvät kansallisista luotetuista luetteloista (trusted list), jotka ovat päteviä kaikissa EU:n jäsenvaltioissa.

Luottamuspalvelut - tavoitteena turvallinen sähköinen asiointi

Luottamuspalveluiden tarjoaminen

Aikaisemmin EU-tasolla oli säädetty vain sähköisestä allekirjoituksesta. eIDAS-asetuksella (EU) 910/2014 on laajennettu luotettavuusvaatimuksia useisiin muihin verkkopalveluissa käytettäviin toimintoihin, joita kutsutaan asetuksessa luottamuspalveluiksi (trust services). Suurin osa luottamuspalveluista on käyttäjille näkymättömissä palvelujen rakenteissa. eIDAS-asetusta alettiin soveltaa 1.7.2016 ja se toi valvonnan piiriin sähköisen allekirjoituksen lisäksi sähköiset leimat, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen.

eIDAS-asetus tarjoaa palveluntarjoajille mahdollisuuden osoittaa selkeästi, että sen verkkopalveluita varten tarjoama tuote tai toiminto on luotettava. Luottamuspalveluiden tarjoajat voivat halutessaan hakea palvelulleen viranomaishyväksyntää.

Luottamuspalveluiden käyttö

Asiointipalvelut siirtyvät verkkoon yhä useammin. Sekä julkishallinnon että yksityisten toimijoiden palveluissa on tärkeää tunnistaa asiakas luotettavasti ja toteuttaa palvelut tietoturvallisesti.

Luottamuspalveluiden tai hyväksyttyjen luottamuspalveluiden käyttö on asiointipalveluissa vapaaehtoista, ellei palvelua koskevassa sääntelyssä ole säädetty vaatimuksia luottamuspalveluiden käytöstä. Esimerkiksi maksupalvelusääntelyssä säädetään hyväksytyn leiman tai verkkosivun todentamisen varmenteen käytöstä ja sähköistä reseptiä koskevassa sääntelyssä säädetään hyväksytyn allekirjoitusvarmenteen käytöstä.

Luottamuspalvelut - mitä ne ovat?

eIDAS-asetuksen perusteella valvottuja luottamuspalveluita ovat sähköiset allekirjoitukset ja leimat, niihin liittyvät validointi- ja säilyttämispalvelut, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen.

Hyväksytyt ja ei-hyväksytyt luottamuspalvelut

Luottamuspalvelut voivat olla joko hyväksyttyjä (qualified) tai ei-hyväksyttyjä (non-qualified). Hyväksytyn luottamuspalvelun status edellyttää akkreditoidun vaatimustenmukaisuuden arviointilaitoksen tekemää vaatimustenmukaisuuden arviointia, ilmoitusta Liikenne- ja viestintävirastolle ja viraston hyväksyntää ennen toiminnan aloittamista.

Ei-hyväksyttyjen palveluiden valvonta on jälkikäteistä ja merkittävästi kevyempää kuin hyväksyttyjen luottamuspalvelujen valvonta. Esimerkiksi sähköisen allekirjoituksen luontipalvelu kuuluu ei-hyväksyttyihin luottamuspalveluihin, koska sille ei voi hakea hyväksyntää.

Hyväksyttyjä sähköisiä luottamuspalveluita voivat olla seuraavat palvelut (suluissa on palvelua koskeva eIDAS-asetuksen artikla):

  • sähköisen allekirjoituksen varmenne, validointi tai säilyttäminen (artiklat 28, 33 ja 34)
  • sähköisen leiman varmenne, validointi tai säilyttäminen 
    (artiklat 38 ja 40)
  • sähköinen aikaleima (42 artikla)
  • sähköinen rekisteröity jakelupalvelu (44 artikla)
  • verkkosivujen todentamisen varmenne (45 artikla)

Ei-hyväksyttyjä luottamuspalveluja ovat sellaiset edellä luetellun tyyppiset tai eräät muut eIDAS-asetuksen mukaiset palvelut, joita ei ole ilmoitettu ja merkitty luotettuun luetteloon.

Sähköinen allekirjoitus

Sähköinen allekirjoitus varmentaa sähköisen asiakirjan tietosisällön ja allekirjoittajan henkilöllisyyden.

eIDAS-asetuksessa määritellään kolme eritasoista sähköistä allekirjoitusta

  • sähköinen allekirjoitus
  • kehittynyt sähköinen allekirjoitus
  • hyväksytty sähköinen allekirjoitus

Kehittyneessä sähköisessä allekirjoituksessa allekirjoittaja voidaan yksilöidä ja allekirjoitus liittää muuhun sähköiseen tietoon, kuten esimerkiksi sähköpostiviestiin, siten, että tiedon mahdolliset muutokset voidaan havaita.  Jos sähköistä asiakirjaa muutetaan jälkikäteen, aiemmin tehty allekirjoitus ei täsmää muutetun asiakirjan sisällön kanssa.

Sähköinen leima

Sähköinen leima on muutoin samanlainen kuin sähköinen allekirjoitus, mutta leiman luoja on oikeushenkilö. Myös sähköiselle leimalle on määritelty eIDAS-asetuksessa kolme eri tasoa.

Sähköisellä leimalla voidaan luoda automatisoituja järjestelmäallekirjoituksia, joiden avulla varmennetaan allekirjoitetun asiakirjan, koodin, sovelluksen tai muun binääritiedoston eheys ja alkuperä. Järjestelmäallekirjoituksessa leiman luoja on aina oikeushenkilö.

Sähköisen allekirjoituksen varmenne

Sähköisen allekirjoituksen varmenne tarkoittaa sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot allekirjoituksen tekevään luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen eli pseudonyymin.

Hyväksytyn varmenteen pakolliset tiedot säädetään eIDAS-asetuksen liitteessä I. Varmenteen täytyy sisältää mm.:

  • tieto, että varmenne on hyväksytty
  • tieto varmenteen tarjoajasta, jonka on oltava hyväksytty luottamuspalvelun tarjoaja
  • varmenteen voimassaolon alkamis- ja päättymisaika
  • tieto, mistä voi selvittää varmenteen voimassaolon tilan
  • allekirjoittajan nimi tai salanimi
  • tieto allekirjoittajan julkisesta avaimesta (eIDAS-asetuksen mukaan "sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja")
  • jos allekirjoittajan julkiseen avaimeen liittyvä yksityinen avain sijaitsee hyväksytyssä sähköisten allekirjoitusten luontivälineessä (QSCD), tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa

Suomessa Väestörekisterikeskus tarjoaa hyväksyttyjä allekirjoitusvarmenteita. Väestörekisterikeskuksen myöntämä hyväksytty allekirjoitusvarmenne on mukana esimerkiksi poliisin myöntämällä henkilökortilla ja eri organisaatioiden organisaatiokorteilla. Näissä korteissa käytetty siru on myös eIDAS-asetuksen mukainen hyväksytty allekirjoituksen luontiväline (QSCD). Allekirjoitusvarmenteen lisäksi korteilla on aina myös tunnistusvarmenne vahvaa sähköistä tunnistamista varten.

Sähköisen leiman varmenne

Sähköisen leiman varmenne tarkoittaa sähköistä todistusta, joka liittää sähköisen leiman validointitiedot oikeushenkilöön ja vahvistaa kyseisen henkilön nimen.

Sähköisten leimojen hyväksyttyjen varmenteiden täytyy sisältää vastaavat tiedot kuin sähköisen allekirjoitusvarmenteen. Tiedot säädetään eIDAS-asetuksen liitteessä III

Sähköisen allekirjoituksen tai leiman validointi

Validointi tarkoittaa sähköinen allekirjoituksen tai leiman pätevyyden tarkistamista ja vahvistamista.  Allekirjoitukseen tai leimaan luottava osapuoli voi tehdä validoinnin itse tai käyttää validointipalvelua.

Validointi on siis sähköisiä allekirjoituksia ja leimoja täydentävä palvelu, jolla varmistetaan sähköisen allekirjoituksen tai leiman aitous. Siinä on varmistettava kaikki sähköisen allekirjoituksen tai leiman osatekijät.

Validoinnissa tarkistettavia asioita ovat mm. allekirjoitus- tai leimavarmenteen voimassaolo, luottavalle osapuolelle annettujen validointitietojen vastaavuus allekirjoituksen validointitietojen kanssa (ts. oikea julkinen avain) ja että allekirjoitettujen tietojen eheyttä ei ole loukattu (eli tietoja ei ole muutettu).

Hyväksyttyjen sähköisten allekirjoitusten ja leimojen validoinnista säädetään tarkemmin eIDAS-asetuksen 32 artiklassa ja hyväksytyn validointipalvelun tarjoajan vaatimuksista 24 artiklassa ja 33 artiklassa.   

Sähköisen allekirjoituksen tai leiman säilyttäminen

Säilyttämispalvelulla taataan sähköisen allekirjoituksen tai leiman luotettavuus pitkiksi ajoiksi. Palveluntarjoaja varmentaa alkuperäisen allekirjoituksen tai leiman uudestaan edellisen varmennuksen vanhentuessa. 

Sähköinen aikaleima

Sähköinen aikaleima on sähköiseen allekirjoitukseen liitettävä aikaleima, joka todistaa allekirjoituksen tekohetken tai ainakin kellonajan, jota ennen allekirjoitus on tehty, jos aikaleimaus tehdään jälkikäteen. 

Sähköinen rekisteröity jakelupalvelu

Sähköisellä rekisteröidyllä jakelupalvelulla siirretään tietoa tietoturvallisesti kolmansien osapuolten välillä. Sekä lähettäjä että vastaanottaja tunnistetaan luotettavasti ja huolehditaan tiedon muuttumattomuudesta.

Verkkosivun todentamisen varmenne

Verkkosivustojen todentamispalvelut tarjoavat välineen, jonka avulla verkkosivustolla vieraileva henkilö voi varmistua siitä, että sivusto on aito ja laillinen. Palvelut lisäävät luottamusta verkossa asiointiin, koska käyttäjät voivat luottaa verkkosivustoon, joka on todennettu.

Luotettu luettelo hyväksytyistä luottamuspalvelun tarjoajista (Trusted list)

Liikenne- ja viestintävirasto ylläpitää julkista rekisteriä hyväksyttyjen sähköisten luottamuspalvelujen tarjoajista (nk. Trusted list).

PALVELUN TARJOAJA

TARJOTTU PALVELU

SULKUPALVELU

VARMENNEASIAKIRJAT

Väestörekisterikeskus
Lintulahdenkuja 4
00530 HELSINKI
Puhelin:0295 535 001

www.vaestorekisterikeskus.fi (Ulkoinen linkki)

Organisaatiovarmenteet
Kansalaisvarmenteet
Terveydenhuollon ammattivarmenteet

Puh: 0800 162 622

Varmennepolitiikka-asiakirjat (Ulkoinen linkki)


TSL implementation of the Trusted List (Ulkoinen linkki) [xml, 49 KB] 
A Human readable form of the TSL implementations of the trusted list (Ulkoinen linkki)[pdf, 310 KB]

SHA-256 hash of the Trusted List XML (Ulkoinen linkki)  [sha2, 64 B]

The present list is the trusted list including information related to the qualified trust service providers which are supervised by Finnish Transport and Communications Agency (Traficom), together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The cross-border use of electronic signatures has been facilitated through Commission Decision 2009/767/EC of 16 October 2009 which has set the obligation for Member States to establish, maintain and publish trusted lists with information related to certification service providers issuing qualified certificates to the public in accordance with Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures and which are supervised/accredited by the Member States. The present trusted list is the continuation of the trusted list established with Decision 2009/767/EC.

    Luottamuspalveluiden valvonta

    Liikenne- ja viestintäviraston kyberturvallisuuskeskus valvoo eIDAS-asetuksen ja  tunnistus- ja luottamuspalvelulain noudattamista ja antaa lakia tarkentavia määräyksiä. Valvomme, että luottamuspalveluiden tarjonta on luotettavaa ja tietoturvallisia.

    • Virasto tarkistaa, että ilmoitetut palvelut täyttävät niille säädetyt vaatimukset ja merkitsee hyväksytyt luottamuspalvelut luotettuun luetteloon.
    • Virasto toimii valitusviranomaisena asioissa, jotka koskevat luottamuspalveluiden toimintaa
    • Ei-hyväksyttyjä palveluntarjoajia virasto valvoo vain palveluntarjoajien tekemien häiriöilmoitusten tai palveluista tehtyjen valitusten perusteella.
    • Virasto ei ole toimivaltainen ratkaisemaan sopimusriitoja.

    Näiden palvelujen tarjoajia koskee

    • ilmoitusvelvollisuus. Suomeen sijoittautuneen hyväksytyn luottamuspalvelun tarjoajan on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus.
    • auditointivelvollisuus. Hyväksytyn luottamuspalvelun tarjoajan on liitettävä aloitusilmoitukseensa akkreditoidun vaatimustenmukaisuuden arviointilaitoksen laatima arviointikertomus vaatimustenmukaisuuden arvioinnista. Ajantasainen kertomus on toimitettava vähintään kahden vuoden välein. 
    • tarjontakielto. Jos hyväksytty luottamuspalvelu ei täytä säädöksissä asetettuja vaatimuksia, virasto peruu hyväksytyn luottamuspalvelun aseman. 
    • muutosilmoitusvelvollisuus. Hyväksytyn luottamuspalveluntarjoajan on ilmoitettava kaikissa aloitusilmoituksen tiedoissa tapahtuneista muutoksista. Myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle on ilmoitettava.
    • häiriöilmoitusvelvollisuus. Palveluntarjoajan on ilmoitettava palvelun tietoturvaan ja toimivuuteen kohdistuvista merkittävistä uhkista ja häiriöistä sekä näiden korjaamiseksi tehdyistä toimenpiteistä. Häiriöilmoitusvelvollisuus koskee myös ei-hyväksyttyjä luottamuspalveluita.
    • valvontamaksut. Aloitusilmoituksesta on maksettava rekisteröintimaksu. Luotettuun luetteloon merkityn toimijan on maksettava vuotuinen valvontamaksu. Maksuista säädetään tunnistus- ja luottamuspalvelulain 47 §:ssä.

    Ilmoituslomakkeet ja maksut

    Ilmoitusten sisällöstä on lisätietoja ohjeessa 214/2016 O sähköisten tunnistus- ja luottamuspalveluiden ilmoituksista.

    Maksuperusteet

    Liikenne- ja viestintävirastolle maksettavista rekisteröinti- ja valvontamaksuista säädetään tunnistus- ja luottamuspalvelulain 47 §:ssä.

    Muut valvontaviranomaiset

    Sähköisten luottamuspalveluiden yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle. Julkisen hallinnon sähköisen asioinnin ohjaus kuuluu valtiovarainministeriölle.

    Eri viranomaiset ohjaavat ja valvovat luottamuspalveluiden tietoturvaa ja luotettavuutta, kuluttajansuojaa, henkilötietojen suojaa ja kilpailun toimivuutta. Tietosuojavaltuutettu valvoo tunnistus- ja luottamuspalvelulain ja eIDAS-asetuksen henkilötietoja koskevien säännösten noudattamista. Kilpailu- ja kuluttajavirasto (KKV) turvaa markkinoiden ja kilpailun toimivuutta sekä kuluttajansuojaa. Liikenne- ja viestintävirasto ja tietosuojavaltuutettu toimivat valvontatehtäviä hoitaessaan tarvittaessa yhteistyössä myös Finanssivalvonnan sekä Kilpailu- ja kuluttajaviraston kanssa.

    Vaatimustenmukaisuuden arviointilaitoksen akkreditointi hyväksyttyjä luottamuspalveluja varten on FINASin tehtävä. Lisäksi Liikenne- ja viestintäviraston on hyväksyttävä arviointilaitos.

    eIDAS-työryhmä

    Kaikille avoimessa Liikenne- ja viestintäviraston eIDAS-työryhmässä alan toimijoilla on mahdollisuus seurata ja vaihtaa tietoa sähköisten luottamuspalveluiden ja sähköisen tunnistamisen sääntelystä ja kehittymisestä.

    Tiedonvaihto tunnistus- ja luottamuspalveluiden kotimaisista ja EU:n laajuisista kysymyksistä tapahtuu pääasiassa sähköisesti Liikenne- ja viestintäviraston sähköpostilistan välityksellä. Tarvittaessa työryhmä voi asettaa alatyöryhmiä käsittelemään tietyn osa-alueen asioita. Ryhmälle pyritään järjestämään tilaisuuksia vuosittain. Kutsu toimitetaan ryhmän sähköpostijakelun kautta.

    Luottamuspalvelujen vaatimustenmukaisuuden arviointilaitokset

    Hyväksyttyjen luottamuspalvelun tarjoajien on hankittava toiminnastaan ja palvelustaan vaatimustenmukaisuuden arviointi ennen toiminnan aloittamista ja sen jälkeen vähintään kahden vuoden välein. Vaatimustenmukaisuuden arvioinnin voi tehdä vain EU-asetuksen (EU) 765/2008 mukaisesti akkreditoitu vaatimustenmukaisuuden arviointilaitos, joka on akkreditoitu nimenomaan eIDAS-asetuksen mukaisten palvelujen arviointiin.

    Luottamuspalvelun tarjoaja voi hankkia arvioinnin missä tahansa EU-maassa akkreditoidulta arviointilaitokselta.

    Lisätietoja

    Suomessa vaatimustenmukaisuuden arviointilaitoksen akkreditointi on EU-asetuksen 765/2008 mukaisen kansallisen akkreditointiyksikön (NAB, national accreditation body) FINASin tehtävä. Lisäksi laitoksen tulee hakea hyväksyntä Viestintävirastolta. Suomessa ei toistaiseksi ole eIDAS-arviointeihin akkreditoituja arviointilaitoksia.

    Akkreditoinnin kriteerit

    Eurooppalaisten akkreditointiorganisaatioiden yhteistyöelin EA (European Co-operation for Accreditation) on laatinut dokumentin EA Certification Committee Reference Paper; ETSI / EA Recommendations regarding; Preparation for Audit under EU Regulation (EU) No 910/2014 Article 20.1. Siinä määritellään, miten luottamuspalveluiden vaatimustenmukaisuuden arviointilaitosten (Conformity Assessment Bodies, CAB) akkreditoinnissa siirrytään aiemmasta käytännöstä eIDAS-asetuksen mukaiseen käytäntöön ja mitä vaatimuksia akkreditoinnissa edellytetään arviointilaitoksen täyttävän ja minkä asioiden osalta sillä pitää olla pätevyys. Pohjana ovat ETSIn laatimat standardit.

    Komissio ei ole antanut täytäntöönpanosäädöstä, jolla tarkennettaisiin eIDAS-asetuksen 20.4 artiklan nojalla vaatimuksenmukaisuuden arviointilaitosta koskevat standardit. Siten pohjana vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa ja hyväksynnässä toimivat EA:n dokumentissa luetellut standardit.

    Vaatimustenmukaisuuden arviointilaitoksen vaatimukset on määritelty standardissa

    • ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers. 
    • Standardi pohjautuu standardiin ISO/IEC 17065, joka määrittelee yleiset vaatimukset arviointilaitoksille.
    • Standardi EN 319 403 täydentää ISO/IEC-standardin vaatimuksia erityisesti luottamuspalveluiden tarjoajia ja niiden tarjoamia palveluita koskevilla vaatimuksilla.

    Tunnistus- ja luottamuspalvelulain mukaisesti arviointilaitoksella tulee olla pätevyys arvioida palveluntarjoajaa ja sen tarjoamia palveluita. Liikenne- ja viestintävirasto on tarkentanut pätevyysvaatimuksia määräyksessä 72 viittaamalla ETSIn standardeihin.

    Kun FINAS tekee vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) tarkoittaman päätöksen arviointilaitoksen akkreditoinnin kriteereistä, se voi huomioida muitakin riippumattomuuden ja pätevyyden arviointiin liittyviä vaatimuksia kuin määräyksessä 72 viitatut standardit.

    Arviointilaitoksen hyväksyntä

    Liikenne- ja viestintäviraston hyväksynnän edellytyksenä on FINASin tekemä akkreditointi ja selvitys tunnistus- ja luottamuspalvelulain 33.1 §:n 4 kohdan edellyttämistä ohjeista ja niiden seurannasta.

    Säädökset ja muut asiakirjat luottamuspalveluista

    Tähän on koottu rajat luottamuspalveluihin liittyvät säädökset, määräykset ja muut julkaistut asiakirjat kuten valvontapäätökset, suositukset, tulkintamuistiot, ohjeet ja julkaisut.

    Säädökset - luottamuspalvelut

    • EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 910/2014 (Ulkoinen linkki), annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluistasisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (nk. Eidas-asetus)
      • EU:n komission täytäntöönpanopäätös (EU) 2015/1505 (Ulkoinen linkki) luotettujen luetteloidenteknisten eritelmien ja muotoseikkojen vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 22 artiklan 5 kohdan mukaisesti
      • EU:n komission täytäntöönpanopäätös (EU) 2015/1506 (Ulkoinen linkki) eritelmien vahvistamisesta sellaisia kehittyneiden sähköisten allekirjoitusten ja kehittyneiden leimojen muotoja varten, jotka julkisen sektorin elinten on tunnustettava sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 27 artiklan 5 kohdan ja 37 artiklan 5 kohdan mukaisesti
      • EU:n komission täytäntöönpanopäätös (EU) 2016/650  (Ulkoinen linkki) hyväksyttyjen allekirjoituksen ja leimanluontivälineiden tietoturva-arviointia koskevien standardien vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 30 artiklan 3 kohdan ja 39 artiklan 2 kohdan mukaisesti

    Ohjeet ja suositukset

    eIDAS ja standardit

    Ohjeluonnokset (2017)

    Tekniset ohjeet luottamuspalvelujen tarjoajille (2017)

    Ohjeet luottamuspalvelujen tarjoajille (2013)