Nýr staðall um innihald almennra rafrænna skilríkja á Íslandi byggir á eldri tækniforskrift TS 146 frá 2013, sem aftur byggir á tæknilýsingu frá 2007. Staðallinn tók gildi 30. desember 2019.
Einfaldari notkun og samræmi
Tilgangurinn með ÍST 146 er að samræma notkun rafrænna skilríkja á Íslandi og einfalda þjónustuaðilum að lesa rafrænt innihald almennra rafrænna skilríkja, þannig að auðvelt sé að móttaka og lesa slík skilríki frá mismunandi útgáfuaðilum. Nauðsynlegum breytingum vegna nýs reglugerða- og staðlaumhverfis hefur verið haldið í lágmarki, til að auðvelda þjónustuaðilum að taka upp hinn nýja staðal.
Helstu breytingarnar frá fyrri útgáfu tengjast tilkomu reglugerðar Evrópuþingsins og ráðsins (ESB) nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum, sem tók gildi hér á landi um áramótin, samkvæmt lögum nr. 55 frá 21. júní 2019. Með tilkomu Evrópureglugerðarinnar hafa ýmsir tæknistaðlar á sviðinu breyst og er tekið mið af þeim breytingum í frumvarpinu.
Staðlinum er ætlað að samræma innihald opinna almennra rafrænna skilríkja á Íslandi, sem notuð eru við rafræna auðkenningu og rafrænar undirritanir. Tilgreindar eru þær kröfur sem eiga við um öll almenn rafræn skilríki sem gefin eru út á Íslandi til aðila sem hafa lögsögu á Íslandi og ætluð eru til almennra nota. Staðlinum er ætlað að mynda samræmda heildarásýnd á innihaldi almennra rafrænna skilríkja sem íslenskir aðilar geta sammælst um. Lýst er innihaldi almennra rafrænna skilríkja þar sem byggt er á alþjóðlegum stöðlum og viðmiðunum. Skjalið er hluti af kröfum til dreifilyklaskipulags á Íslandi.
Til skýringar má sjá á meðfylgjandi mynd samspil helstu kröfuskjala í dreifilyklaskipulagi. Skjölin vinstra megin eru unnin í almennu samkomulagi (í vinnuhópum innan tækninefndar um traustþjónustu), en skjölin hægra megin eru á vegum einstakra vottunarstöðva.
Í staðlinum eru tilgreindar lágmarkskröfur, en ekki er um að ræða tæmandi lista yfir möguleika á innihaldi rafrænna skilríkja. Staðallinn nær ekki til rafrænna skilríkja sem fyrirtæki og stofnanir gefa út til lokaðs hóps né vefmiðlaraskilríkja.
Lýsingin á við um innihald rótarskilríkja, milliskilríkja og endaskilríkja. Lýsingin gildir fyrir einkaskilríki (þar sem vottorðshafinn er einstaklingur sem jafnframt er áskrifandi skilríkjanna), starfsskilríki (þar sem vottorðshafi er einstaklingur í tengslum við fyrirtæki, stofnun eða félag sem er áskrifandi skilríkjanna) og skipulagsheildarskilríki (þar sem vottorðshafinn er lögaðili sem jafnframt er áskrifandi skilríkjanna, en vottorðshafi getur verið eining innan lögaðila).
Helstu breytingar
Tilmæli staðalsins um innihald rafrænna skilríkja byggja á ÍST EN 319 412-2 og ÍST EN 319 412-3, sem aftur byggja á IETF viðmiðum RFC 5280, RFC 6818 og RFC 3739 fyrir innihald ISO/IEC 9594-8 skilríkja. Mælt er með að nota svæði rafrænna skilríkja á Íslandi á þann hátt sem tilgreint er í þessum gögnum, með þeim breytingum eða viðbótum sem koma fram í ÍST 146.
Helstu breytingar frá TS 146:2013 tengjast sem fyrr segir tilkomu nýrrar Evrópureglugerðar og ýmsum breytingum á tæknistöðlum sem henni tengjast, en einnig er tekið mið af nýjum kröfum vegna PSD2 reglugerðarinnar um fjármálaþjónustu. Vísað er í nýjar útgáfur tæknistaðla og kröfur í þeim teknar til greina, t.d. varðandi fullgild vottorð og leyfisnúmer fjármálafyrirtækja. Einnig verða breytingar á séríslenskum flokkum skilríkja, en búnaðarskilríki falla nú undir aðra flokka og gerð er krafa um aukna fræðslu vegna starfsskilríkja, sem hafa víða valdið misskilningi. Loks hefur skýringadálkur úr dæmatöflum verið sameinaður kröfutöflunni.
Skjalið var unnið af vinnuhópi tækninefndar um traustþjónustu á vegum Fagstaðlaráðs um upplýsingatækni (FUT) innan Staðlaráðs Íslands, sem í sátu: Jónas Sturla Sverrisson, Sigurður Másson og greinarhöfundur, Þorvarður Kári Ólafsson.