Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858
Dz.U.UE.C.2022.288.7
Akt obowiązującyZawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858
(2022/C 288/02)
Związane z tą procedurą zobowiązania prawne dotyczące roli i zakresów odpowiedzialności organów zaangażowanych w zatwierdzanie i autoryzację niezależnych podmiotów i ich pracowników w zakresie uzyskania dostępu do związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji pojazdów określono w dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Zgodnie z załącznikiem X pkt 6.3 w załączniku do niniejszego zawiadomienia Komisji określono wymogi funkcjonalne dotyczące stosowania procedury jako uzupełnienie zobowiązań prawnych za pomocą przykładów i przypadków użycia.
ZAŁĄCZNIK
Wymogi funkcjonalne: przypadki użycia
Wymogi funkcjonalne: przypadki użycia
| Podmiot | Członkowie "forum na rzecz dostępu do RMI pojazdu związanych z zabezpieczeniami" lub "SERMI" i Komisja |
| Cel | Podmioty mogą złożyć wniosek o wprowadzenie zmian w systemie. |
| Przypadek użycia - sytuacja początkowa | Wniosek o wprowadzenie zmian w systemie uzyskiwania związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji (RMI) |
| Przypadek użycia - rezultat | Zaktualizowany system uzyskiwania RMI związanych z zabezpieczeniami (w stosownych przypadkach) |
| Opis | SERMI rozpatruje wnioski o wprowadzenie zmian w systemie. Jego członkowie dokonują oceny i aktualizują system. SERMI doradza Komisji w sprawie wniosków o wprowadzenie zmian w procesie akredytacji. |
SERMI - PRZYPADEK UŻYCIA 2 Wybór centrum zaufania/centrów zaufania
| Podmiot | Centrum zaufania (TC) |
| Cel | Wyznaczenie TC. |
| Przypadek użycia - sytuacja początkowa | Wniosek TC do SERMI, które ocenia, czy TC spełnia wszystkie wymogi funkcjonalne i techniczne. |
| Przypadek użycia - rezultat | Przyjęcie lub odrzucenie wniosku TC. Zaktualizowany wykaz wybranych TC. |
| Opis | SERMI rozpatruje wnioski TC ubiegających się o wybór zgodnie z kryteriami określonymi w pkt 4.1.2 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858, SERMI tworzy i aktualizuje wykaz wybranych TC. Komisja otrzymuje powiadomienie. |
SERMI - PRZYPADEK UŻYCIA 3 Opracowanie podręcznika dotyczącego wdrażania na potrzeby interakcji między zaangażowanymi podmiotami
| Podmiot | SERMI i Komisja |
| Cel | Wykorzystanie podręcznika dotyczącego wdrożenia przez producentów pojazdów i TC w celu dokonania prawidłowego wdrożenia wymaganych standardów komunikacyjnych Online Certificate Status Protocol (OCSP) i Simple Object Access Protocol (SOAP). |
| Przypadek użycia - sytuacja początkowa | Informacje i znane normy. |
| Przypadek użycia - rezultat | Podręcznik dotyczący wdrażania zawierający wszystkie wymagane informacje dotyczące interfejsów komunikacyjnych. |
| Opis | SERMI przekazuje Komisji uwagi dotyczące możliwości utworzenia i prowadzenia podręcznika dotyczącego wdrażania z uwzględnieniem zwiększających się w czasie wymagań w zakresie bezpieczeństwa i udoskonalanych technologii. |
KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 1 Akredytacja jednostki oceniającej zgodność
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Akredytowana jednostka oceniająca zgodność |
| Przypadek użycia - sytuacja początkowa | Przekazanie formularza wniosku przez jednostkę oceniającą zgodność w celu rozpatrzenia przez krajową jednostkę akredytującą. |
| Przypadek użycia - rezultat | Jednostka oceniająca zgodność zostaje akredytowana lub nie zostaje akredytowana. Sprawozdanie krajowej jednostki akredytującej dotyczące akredytacji jednostki oceniającej zgodność. |
| Opis | Krajowa jednostka akredytująca przekazuje jednostce oceniającej zgodność formularz akredytacyjny do wypełnienia. Organizacja ubiegająca się o status jednostki oceniającej zgodność wypełnia formularz akredytacyjny. Krajowa jednostka akredytująca ocenia, czy dana organizacja spełnia wszystkie określone wymogi. Akredytacja ma zapewnić ocenę jednostki oceniającej zgodność pod kątem spełnienia normy "Ocena zgodności - Wymagania dotyczące działania różnych rodzajów jednostek przeprowadzających inspekcję" (ISO/IEC 17020:2012) jako jednostka kontrolująca typu A. Jednostka oceniająca zgodność występuje z wnioskiem o akredytację zgodnie z art. 7 rozporządzenia (WE) nr 765/2008. |
KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 2 Rozpatrywanie skarg przeciwko jednostkom oceniającym zgodność
Zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008 krajowe jednostki akredytujące wprowadzają procedury konieczne do rozpatrywania skarg przeciwko jednostkom oceniającym zgodność, którym udzieliły akredytacji.
Obowiązki krajowej jednostki akredytującej obejmują:
a) decydowanie o dopuszczalności skargi,
b) zapewnienie, aby na skargę dotyczącą akredytowanej jednostki oceniającej zgodność odpowiedziała w pierwszej kolejności zainteresowana jednostka oceniająca zgodność,
c) w stosownych przypadkach zastosowanie odpowiednich środków naprawczych w rozsądnym terminie,
d) rejestrowanie wszystkich skarg i podjętych działań oraz
e) udzielenie odpowiedzi skarżącemu.
W toku procesu rozpatrywania skargi przez krajową jednostkę akredytującą zachowują ważność wszystkie istniejące zatwierdzenia niezależnego podmiotu, wszystkie autoryzacje pracowników, świadectwa kontroli i środki naprawcze wydane przez tę jednostkę oceniającą zgodność zachowują ważność.
Jeżeli krajowa jednostka akredytująca podejmie decyzję o wycofaniu akredytacji jednostki oceniającej zgodność, tracą ważność wszystkie zatwierdzenia niezależnego podmiotu i związane z nimi świadectwa kontroli zatwierdzenia oraz świadectwa kontroli autoryzacji wszystkich pracowników wydane przez tę jednostkę oceniającą zgodność. Następnie jednostka oceniająca zgodność powiadamia zatwierdzony niezależny podmiot o tej decyzji. Krajowa jednostka akredytująca powiadamia SERMI i Komisję o decyzji.
| Podmiot | Niezależny podmiot, TC, producent pojazdów, właściwe organy. |
| Cel | Rozpatrywanie skarg. |
| Przypadek użycia - sytuacja początkowa | Skarga na jednostkę oceniającą zgodność. |
| Przypadek użycia - rezultat | Rozstrzygnięcie skargi na jednostkę oceniającą zgodność. |
| Opis | Skargi rozstrzyga się na szczeblu lokalnym między jednostką oceniającą zgodność a skarżącym. Skargi nierozstrzygnięte na szczeblu lokalnym można przekazać do dalszego rozpatrzenia przez krajową jednostkę akredytującą zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008. |
KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 3 Wykaz akredytowanych jednostek oceniających zgodność sporządzony przez krajową jednostkę akredytującą
| Podmiot | Krajowa jednostka akredytująca |
| Cel | Krajowa jednostka akredytująca prowadząca zaktualizowany wykaz wszystkich akredytowanych jednostek oceniających zgodność. |
| Przypadek użycia - sytuacja początkowa | Akredytowane jednostki oceniające zgodność. |
| Przypadek użycia - rezultat | Wykaz akredytowanych jednostek oceniających zgodność dla poszczególnych państw |
| Opis | Krajowa jednostka akredytująca tworzy, prowadzi i publikuje wykaz wszystkich akredytowanych jednostek oceniających zgodność dla poszczególnych państw. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 1 Nawiązanie przez jednostkę oceniającą zgodność relacji biznesowych z centrum zaufania
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Jednostka oceniająca zgodność zawiera umowę z wybranym centrum zaufania figurującym w opublikowanym przez SERMI wykazie wybranych centrów zaufania |
| Przypadek użycia - sytuacja początkowa | Umowa między jednostką oceniającą zgodność a wybranym centrum zaufania z wykazu zaakceptowanych centrów zaufania opublikowanego przez SERMI (zob. część "SERMI - PRZYPADEK UŻYCIA 2"). |
| Przypadek użycia - rezultat | Zawarcie umowy między jednostką oceniającą zgodność a centrum zaufania. |
| Opis | Jednostka oceniająca zgodność nawiązuje relację biznesową z jednym wybranym centrum zaufania według opublikowanego przez SERMI wykazu w celu: a) utworzenia rejestrów certyfikatów cyfrowych i autoryzacji; b) utrzymania statusu zatwierdzenia i autoryzacji (w razie konieczności przesłanie "nowych" certyfikatów; c) przesłania certyfikatu cyfrowego oraz listu z kodem PIN do przekazania pracownikowi niezależnego podmiotu przez jednostkę oceniającą zgodność. Jednostka oceniająca zgodność zawiera tylko jedną umowę z jednym centrum zaufania. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 2 Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu do celów zatwierdzenia
| Podmiot | Niezależny podmiot |
| Cel | Zatwierdzenie niezależnego podmiotu, aby mógł wskazać pracowników, który uzyskają autoryzację zapewniającą dostęp do RMI związanych z zabezpieczeniami. |
| Przypadek użycia - sytuacja początkowa | Wypełnienie formularza wniosku wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. |
| Przypadek użycia - rezultat | Świadectwo w formie papierowej zawierające wynik kontroli zatwierdzenia niezależnego podmiotu. |
| Opis | Niezależny podmiot przesyła formularz wniosku wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność weryfikuje dokumenty i sprawdza, czy niezależny podmiot został już poddany kontroli przez inną jednostkę oceniającą zgodność. Jeżeli kryteria zatwierdzenia niezależnego podmiotu (pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność przesyła niezależnemu podmiotowi świadectwo kontroli zatwierdzenia w formie papierowej. Jednostka oceniająca zgodność powiadania - w sposób możliwy do skontrolowania - pozostałe jednostki oceniające zgodność w danym państwie, jeżeli niezależny podmiot nie przejdzie pomyślnie kontroli prowadzonej przez tę jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje spójność danych przedstawionych przez niezależny podmiot przez cały czas trwania procesu. Każdy pracownik niezależnego podmiotu, który uzyskuje autoryzację dostępu do informacji dotyczących zabezpieczeń, zostaje zarejestrowany w tej samej jednostce oceniającej zgodność i TC. Każdy zatwierdzony niezależny podmiot może zostać poddany niezapowiedzianej wyrywkowej kontroli na miejscu. Kontrola taka będzie mieć miejsce jeden raz w trakcie okresu ważności zatwierdzenia niezależnego podmiotu. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 3 Kontrole na miejscu prowadzone przez jednostkę oceniającą zgodność
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Co najmniej jedna wyrywkowa i niezapowiedziana kontrola ma miejscu każdego zatwierdzonego niezależnego podmiotu w trakcie okresu ważności zatwierdzenia oraz kontrola na miejscu na wniosek niezależnego podmiotu w okresie sześciu miesięcy przed wygaśnięciem zatwierdzenia w celu zapewnienia poprawności informacji podanych we wniosku oraz wdrożenia wymogów proceduralnych i ich stosowania w codziennej działalności, zgodnie z oświadczeniem niezależnego podmiotu zawartym we wniosku o udzielenie zatwierdzenia. Kontrola przeprowadzona w ciągu ostatnich sześciu miesięcy będzie również stanowić podstawę do przedłużenia zatwierdzenia niezależnego podmiotu. Skarga przeciwko zatwierdzonemu niezależnemu podmiotowi lub autoryzowanemu pracownikowi niezależnego podmiotu warunkuje konieczność przeprowadzenia kontroli na miejscu. |
| Przypadek użycia - sytuacja początkowa | Niezapowiedziana wizyta w siedzibie niezależnego podmiotu. Wizyta w siedzibie niezależnego podmiotu na jego wniosek w ciągu ostatnich sześciu miesięcy ważności zatwierdzenia tego niezależnego podmiotu na podstawie skargi. |
| Przypadek użycia - rezultat | Potwierdzenie lub cofnięcie zatwierdzenia niezależnego podmiotu. W przypadku cofnięcia zatwierdzenia niezależnego podmiotu zostają cofnięte autoryzacje pracowników niezależnego podmiotu, a centrum zaufania otrzymuje powiadomienie o cofnięciu odpowiednich certyfikatów cyfrowych. Przedłużenie zatwierdzenia niezależnego podmiotu (JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 4) |
| Opis | Jednostka oceniająca zgodność składa wizytę niezależnemu podmiotowi i przeprowadza kontrolę na miejscu, sprawdzając zgodność z kryteriami wymienionymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. W celu przeprowadzenia kontroli na miejscu jednostka oceniająca zgodność może wystąpić z wnioskiem o pomoc organów nadzoru rynku państwa członkowskiego, w którym ma siedzibę. Na podstawie ustaleń poczynionych w toku kontroli zatwierdzenie niezależnego podmiotu zostaje potwierdzone lub cofnięte. Jednostka oceniająca zgodność umożliwia niezależnemu podmiotowi korektę niewielkich niedociągnięć w przypadku negatywnego wyniku kontroli na miejscu zgodnie z pkt 4.3.1 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Końcowy negatywny wynik kontroli skutkuje cofnięciem zatwierdzenia niezależnego podmiotu, autoryzacji pracowników niezależnego podmiotu oraz certyfikatów cyfrowych pracowników niezależnego podmiotu wydanych przez centrum zaufania. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 4 Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu w celu przedłużenia zatwierdzenia
| Podmiot | Niezależny podmiot |
| Cel | Przedłużenie zatwierdzenia niezależnego podmiotu |
| Przypadek użycia - sytuacja początkowa | Wypełnienie wniosku wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.2 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Uzyskanie pozytywnego wyniku kontroli na miejscu przeprowadzonejprzez jednostkę oceniającą zgodność na wniosek niezależnego podmiotu w ciągu 6 miesięcy przed upływem terminu ważności zatwierdzenia. |
| Przypadek użycia - rezultat | Świadectwo w formie papierowejzawierające wynik kontroli w celu przedłużenia zatwierdzenia niezależnego podmiotu. Wygaśnięcie zatwierdzenia niezależnego podmiotu, autoryzacji pracowników niezależnego podmiotu oraz cofniecie certyfikatów cyfrowych w przypadku negatywnego wyniku kontroli lub odrzucenia wniosku o przedłużenie. |
| Opis | Zatwierdzenie należy przedłużyć po upływie 60 miesięcy. Przed wygaśnięciem zatwierdzenia jednostka oceniająca zgodność powiadamia niezależny podmiot o zbliżającym się wygaśnięciu. Powiadomienie o wygaśnięciu zatwierdzenia następuje z sześciomiesięcznym wyprzedzeniem. Niezależny podmiot występuje z wnioskiem o kontrolę na miejscu ze strony jednostki oceniającej zgodność. Jednostka oceniająca zgodność przeprowadza kontrolę na miejscu. Jeżeli wynik jest negatywny jednostka oceniająca zgodność cofa zatwierdzenie niezależnego podmiotu i autoryzacje pracowników niezależnego podmiotu. Jednostka oceniająca zgodność wydaje TC dyspozycję wycofania certyfikatów pracowników niezależnego podmiotu. Niezależny podmiot przesyła w sposób możliwy do skontrolowania wszystkie dokumenty jednostce oceniającej zgodność dwa miesiące przed wygaśnięciem zatwierdzenia. Jednostka oceniająca zgodność weryfikuje dokumenty i sprawdza, czy niezależny podmiot został już zatwierdzony lub odrzucony przez inną jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje zgodność z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli kryteria zatwierdzenia niezależnego podmiotu (zob. pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność przesyła niezależnemu podmiotowi świadectwo kontroli zatwierdzenia w formie papierowej. Jednostka oceniająca zgodność powiadania - w sposób możliwy do skontrolowania - pozostałe jednostki oceniające zgodność w danym państwie, jeżeli niezależny podmiot nie przejdzie pomyślnie kontroli prowadzonej przez tę jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje spójność danych przedstawionych przez niezależny podmiot przez cały czas trwania procesu. Każdy pracownik niezależnego podmiotu, który uzyskuje autoryzację dostępu do informacji dotyczących zabezpieczeń w następstwie kontroli autoryzacji opisanej w przypadku użycia 6 dotyczącym oceny zgodności, zostaje zarejestrowany w tej samej jednostce oceniającej zgodność i TC. |
JEDNOSTKA BADAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 5 Obsługiwanie danych niezależnego podmiotu przez jednostkę oceniającą zgodność
| Podmiot | Niezależny podmiot |
| Cel | Korekta danych niezależnego podmiotu. |
| Przypadek użycia - sytuacja początkowa | Niezależny podmiot zwraca się do odpowiedniej jednostki oceniającej zgodność z wnioskiem o zmianę danych niezależnego podmiotu. Niezależny podmiot przedstawia odpowiednie uzasadnienie tej zmiany i przekazuje je jednostce oceniającej zgodność. |
| Przypadek użycia - rezultat | Zaktualizowane dane niezależnego podmiotu. |
| Opis | Niezależny podmiot przesyła wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza otrzymane dokumenty. Jeżeli jednostka oceniająca zgodność stwierdzi, że wniosek jest uzasadniony, dane zostają zmienione, a jednostka oceniająca zgodność wydaje niezależnemu podmiotowi zmienione świadectwo w formie papierowej. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 6 Jednostka oceniająca zgodność kontroluje pracownika niezależnego podmiotu na potrzeby autoryzacji
| Podmiot | Pracownik niezależnego podmiotu |
| Cel | Autoryzacja pracownika lub pracowników niezależnego podmiotu |
| Przypadek użycia - sytuacja początkowa | Wypełnienie formularza wniosku dotyczącego kontroli, wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku jest zgodny z kryteriami wymienionymi w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. |
| Przypadek użycia - rezultat | Wyniki kontroli przesłane TC przez jednostkę oceniającą zgodność, aby TC: 1) wydało certyfikat elektroniczny dla pracownika niezależnego podmiotu; 2) utworzyło rejestr autoryzacji pracowników niezależnego podmiotu w bazie danych. |
| Opis | Pracownik niezależnego podmiotu przesyła wniosek oraz wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza, czy pracownik niezależnego podmiotu złożył wcześniej wniosek, który został odrzucony przez tę samą jednostkę oceniającą zgodność lub przez inną jednostkę oceniającą zgodność na szczeblu unijnym. Jednostka oceniająca zgodność sprawdza przedmiotowe dokumenty. Jeżeli kryteria autoryzacji pracownika niezależnego podmiotu (zob. pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność informuje TC, aby wydało ono certyfikat elektroniczny (TC - PRZYPADEK UŻYCIA 1). Każdy pracownik niezależnego podmiotu ubiega się o autoryzację w tej samej jednostce oceniającej zgodność, w której jest zarejestrowany niezależny podmiot, którego jest pracownikiem. Weryfikacja prawidłowości i kompletności informacji przedstawionych przez niezależny podmiot w imieniu swoich pracowników podlega normie ISO 17020:2012 pkt 7.1.6. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 7 Pseudonimizacja danych osobowych w jednostce oceniającej zgodność
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Pseudonimizacja danych osobowych otrzymanych od pracownika lub pracowników niezależnego podmiotu |
| Przypadek użycia - sytuacja początkowa | Imię i nazwisko pracownika niezależnego podmiotu. |
| Przypadek użycia - rezultat | Niepowtarzalny identyfikator pracownika niezależnego podmiotu stosowany tak jak w certyfikacie cyfrowym. |
| Opis | Imię i nazwisko pracownika niezależnego podmiotu zostają przeniesione do niepowtarzalnego identyfikatora pracownika niezależnego podmiotu, który to identyfikator będzie stosowany w całym procesie uzyskania dostępu do RMI związanych z zabezpieczeniami. W ramach tego przypadku użycia zapewnia się, aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami UE dotyczącymi ochrony podstawowych praw i wolności osób fizycznych, określonymi w rozporządzeniu (UE) 2016/679 i dyrektywie 2002/58/WE. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 8 Jednostka oceniająca zgodność przekazuje informacje TC na potrzeby wydania certyfikatu cyfrowego
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Wyposażenie pracownika niezależnego podmiotu w certyfikat cyfrowy. |
| Przypadek użycia - sytuacja początkowa | Przekazanie TC wyniku kontroli przeprowadzonej przez jednostkę oceniającą zgodność w odniesieniu do autoryzowanego pracownika. |
| Przypadek użycia - rezultat | Przesłanie jednostce oceniającej zgodność tokena bezpieczeństwa wraz z certyfikatem cyfrowym i oddzielnego PIN dla danego pracownika niezależnego podmiotu. Pracownik niezależnego podmiotu otrzymuje PIN powiązany z certyfikatem cyfrowym przekazany przez jednostkę oceniającą zgodność w sposób możliwy do skontrolowania. |
| Opis | Jednostka oceniająca zgodność przesyła do TC wszystkie dane niezbędne do przygotowania certyfikatu cyfrowego, tokena bezpieczeństwa i PIN. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 9 Kontrola pracownika niezależnego podmiotu przeprowadzana przez jednostkę oceniającą zgodność w celu przedłużenia autoryzacji
| Podmiot | Pracownik niezależnego podmiotu |
| Cel | Przedłużenie autoryzacji pracownika |
| Przypadek użycia - sytuacja początkowa | Wypełnienie formularza wniosku dotyczącego kontroli, wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. |
| Przypadek użycia - rezultat | Wynik kontroli na potrzeby przedłużenia autoryzacji pracownika niezależnego podmiotu. |
| Opis | Jednostka oceniająca zgodność powiadamia niezależny podmiot o dacie wygaśnięcia autoryzacji pracowników 6 miesięcy przed wygaśnięciem tej autoryzacji. Pracownik niezależnego podmiotu przesyła w sposób możliwy do skontrolowania wszystkie dokumenty jednostce oceniającej zgodność 2 miesiące przed wygaśnięciem autoryzacji. Przeprowadza się proces kontroli autoryzacji opisany w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 6". |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 10 Obsługiwanie danych pracownika przez jednostkę oceniającą zgodność
| Podmiot | Pracownik niezależnego podmiotu |
| Cel | Prawidłowe dane pracownika niezależnego podmiotu. |
| Przypadek użycia - sytuacja początkowa | Zwrócenie się do odpowiedniej jednostki oceniającej zgodność z wnioskiem o aktualizację danych pracownika niezależnego podmiotu. Pracownik niezależnego podmiotu wypełnia i podpisuje odpowiedni formularz przed jego przedłożeniem jednostce oceniającej zgodność. |
| Przypadek użycia - rezultat | Zaktualizowane dane pracownika niezależnego podmiotu. |
| Opis | Pracownik niezależnego podmiotu przesyła wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza otrzymane dokumenty. Jeżeli wniosek o aktualizację wpływa na dane przechowywane w certyfikacie cyfrowym, jednostka oceniająca zgodność powiadamia o tym TC na potrzeby wydania nowego certyfikatu cyfrowego (TC - PRZYPADEK UŻYCIA 1). |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11 Procedura jednostki oceniającej zgodność w zakresie skarg
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Jednostka oceniająca zgodność stosuje udokumentowaną procedurę otrzymywania, oceny i podejmowania decyzji w sprawie skarg. Procedura ta jest zgodna z odpowiednimi przepisami krajowymi. |
| Przypadek użycia - sytuacja początkowa | Przepisy, normy i system SERMI. |
| Przypadek użycia - rezultat | Udokumentowana procedura rozpatrywania skarg |
| Opis | Jednostka oceniająca zgodność opracowuje i dokumentuje procedurę rozpatrywania skarg. Skargi rozstrzyga się na szczeblu lokalnym między jednostką oceniającą zgodność a skarżącym. Strony chcące złożyć oświadczenie dotyczące zauważonego problemu związanego z systemem powinny mieć możliwość skontaktowania się z odpowiednią jednostką oceniającą zgodność i przekazania wszystkich niezbędnych informacji. Jednostka oceniająca zgodność wprowadza procedury i zasoby niezbędne do przeprowadzenia kontroli na miejscu, jeżeli uzna, że taka kontrola jest odpowiednia do celów oceny skargi. Skargi nierozstrzygnięte na szczeblu lokalnym można przekazać do dalszego rozpatrzenia przez krajową jednostkę akredytującą zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 12 Jednostka oceniająca zgodność rozpatruje skargę dotyczącą zatwierdzenia niezależnego podmiotu
| Podmiot | Producent pojazdów, TC, odpowiedni organ |
| Cel | Jednostka oceniająca zgodność rozpatruje skargi dotyczące zatwierdzenia niezależnego podmiotu W wyniku przeprowadzonejprocedury zatwierdzenie niezależnego podmiotu zostaje cofnięte albo potwierdzone. Baza danych zatwierdzeń jest stale aktualizowana. |
| Przypadek użycia - sytuacja początkowa | Złożenie skargi wraz z wymaganymi informacjami zgodnie z procedurą określoną w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11". |
| Przypadek użycia - rezultat | Odrzucenie skargi. Albo Decyzja o cofnięciu zatwierdzenia niezależnego podmiotu w wyniku procedury skargi: 1) udokumentowane cofnięcie zatwierdzenia niezależnego podmiotu oraz sklasyfikowanie zatwierdzenia niezależnego podmiotu jako cofnięte w bazie danych zatwierdzeń; 2) cofnięte autoryzacje pracownika niezależnego podmiotu. |
| Opis | Jednostka oceniająca zgodność bada skargę w szczególności w drodze oceny, czy niezależny podmiot nadal spełnia kryteria określone w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 oraz zapewnia zgodność z pojęciem legalnej działalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli nie można potwierdzić zasadności skargi, skarga zastaje odrzucona. Jednostka oceniająca zgodność ustala, czy konieczna jest kontrola na miejscu. Jednostka oceniająca zgodność ocenia w szczególności, czy niezależny podmiot nadal spełnia powyższe punkty. W przypadku potwierdzenia zasadności zatwierdzenie niezależnego podmiotu zostaje cofnięte. W przypadku cofnięcia jednostka oceniająca zgodność: 1) powiadamia niezależny podmiot o cofnięciu zatwierdzenia, 2) powiadamia odpowiednie TC, aby zatwierdzenie zostało niezwłocznie udokumentowane jako cofnięte oraz aby cofnąć wszystkie certyfikaty cyfrowe i autoryzacje pracowników danego niezależnego podmiotu, 3) powiadamia o cofnięciu wszystkie jednostki oceniające zgodność w swoim państwie członkowskim. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 13 Jednostka oceniająca zgodność rozpatruje skargę dotyczącą autoryzacji pracownika niezależnego podmiotu
| Podmiot | Producent pojazdów, niezależny podmiot, TC, odpowiedni organ |
| Cel | Jednostka oceniająca zgodność rozpatruje skargi dotyczące autoryzacji pracownika niezależnego podmiotu. W wyniku przeprowadzonej procedury autoryzacja pracownika niezależnego podmiotu zostaje cofnięta albo potwierdzona przez TC. Dokonuje się aktualizacji wykazu cofniętych certyfikatów cyfrowych i bazy danych autoryzacji. |
| Przypadek użycia - sytuacja początkowa | Złożenie skargi wraz z wymaganymi informacjami zgodnie z procedurą określoną w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11". |
| Przypadek użycia - rezultat | Odrzucenie skargi. Albo Poinformowanie TC na potrzeby cofnięcia autoryzacji pracownika niezależnego podmiotu w wyniku procedury skargi: 1) rejestracja certyfikatu cyfrowego pracownika niezależnego podmiotu jako nieważny, 2) aktualizacja statusu autoryzacji pracownika niezależnego podmiotu do statusu "nieważny". |
| Opis | Jednostka oceniająca zgodność bada skargę. Jednostka oceniająca zgodność w szczególności przeprowadza ocenę kwestii, czy dany pracownik niezależnego podmiotu nadal spełnia kryteria określone w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub bierze udział w działalności, która byłaby niezgodna z pojęciem legalnej działalności gospodarczejokreślonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Jednostka oceniająca zgodność ustala, czy konieczna jest kontrola na miejscu. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli nie można potwierdzić zasadności skargi, skarga zastaje odrzucona. W przypadku potwierdzenia zasadności autoryzacja pracownika niezależnego podmiotu zostaje cofnięta. Jednostka oceniająca zgodność powiadamia odpowiednie TC, aby certyfikat cyfrowy danego pracownika oraz jego autoryzacja zostały niezwłocznie cofnięte. Jednostka oceniająca zgodność powiadamia niezależny podmiot o cofnięciu autoryzacji jego pracownika. |
JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 14 Dostarczanie danych statystycznych przez jednostkę oceniającą zgodność
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Jednostka oceniająca zgodność monitoruje zatwierdzania i autoryzacje. |
| Przypadek użycia - sytuacja początkowa | Wyniki kontroli na miejscu zatwierdzeń i autoryzacji. |
| Przypadek użycia - rezultat | Jednostka oceniająca zgodność przedstawia SERMI i Komisji kwartalne sprawozdanie w pierwszym roku swojej działalności, a następnie sprawozdania roczne (publikowane na stronie internetowej SERMI) |
| Opis | Jednostka oceniająca zgodność analizuje wyniki procesu kontroli zatwierdzeń/autoryzacji i przedstawia sprawozdanie zawierające następujące informacje: - liczbę dochodzeń, - iloraz: zatwierdzeń do wniosków, - iloraz: autoryzacji do wniosków, - najczęstsze przyczyny (w stosownych przypadkach 3) odmowy zatwierdzenia, - najczęstsze przyczyny (w stosownych przypadkach 3) odmowy autoryzacji, - liczbę i wynik kontroli na miejscu w okresie sprawozdawczym, - najczęstsze przyczyny (w stosownych przypadkach 3) cofnięcia zatwierdzenia niezależnego podmiotu, - oprócz tego SERMI, we współpracy z Komisją, może dodać inne kluczowe wskaźniki skuteczności działania. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 1 Niezależny podmiot ubiega się o zatwierdzenie
| Podmiot | Niezależny podmiot |
| Cel | Niezależny podmiot spełnia wszystkie wymogi określone w dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858, aby móc korzystać z RMI związanych z zabezpieczeniami. |
| Przypadek użycia - sytuacja początkowa | Wszystkie niezbędne dokumenty i formularz wniosku (przedłożone przez jednostkę oceniającą zgodność) są w formacie możliwym do skontrolowania. |
| Przypadek użycia - rezultat | Zatwierdzanie niezależnego podmiotu albo niezatwierdzenie niezależnego podmiotu. |
| Opis | Niezależny podmiot uzyskuje wykaz akredytowanych jednostek oceniających zgodność, korzystając ze strony internetowej krajowej jednostki akredytującej. Niezależny podmiot kontaktuje się z odpowiednią jednostką oceniającą zgodność. Niezależny podmiot otrzymuje od jednostki oceniającej zgodność formularz wniosku. Niezależny podmiot wypełnia formularz wniosku i przesyła go wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu, a następnie dokumentuje wyniki kontroli zatwierdzenia w swojej bazie danych, aby w przyszłości móc sprawdzić, czy wniosek niezależnego podmiotu poddano wcześniej kontroli. Każdy pracownik danego niezależnego podmiotu zostaje zarejestrowany w tejsamej jednostce oceniającej zgodność. Jednostka oceniająca zgodność powiadamia o niezatwierdzeniu niezależnego podmiotu wszystkie pozostałe jednostki oceniające zgodność podlegające jurysdykcji danej krajowej jednostki akredytującej. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 2 Rejestracja niezależnego podmiotu przez producenta pojazdów
(zob. norma EN/ISO 18541-1:2014, przypadek użycia 1.1)
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 3 Zaprzestanie działalności handlowej przez niezależny podmiot
| Podmiot | Niezależny podmiot |
| Cel | Aktualizacja bazy danych zatwierdzeń przez jednostkę oceniającą zgodność. |
| Przypadek użycia - sytuacja początkowa | Informacje o niezależnym podmiocie i zaprzestaniu przez niego danej działalności lub niezależny podmiot informuje jednostkę oceniającą zgodność o zaprzestaniu działalności gospodarczej. |
| Przypadek użycia - rezultat | Aktualizacja bazy danych zatwierdzeń, wraz z cofnięciem wszystkich powiązanych certyfikatów i autoryzacji wydanych pracownikom danego niezależnego podmiotu. |
| Opis | Jednostka oceniająca zgodność otrzymuje informacje, że niezależny podmiot zaprzestał danej działalności. Jednostka oceniająca zgodność powiadamia TC, aby wszystkie certyfikaty i autoryzacje wydane pracownikom danego niezależnego podmiotu zostały cofnięte. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 4 Zamawianie części
| Podmiot | Niezależny podmiot |
| Cel | Dostarczenie zamówionej części niezależnemu podmiotowi. |
| Przypadek użycia - sytuacja początkowa | Uwierzytelnienie pracownika niezależnego podmiotu. Zamówienie na części związane z zabezpieczeniami. |
| Przypadek użycia - rezultat | Część związana z zabezpieczeniami. |
| Opis | Producent pojazdów oferuje autoryzowanym pracownikom niezależnego podmiotu dostęp do narzędzia do składania zamówień na części związane z zabezpieczeniami. Producenci oferują internetowe narzędzie do składania zamówień na części związane z zabezpieczeniami z wykorzystaniem certyfikatu cyfrowego do potwierdzenia tożsamości osoby zamawiającej daną część. Alternatywnie producenci mogą wymagać, aby części związane z zabezpieczeniami były pozyskiwane od autoryzowanych punktów sprzedaży, jeżeli stosuje się aktualnie obowiązujące procedury uwierzytelnienia. Producenci pojazdów lub ich pośrednicy/autoryzowane punkty sprzedaży dostarczają terminowo części związane z zabezpieczeniami niezależnym podmiotom. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 5 Niezależny podmiot otrzymuje token bezpieczeństwa
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Niezależny podmiot otrzymuje token bezpieczeństwa wraz z certyfikatem cyfrowym. |
| Przypadek użycia - sytuacja początkowa | Token bezpieczeństwa wraz z certyfikatem cyfrowym przekazany przez jednostkę oceniającą zgodność. |
| Przypadek użycia - rezultat | Niezależny podmiot otrzymał token bezpieczeństwa wraz z certyfikatem cyfrowym. |
| Opis | Niezależny podmiot otrzymuje certyfikat elektroniczny od TC. Niezależny podmiot przekazuje otrzymany certyfikat elektroniczny odpowiedniemu pracownikowi niezależnego podmiotu (zob. PRACOWNIK - PRZYPADEK UŻYCIA 6). |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 6 Wymogi w zakresie przechowywania zapisów przez niezależny podmiot
| Podmiot | Niezależny podmiot |
| Cel | Przechowywanie przez niezależny podmiot zapisów transakcji w możliwym do skontrolowania formacie. |
| Przypadek użycia - sytuacja początkowa | Dokumenty/informacje przekazane w ramach zlecenia naprawy. |
| Przypadek użycia - rezultat | Ścieżka audytu i szczegóły zlecenia naprawy. |
| Opis | Niezależny podmiot przechowuje dane, które mogą być wymagane w przypadku kontroli. Przed wydaniem zlecenia naprawy niezależny podmiot zapewnia, aby zgromadzono następujące informacje: 1) dane identyfikacyjne klienta, 2) dane identyfikacyjne pojazdu (pojazd na miejscu), 3) dowód potwierdzający, że klient jest uprawniony do zlecenia wykonania prac w pojeź- dzie. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 7 Ustanie stosunku pracy pracownika niezależnego podmiotu w danym niezależnym podmiocie
| Podmiot | Niezależny podmiot |
| Cel | Przechowywanie aktualnych danych dotyczących zatwierdzeń/autoryzacji w jednostce oceniającej zgodność. |
| Przypadek użycia - sytuacja początkowa | Informacje na temat wygaśnięcia umowy zawartej z pracownikiem niezależnego podmiotu. |
| Przypadek użycia - rezultat | Zaktualizowana baza danych autoryzacji i wniosek do TC o cofnięcie odpowiedniego certyfikatu cyfrowego. |
| Opis | Niezależny podmiot powiadamia jednostkę oceniającą zgodność o zmianie zatrudnienia w terminie trzech dni roboczych. Jednostka oceniająca zgodność powiadamia TC na potrzeby aktualizacji bazy danych autoryzacji i cofnięcia odpowiedniego certyfikatu cyfrowego. O tych zmianach powiadamia się niezależny podmiot. |
NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 8 Wymogi proceduralne w przypadku operacji związanych z zabezpieczeniami
1. Postępowanie ogólne
Dostęp do RMI związanych z zabezpieczeniami będą mieli wyłącznie pracownicy zatwierdzonego niezależnego podmiotu, którzy zostali z powodzeniem autoryzowani oraz posiadają świadectwo kontroli autoryzacji i ważny certyfikat elektroniczny wydany przez odpowiednie centrum zaufania.
Pracownik niezależnego podmiotu odpowiada za prawidłowe korzystanie z certyfikatu i kodu PIN.
Niezależne podmioty i ich pracownicy stosują procedury postępowania z urządzeniami użytkowników końcowych (komputer, laptop itp.), jak określono w normie ISO 18541-2:2014.
2. Procedura prowadzenia operacji związanej z zabezpieczeniami
Jeżeli pracownik przeprowadza aktualizację oprogramowania związaną z zabezpieczeniami lub potrzebuje innych związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji pojazdów, stosuje się procedurę opisaną w pkt 3-5 i pokazaną na rys. 1 poniżej.
Rys. 1
Ogólny zarys procedury prowadzenia operacji związanej z zabezpieczeniami
3. Weryfikacja klienta
Pracownik niezależnego podmiotu weryfikuje dane identyfikacyjne klienta, który dostarczył pojazd.
Możliwe źródła danych identyfikacyjnych: dowód tożsamości, paszport, prawo jazdy, karta pomocy drogowej.
Niezależny podmiot odpowiada za udokumentowanie informacji identyfikacyjnych.
W tej procedurze można wykorzystać informacje przedstawione na rys. 2.
Rys. 2
Odniesienie do pól w dowodzie rejestracyjnym pojazdu na potrzeby kontroli klienta
| Dowody rejestracyjne pojazdów | |
| Dane (część I) | Pole (część I) |
| Nazwisko lub nazwa przedsiębiorstwa | C.1.1 |
| Inna nazwa(-y) lub inicjał(-y) (w stosownych przypadkach) | C.1.2 |
| Adres w państwie członkowskim rejestracji w dniu wydania dokumentu | C.1.3 |
| Dane (część II) | Pole (część II) |
| Nazwisko lub nazwa firmy | C.3.1 i C.6.1 |
| Inna nazwa(-y) lub inicjał(-y) (w stosownych przypadkach) | C.3.2 i C.6.2 |
| Adres w państwie członkowskim rejestracji w dniu wydania dokumentu | C.3.3 i C.6.3 |
W miarę możliwości pracownik niezależnego podmiotu odnotowuje następujące dane:
1) imię i nazwisko klienta,
2) numer dowodu tożsamości/paszportu lub numer karty pomocy drogowej,
3) nazwę przedsiębiorstwa zarządzającego flotą lub przedsiębiorstwa zajmującego się wynajmem samochodów,
4) imię i nazwisko osoby wyznaczonej do kontaktów w danym przedsiębiorstwie,
5) adres danego przedsiębiorstwa,
6) numer telefonu danego przedsiębiorstwa,
7) dane identyfikacyjny przedsiębiorstwa kierowcy.
Te dodatkowe informacje są wymagane w sytuacji, w której klient nie ma dowodu rejestracyjnego pojazdu:
8) zarządzanie flotą,
9) pojazdy na wynajem,
10) pożyczka.
4. Weryfikacja pojazdu
Pracownik niezależnego podmiotu upewnia się, że numer identyfikacyjny pojazdu (VIN) jest taki sam jak numer identyfikacyjny pojazdu (VIN) w dowodzie rejestracyjnym (zob. rys. 3).
Rys. 3
Kody wspólnotowe w dowodzie rejestracyjnym na potrzeby kontroli pojazdu
| Dowody rejestracyjne pojazdów | ||
| Dane (część I) | Pole (część I) | |
| Numer identyfikacyjny pojazdu | E | |
5. Wydanie zlecenia naprawy
Kolejnym etapem jest wydanie zlecenia naprawy za pomocą systemu zarządzania dla punktów sprzedaży. Zlecenie naprawy zawiera przynajmniej dane wskazane na rys. 4 i dane zastosowane do identyfikacji klienta i potwierdzenia jego uprawnień.
Rys. 4
Kody wspólnotowe w dowodzie rejestracyjnym na potrzeby wydania zlecenia naprawy
| Dowody rejestracyjne pojazdów | |
| Dane | Pole |
| Numer rejestracyjny | A |
| Marka | D.1 |
| Typ, wariant, wersja | D.2 |
Odnotowuje się aktualną wartość wskazania drogomierza i powód naprawy, a klient (właściciel lub osoba dostarczająca pojazd do niezależnego podmiotu) musi podpisać zlecenie naprawy. Na rys. 5 opisano procedurę w przypadku niezależnego podmiotu i pracownika.
Niezależny podmiot przechowuje podpisane zlecenia naprawy co najmniej przez 5 lat.
Rys. 5
Wymogi proceduralne w przypadku niezależnego podmiotu
PRACOWNIK - PRZYPADEK UŻYCIA 1 Pracownik niezależnego podmiotu ubiega się o autoryzację
| Podmiot | Pracownik niezależnego podmiotu |
| Cel | Pracownik niezależnego podmiotu uzyskuje autoryzację dającą mu dostęp do RMI związanych z zabezpieczeniami. |
| Przypadek użycia - sytuacja początkowa | Pracownik niezależnego podmiotu spełnia wszystkie wymogi określone w dodatku. Pracownik niezależnego podmiotu wypełnia formularz wniosku otrzymany od jednostki oceniającej zgodność. |
| Przypadek użycia - rezultat | Autoryzacja pracownika niezależnego podmiotu, dzięki której dany pracownik niezależnego podmiotu może otrzymać certyfikat cyfrowy dający mu dostęp do RMI związanych z zabezpieczeniami. |
| Opis | Pracownik niezależnego podmiotu otrzymuje formularz wniosku od jednostki oceniającej zgodność, jeżeli dany niezależny podmiot zwrócił się z wnioskiem o autoryzację danego pracownika. Pracownik niezależnego podmiotu wypełnia formularz wniosku i przesyła go wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność wydaje świadectwo kontroli autoryzacji pracownikowi niezależnego podmiotu i powiadamia TC o pozytywnym wyniku kontroli na potrzeby utworzenia rejestru autoryzacji i wydania certyfikatu cyfrowego temu pracownikowi niezależnego podmiotu. Jednostka oceniająca zgodność dokumentuje również odmowę wydaną pracownikowi niezależnego podmiotu w przypadku negatywnego wyniku kontroli. |
PRACOWNIK - PRZYPADEK UŻYCIA 2 Rejestracja pracownika niezależnego podmiotu przez producenta pojazdów
(zob. norma EN/ISO 18541-1 Podmiot 2014, przypadek użycia 1.2)
Niezależny podmiot lub pracownik niezależnego podmiotu
| Cel | Rejestracja pracownika niezależnego podmiotu na potrzeby korzystania z systemu RMI producenta pojazdów, zgodnie ze wskazaniem ze strony niezależnego podmiotu. |
| Przypadek użycia - sytuacja początkowa | - Wniosek niezależnego podmiotu o zarejestrowanie nowego pracownika niezależnego podmiotu. Konieczne są identyfikator użytkownika i hasło niezależnego podmiotu. - Wniosek pracownika niezależnego podmiotu, w którym wskazuje się, że pracownik jest powiązany z niezależnym podmiotem i prosi o potwierdzenie przedstawiciela prawnego niezależnego podmiotu w celu zakończenia rejestracji. |
| Przypadek użycia - rezultat | Pracownik niezależnego podmiotu zostaje zarejestrowany jako autoryzowany użytkownik w systemie RMI producenta pojazdów. |
| Opis | Producent pojazdów zwraca się do niezależnego podmiotu o potwierdzenie ważności danych niezależnego podmiotu. Producent pojazdów akceptuje pracownika niezależnego podmiotu jako użytkownika i odpowiednio powiadamia tego użytkownika. W systemie RMI producenta pojazdów użytkownik jest proszony o wybranie identyfikatora użytkownika, a następnie zostaje mu przypisane początkowe hasło albo może on wprowadzić własne hasło spełniające wymogi bezpieczeństwa hasła określone przez producenta pojazdów. Producent pojazdów może pobierać rozsądną opłatę rejestracyjną od niezależnego podmiotu. |
PRACOWNIK - PRZYPADEK UŻYCIA 3 Dostęp pracownika do RMI związanych z zabezpieczeniami
(zob. EN/ISO 18541:2014 wszystkie części)
PRACOWNIK - PRZYPADEK UŻYCIA 4 Uzyskanie PIN od jednostki oceniającej zgodność
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Przekazanie pracownikowi niezależnego podmiotu listu z kodem PIN do tokena bezpieczeństwa wraz z certyfikatem cyfrowym. |
| Przypadek użycia - sytuacja początkowa | PIN od TC. |
| Przypadek użycia - rezultat | List z kodem PIN dostarczony do pracownika niezależnego podmiotu. |
| Opis | Jednostka oceniająca zgodność sporządza list zawierający kod PIN dostarczony przez TC w odniesieniu do danej tożsamości i przesyła ten list na adres domowy pracownika niezależnego podmiotu w sposób możliwy do skontrolowania. |
PRACOWNIK - PRZYPADEK UŻYCIA 5 Pracownik niezależnego podmiotu otrzymuje certyfikat cyfrowy od niezależnego podmiotu
| Podmiot | Niezależny podmiot, pracownik niezależnego podmiotu |
| Cel | Dostarczenie certyfikatu elektronicznego pracownikowi niezależnego podmiotu. |
| Przypadek użycia - sytuacja początkowa | Certyfikat elektroniczny. |
| Przypadek użycia - rezultat | Pracownik niezależnego podmiotu otrzymuje certyfikat elektroniczny od niezależnego podmiotu. |
| Opis | Pracownik niezależnego podmiotu otrzymuje od niezależnego podmiotu certyfikat elektroniczny powiązany z odpowiednią tożsamością. |
TC - PRZYPADEK UŻYCIA 1 Centrum zaufania tworzy i dostarcza certyfikat
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Jednostka oceniająca zgodność otrzymuje certyfikaty i kody PIN dostarczane pracownikom niezależnego podmiotu |
| Przypadek użycia - sytuacja początkowa | Wniosek o utworzenie certyfikatu cyfrowego. |
| Przypadek użycia - rezultat | Certyfikat cyfrowy i PIN. |
| Opis | Jednostka oceniająca zgodność kontaktuje się z TC (zob. procedura opisana w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11"). TC tworzy certyfikat cyfrowy i przekazuje go jednostce oceniającej zgodność do dostarczenia danemu pracownikowi niezależnego podmiotu w drodze następującej procedury: 1) TC przesyła spersonalizowany certyfikat cyfrowy jednostce oceniająca zgodność w sposób możliwy do skontrolowania. 2) Kod PIN zostaje przesłany w sposób możliwy do skontrolowania jednostce oceniającej zgodność oddzielnie od certyfikatu cyfrowego. |
TC - PRZYPADEK UŻYCIA 2 Centrum zaufania ocenia ważność certyfikatu cyfrowego
| Podmiot | Producent pojazdów |
| Cel | Walidacja statusu certyfikatu cyfrowego. |
| Przypadek użycia - sytuacja początkowa | Numer seryjny certyfikatu cyfrowego. |
| Przypadek użycia - rezultat | Status przedstawiony przez TC jest następujący: 0 -+ zawieszony 1 -+ ważny 2 -+ cofnięty 3 -+ nieznany |
| Opis | Producent pojazdów zwraca się do TC z pytaniem o status certyfikatu cyfrowego na potrzeby uwierzytelnienia pracowników za pomocą kanału komunikacyjnego określonego w normie OCSP. TC reaguje na status odpowiadającego OCSP. Do tego celu TC prowadzi bazę danych certyfikatów cofniętych zgodnie ze standardem OCSP. |
TC - PRZYPADEK UŻYCIA 3 Centrum zaufania informuje o statusie autoryzacji pracownika niezależnego podmiotu
| Podmiot | Producent pojazdów |
| Cel | Walidacja statusu autoryzacji za pomocą interfejsu programowania aplikacji API SOAP/RESTful. |
| Przypadek użycia - sytuacja początkowa | Numer seryjny certyfikatu cyfrowego i atrybuty. |
| Przypadek użycia - rezultat | Status przedstawiony w odpowiedzi przez TC jest następujący: Ważność IOEUID IOUID CABUID |
| Opis | Producent pojazdów zwraca się o przedstawienie statusu autoryzacji pracowników niezależnego podmiotu. TC reaguje na status autoryzacji. |
TC - PRZYPADEK UŻYCIA 4 Zawieszenie wydanych certyfikatów przez centrum zaufania
| Podmiot | Producent pojazdów, niezależny podmiot, jednostka oceniająca zgodność, odpowiedni organ |
| Cel | Zawieszenie certyfikatu cyfrowego w przypadku wykrytego nadużycia w celu uniknięcia przyszłych nadużyć ze strony właściciela certyfikatu. |
| Przypadek użycia - sytuacja początkowa | Inicjatorem jest pracownik podmiotu za pomocą numeru seryjnego lub innego środka identyfikacji certyfikatu. |
| Przypadek użycia - rezultat | Zawieszenie certyfikatu, aktualizacja statusu OCSP. TC przesyła informacje jednostce oceniającej zgodność. Pracownik niezależnego podmiotu zostaje poinformowany o przyczynie zawieszenia certyfikatu cyfrowego. |
| Opis | Odpowiedni pracownik danego uczestnika. Ten pracownik jednostki oceniającej zgodność przesyła wiadomość do TC w sposób możliwy do skontrolowania. Wiadomość ta zawiera: - nagłówek danego uczestnika, - numer seryjny lub inny środek identyfikacji certyfikatu, - w stosownych przypadkach numer transakcji odpowiedniego uczestnika. Zawieszenie zostaje przetworzone natychmiast po otrzymaniu wniosku o zawieszenie. TC bada źródło wiadomości: - TC zawiesza certyfikat cyfrowy (aktualizacja OCSP). - TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej. |
TC - PRZYPADEK UŻYCIA 5 Zawieszenie zatwierdzenia niezależnego podmiotu przez centrum zaufania
| Podmiot | Producent pojazdów, jednostka oceniająca zgodność, odpowiedni organ |
| Cel | Zawieszenie autoryzacji wszystkich pracowników danego niezależnego podmiotu (oraz wszystkich autoryzacji należących do tego niezależnego podmiotu) w celu uniknięcia przyszłych nadużyć ze strony pracowników danego niezależnego podmiotu, jeżeli wykryto nadużycie. |
| Przypadek użycia - sytuacja początkowa | Wniosek ze strony pracownika reprezentującego uwierzytelniony podmiot (tj. posiadający odpowiedni certyfikat), np. pracownika jednostki oceniającej zgodność odpowiadającego za zawieszenie za pomocą niepowtarzalnego identyfikatora niezależnego podmiotu lub innego środka identyfikacji niezależnego podmiotu. |
| Przypadek użycia - rezultat | Aktualizacja statusu zawieszonych autoryzacji TC przesyła informacje jednostce oceniającej zgodność. |
| Opis | Uwierzytelniony pracownik danego podmiotu przesyła wiadomość do TC w sposób możliwy do skontrolowania. Wiadomość ta zawiera: - nagłówek danego uczestnika, - niepowtarzalny identyfikator niezależnego podmiotu lub inny środek identyfikacji niezależnego podmiotu, - w stosownych przypadkach numer transakcji odpowiedniego uczestnika. - uzasadnienie zawieszenia. Zawieszenie zostaje przetworzone po otrzymaniu wniosku o zawieszenie. TC weryfikuje źródło wiadomości. TC zawiesza wszystkie autoryzacje należące do danego niezależnego podmiotu. TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej. |
TC - PRZYPADEK UŻYCIA 6 Centrum zaufania zawiesza autoryzację pracownika niezależnego podmiotu
| Podmiot | Producent pojazdów, niezależny podmiot, jednostka oceniająca zgodność, odpowiednie organy |
| Cel | Zawieszenie autoryzacji pracownika niezależnego podmiotu w przypadku wykrytego nadużycia w celu uniknięcia przyszłych nadużyć. |
| Przypadek użycia - sytuacja początkowa | Na wniosek przedstawiciela uwierzytelnionego uczestnika. |
| Przypadek użycia - rezultat | Zawieszenie autoryzacji, aktualizacja bazy danych autoryzacji. Powiadomienie jednostki oceniającej zgodność o zawieszeniu. Pracownik niezależnego podmiotu zostaje poinformowany o przyczynie zawieszenia autoryzacji. |
| Opis | Uwierzytelniony pracownik odpowiedniego uczestnika, np. pracownik jednostki oceniającej zgodność odpowiedzialny za zawieszenie przesyła informacje do TC (stosując wspólną metodę). Informacje te obejmują: - nagłówek danego uczestnika, - niepowtarzalny identyfikator niezależnego podmiotu, - niepowtarzalny identyfikator pracownika niezależnego podmiotu, - w stosownych przypadkach numer transakcji odpowiedniego podmiotu, - uzasadnienie zawieszenia. Zawieszenie zostaje przetworzone po otrzymaniu wniosku o zawieszenie. TC weryfikuje źródło informacji. TC zawiesza autoryzację należącą do danego pracownika. TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej. |
TC - PRZYPADEK UŻYCIA 7 Centrum zaufania cofa zatwierdzenie niezależnego podmiotu
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Baza danych zatwierdzeń jest stale aktualizowana. |
| Przypadek użycia - sytuacja początkowa | Jednostka oceniająca zgodność informuje o decyzji o cofnięciu zatwierdzenia niezależnego podmiotu. |
| Przypadek użycia - rezultat | Sklasyfikowanie zatwierdzenia niezależnego podmiotu jako cofnięte w bazie danych. |
| Opis | TC zaktualizuje bazę danych zatwierdzeń po otrzymaniu od jednostki oceniającej zgodność powiadomienia o decyzji o cofnięciu zatwierdzenia danego niezależnego podmiotu. Zatwierdzenie niezależnego podmiotu zostaje sklasyfikowane jako cofnięte. Certyfikaty cyfrowe i autoryzacje wszystkich pracowników danego niezależnego podmiotu zostają sklasyfikowane jako cofnięte w odpowiednich bazach danych. |
TC - PRZYPADEK UŻYCIA 8 Centrum zaufania cofa autoryzację pracownika niezależnego podmiotu
| Podmiot | Jednostka oceniająca zgodność |
| Cel | Bazy danych certyfikatów cyfrowych i autoryzacji są stale aktualizowane. |
| Przypadek użycia - sytuacja początkowa | Jednostka oceniająca zgodność informuje o decyzji o cofnięciu autoryzacji niezależnego podmiotu. |
| Przypadek użycia - rezultat | Certyfikat cyfrowy pracownika niezależnego podmiotu zostaje sklasyfikowany jako cofnięty. Autoryzacja pracownika niezależnego podmiotu zostaje sklasyfikowana jako cofnięta. |
| Opis | TC zaktualizuje bazy danych certyfikatów cyfrowych i autoryzacji po otrzymaniu od jednostki oceniającej zgodność powiadomienia o decyzji o cofnięciu certyfikatu i autoryzacji danego pracownika niezależnego podmiotu. Certyfikaty cyfrowe i autoryzacje pracowników danego niezależnego podmiotu zostają sklasyfikowane jako cofnięte w odpowiednich bazach danych. |
TC - PRZYPADEK UŻYCIA 9 Centrum zaufania zapewnia środowisko do testowania gotowości certyfikatu i metody uwierzytelnienia wieloskładnikowego zapewnionej przez TC
| Podmiot | Pracownik niezależnego podmiotu |
| Cel | Potwierdzenie pracownikowi niezależnego podmiotu, że certyfikat elektroniczny działa. |
| Przypadek użycia - sytuacja początkowa | Certyfikat elektroniczny pracownika niezależnego podmiotu + PIN i uwierzytelnienie wieloskładnikowe na urządzeniu(-ach) klienta. |
| Przypadek użycia - rezultat | Wynik pozytywny/negatywny testu. W przypadku negatywnego wyniku testu - wiadomość zawierająca informacje na temat tego wyniku. |
| Opis | Pracownik wchodzi na stronę internetową TC. Pracownik niezależnego podmiotu loguje się do testowej strony internetowej TC za pomocą swojego certyfikatu elektronicznego. Pracownik niezależnego podmiotu widzi wynik testu (pozytywny/negatywny). TC zapisuje działania na potrzeby procesu dalszego wsparcia (np. producent pojazdów). |
TC - PRZYPADEK UŻYCIA 10 TC zapewnia interfejs w związku ze specyfikacją części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 1"
| Podmiot | TC |
| Cel | TC obsługuje standardowy interfejs komunikacyjny między TC i jednostką oceniającą zgodność (usługa sieciowa). |
| Przypadek użycia - sytuacja początkowa | Informacje i znane normy na potrzeby opracowania interfejsu komunikacyjnego (usługa sieciowa). |
| Przypadek użycia - rezultat | Interfejs komunikacyjny między TC i jednostką oceniającą zgodność. |
| Opis | TC opracowuje i obsługuje standardowy interfejs komunikacyjny dla jednostki oceniającej zgodność. Jednostka oceniająca zgodność korzysta z tego standardowego interfejsu komunikacyjnego. Z tego interfejsu można korzystać do zamawiania certyfikatu cyfrowego. |
TC - PRZYPADEK UŻYCIA 11 TC zapewnia użytkowników testowych posiadających certyfikaty testowe w celu walidacji komunikacji (OCSP i API SOAP/RESTful)
| Podmiot | Producent pojazdów |
| Cel | Funkcjonalna komunikacja między producentem pojazdów i TC. |
| Przypadek użycia - sytuacja początkowa | Wniosek w interfejsie TC. |
| Przypadek użycia - rezultat | Dane testowe: użytkownicy testowi, certyfikaty testowe, zawartość testowej bazy danych autoryzacji. |
| Opis | Producent pojazdów zwraca się z wnioskiem o dane testowe we wszystkich odpowiednich językach w odniesieniu do wszystkich odpowiednich rynków. TC przesyła producentowi pojazdów informacje (użytkownicy testowi/certyfikaty testowe) obejmujące wszystkie możliwe wyniki testu. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 1 Badanie zatwierdzenia niezależnego podmiotu
| Podmiot | Producent pojazdów |
| Cel | Zbadanie, czy obowiązujące zatwierdzenie powinno pozostać ważne. |
| Przypadek użycia - sytuacja początkowa | Producent pojazdów odnotowuje ewentualne nadużycie/przesłanki nadużycia. |
| Przypadek użycia - rezultat | Ewentualne nadużycie/przesłanki nadużycia zostają potwierdzone albo odrzucone. |
| Opis | W przypadku braku zgodności z kryteriami określonymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858 producent pojazdów zgłasza tę niezgodność ze strony niezależnego podmiotu jednostce oceniającej zgodność. Producent pojazdów wszczyna proces rozpatrywania skargi przez powiadomienie odpowiedniej jednostki oceniającej zgodność. W stosownych przypadkach producent pojazdów może powiadomić odpowiednie organy. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 2 Badanie autoryzacji pracownika niezależnego podmiotu
| Podmiot | Producent pojazdów |
| Cel | Zbadanie, czy obowiązująca autoryzacja powinna pozostać ważna. |
| Przypadek użycia - sytuacja początkowa | Producent pojazdów odnotowuje ewentualne nadużycie/przesłanki nadużycia. |
| Przypadek użycia - rezultat | Ewentualne nadużycie/przesłanki nadużycia zostają potwierdzone albo odrzucone. |
| Opis | W przypadku braku zgodności z kryteriami określonymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858 producent pojazdów zgłasza takie przesłanki nadużycia jednostce oceniającej zgodność. W razie potrzeby producent pojazdów może wewnętrznie zablokować danego pracownika niezależnego podmiotu. Producent pojazdów wszczyna proces rozpatrywania skargi przez powiadomienie odpowiedniej jednostki oceniającej zgodność. Producent pojazdów może powiadomić odpowiednie organy. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 3 Producent pojazdów blokuje dostęp niezależnego podmiotu
| Podmiot | Producent pojazdów, jednostka oceniająca zgodność |
| Cel | Odmowa dostępu do informacji związanych z zabezpieczeniami udzielona niezależnemu podmiotowi (a następnie wszystkim powiązanym pracownikom niezależnego podmiotu). |
| Przypadek użycia - sytuacja początkowa | Producent pojazdów rejestruje fakt nieprzestrzegania warunków przez niezależny podmiot. |
| Przypadek użycia - rezultat | Dostęp do informacji dotyczących zabezpieczeń zablokowany dla niezależnego podmiotu (i wszystkich pracowników niezależnego podmiotu). |
| Opis | W wyniku dochodzenia jednostka oceniająca zgodność ustaliła, że zatwierdzenie należy cofnąć. Producent pojazdów może następnie wewnętrznie zablokować dostęp dla niezależnego podmiotu. Producent pojazdów blokuje dostęp do informacji dotyczących zabezpieczeń dla danego niezależnego podmiotu. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 4 Producent pojazdów blokuje dostęp pracownika niezależnego podmiotu
| Podmiot | producent pojazdów, jednostka oceniająca zgodność |
| Cel | Producenci pojazdów mają możliwość zablokowania dostępu do RMI związanych z zabezpieczeniami dla pracownika niezależnego podmiotu. |
| Przypadek użycia - sytuacja początkowa | Producent pojazdów rejestruje przyczynę zablokowania dostępu pracownika niezależnego podmiotu. |
| Przypadek użycia - rezultat | Dostęp do informacji dotyczących zabezpieczeń zablokowany dla danego pracownika niezależnego podmiotu. |
| Opis | W wyniku dochodzenia jednostka oceniająca zgodność ustaliła, że zatwierdzenie należy cofnąć. Producent pojazdów może następnie wewnętrznie zablokować dostęp dla danego pracownika. Producent pojazdów blokuje dostęp do informacji dotyczących zabezpieczeń dla danego pracownika niezależnego podmiotu. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 5 Producent pojazdów bada status autoryzacji pracownika niezależnego podmiotu
| Podmiot | Producent pojazdów |
| Cel | Producent pojazdów weryfikuje status autoryzacji, gdy pracownik korzysta z certyfikatu uwierzytelniającego w celu uzyskania dostępu do RMI związanych z zabezpieczeniami. |
| Przypadek użycia - sytuacja początkowa | Informacje o treści elektronicznego certyfikatu pracownika. |
| Przypadek użycia - rezultat | Status autoryzacji |
| Opis | Producent pojazdów weryfikuje ważność certyfikatu (TC, OCSP). Producent pojazdów sprawdza, czy pracownik został zablokowany (wewnętrzna blokada przez producenta pojazdów). Producent pojazdów weryfikuje ważność autoryzacji pracownika: - Producent pojazdów kontaktuje się z TC, używając z informacji o treści elektronicznego certyfikatu pracownika. - W odpowiedzi TC informuje o aktualnym statusie uwierzytelnienia. |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 6 Pobranie przez producenta pojazdów podręcznika dotyczącego wdrażania ze strony internetowej SERMI (obecnie OCSP i API SOAP/RESTful)
| Podmiot | Producent pojazdów |
| Cel | Pracownik niezależnego podmiotu z pozytywnym wynikiem kontroli uzyskuje certyfikat elektroniczny autoryzacji i świadectwo kontroli autoryzacji. |
| Przypadek użycia - sytuacja początkowa | Wniosek o udostępnienie podręcznika dotyczącego wdrażania. |
| Przypadek użycia - rezultat | Pobrany podręcznik dotyczący wdrażania. |
| Opis | Pobranie podręcznika dotyczącego wdrażania ze strony internetowejSERMI. Producent pojazdów bada certyfikat elektroniczny i autoryzację pracownika niezależnego podmiotu, korzystając z podręcznika dotyczącego wdrażania (OCSP, API SOAP/RESTful). |
PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 7 Producent pojazdów przekazuje informacje władzom lokalnym
| Podmiot | Producent pojazdów |
| Cel | Przekazanie informacji odpowiedniemu organowi. |
| Przypadek użycia - sytuacja początkowa | Klient kontaktuje się z władzami lokalnymi. Zapytanie ze strony odpowiednich organów w drodze procedury ręcznej(dodatkowa obsługa IT niewymagana). |
| Przypadek użycia - rezultat | Informacje o pojeździe (np. historia czynności wykonywanych w związku z konkretnym VIN). |
| Opis | Klient zgłasza przestępstwo karalne w prawie krajowym. Podaje VIN lub informacje o transakcji. Właściwy organ kontaktuje się z konkretnym producentem pojazdów z zapytaniem dotyczącym danego VIN. W przypadku odzyskania pojazdu skradzionego odpowiedni organ powiadamia o tym producenta pojazdów i zostaje przywrócony normalny status pojazdu (ścieżka audytu zawiera informacje na temat zdarzenia). |
PRZYPADEK UŻYCIA. Wymogi techniczne
1.1. Wymogi dotyczące bezpiecznej komunikacji
Każda komunikacja cyfrowa lub każde przekazanie danych identyfikacyjnych, danych zatwierdzenia i autoryzacji między jednostką oceniającą zgodność, TC i producentem pojazdów przebiega w zabezpieczony sposób, tj. z wykorzystaniem protokołu https-ssl/tls i wzajemnego uwierzytelnienia na podstawie certyfikatów X.509.
1.2. Opis zarządzania danymi
W systemie SERMI jedynie jednostka oceniająca zgodność gromadzi i wykorzystuje dane osobowe: w poniższej tabeli przedstawiono minimalny zestaw atrybutów przechowywanych w systemie informacyjnym każdej jednostki, umożliwiających wdrożenie zdefiniowanych procesów i przypadków użycia.
Rys. 6
Przykładowe dane przechowywane zgodnie z normą ISO 18541-1 przypadek użycia grupa 1
| Jednostka oceniająca zgodność | TC | Producent pojazdów |
| Jednostka oceniająca zgodność gromadzi i wykorzystuje do celów kontroli zatwierdzenia przedstawiciela prawnego niezależnego podmiotu dane opisane w rozdziale 6.3.3, a do celów kontroli autoryzacji pracowników niezależnego podmiotu - dane opisane w rozdziale 6.3.5. Korzystając z usługi sieciowej, jednostka oceniająca zgodność przesyła następujące dane: - IOEUID - IOUID - hasło aktywacyjne | TC otrzymuje od jednostki oceniającej zgodność następujące dane: - IOEUID - IOUID - hasło aktywacyjne Dodatkowo TC generuje i wykorzystuje następujące dane: - CABUID - numer seryjny certyfikatu elektronicznego - status ważności certyfikatu elektronicznego - status autoryzacji | Producent pojazdów generuje i wykorzystuje następujące dane: - dane zgodnie z normą ISO 18541-1 przypadek użycia grupa 1 - nazwę użytkownika i hasło powiązane z IOEUID - IOEUID - IOUID - CABUID - numer seryjny certyfikatu elektronicznego |
Opis atrybutów
1) Niepowtarzalny identyfikator pracownika niezależnego podmiotu (IOEUID):
ciąg wygenerowany przez jednostkę oceniającą zgodność ściśle identyfikujący pracownika niezależnego podmiotu.
2) niepowtarzalny identyfikator niezależnego podmiotu (IOUID):
wartość wygenerowana przez jednostkę oceniającą zgodność ściśle identyfikująca niezależny podmiot jako osobę prawną.
3) niepowtarzalny identyfikator jednostki oceniającej zgodność (UID):
wartość wygenerowana przez centrum zaufania ściśle identyfikująca jednostkę oceniającą zgodność.
4) Numer seryjny:
zawiera numer seryjny certyfikatu X509, który jest niepowtarzalny dla każdego certyfikatu i zostaje automatycznie wygenerowany w procesie wydawania certyfikatu.
Autoryzacja X / Status autoryzacji X:
opisuje autoryzację(-e) i powiązany status danego użytkownika.
1.3. Projekt certyfikatu
W standardzie certyfikatu x509.V3 (RFC 5280 i ISO 9594-8.2017) określono wykaz wspólnych pól i wartości, które należy wypełnić w certyfikacie elektronicznym.
Certyfikat cyfrowy musi spełniać wymogi bezpieczeństwa BSI (http://www.bsi.de) dotyczące długości klucza i algorytmów kryptograficznych. Czas zastosowania wymogów BSI musi określić SERMI.
W przypadku łączenia się z serwerem za pomocą certyfikatu cyfrowego serwer sprawdza standardowe pole o nazwie "Sub- ject DN", co pozwala na powiązanie go z tożsamością niezależnego podmiotu w wewnętrznym systemie producenta pojazdów.
Na poniższym rysunku ukazano fragment pól zawartości wymaganych do celów identyfikacji w systemie producenta pojazdów. Nie ukazano tu pełnej struktury certyfikatu x509.V3 określonej w RFC 5280.
Rys. 7
Pola zawartości certyfikatu elektronicznego
| Pole | Wartość | Uwagi |
| Numer serii | XXX | Numer seryjny certyfikatu |
| Wystawca | XXX | Przyjazna nazwa TC. |
| Ważność | X lat (od/do) | Okres ważności certyfikatu od chwili wydania do końca okresu ważności. |
| Subject DN | IOEUID=<UserUniqueIdentifier> (niepowtarzalny identyfikator użytkownika), IOUID=<IOUniqueIdentifier> (niepowtarzalny identyfikator niezależnego podmiotu), CABUID=<CABUniqueIdentifier> (niepowtarzalny identyfikator jednostki oceniającej zgodność), | Informacje sprawdzone przez system producenta pojazdów po etapie uwierzytelnienia w celu identyfikacji użytkownika. |
| Subject Public Key Info | Szyfrowanie za pomocą klucza RSA o długości 4 096 bitów | Algorytm i wartość klucza publicznego zawarte w certyfikacie elektronicznym. |
| Authority Info Access | http://XXX | Lokalizacja serwera OCSP, która zostanie zdefiniowana przez TC. |
Ważność
Okres ważności określony w tym systemie. Każdy certyfikat elektroniczny jest ważny maksymalnie przez 60 miesięcy. Okres ten nie może przekraczać pozostałego okresu ważności zatwierdzenia niezależnego podmiotu zatrudniającego posiadacza certyfikatu.
Subject Distinguished Name (DN)
1) IOEUID:
zawiera wartość wygenerowaną przez jednostkę oceniającą zgodność oznaczającą tożsamość pracownika niezależnego podmiotu. Wartość ta jest niepowtarzalna dla autoryzowanych użytkowników: jeżeli użytkownik wysyła wniosek o wydanie nowego certyfikatu elektronicznego przez tę samą jednostkę oceniającą zgodność lub inną jednostkę oceniającą zgodność (po przedłużeniu lub cofnięciu), taki użytkownik jest powiązany z tym samym niepowtarzalnym identyfikatorem (UID).
IOEUID tworzy się w następujący sposób: < KOD-KRAJU-ISO-3166-1- DLA LOKALIZACJI JEDNOSTKI OCENIAJĄCEJ ZGODNOŚĆ/NAZWA JEDNOSTKI OCENIAJĄCEJ ZGODNOŚĆ/KOD ALFANUMERYCZNY>
Przykład: BE/CAB-CERT/1234567890A
Wartość może mieć co najwyżej 64 bity.
2) IOUID:
zawiera wartość wygenerowaną przez jednostkę oceniającą zgodność oznaczającą nazwę prawną, adres i numer identyfikacyjny VAT niezależnego podmiotu.
PRZYKŁAD: <NAZWA PRAWNA NIEZALEŻNEGO PODMIOTU: JOHNS_GARAGE/ADRES:MAINSTREET1BRUS- SELS12345/VAT:BE12345678910
3) CABUID:
zawiera wartość wygenerowana przez TC niepowtarzalną dla akredytowanej jednostki oceniającej zgodność. Wartość może mieć co najwyżej 64 bity.
Jednostka oceniająca zgodność odpowiada za zarządzanie niepowtarzalnymi identyfikatorami użytkowników. TC odpowiada za zarządzanie niepowtarzalnymi identyfikatorami osób prawnych niezależnych podmiotów i jednostki oceniającej zgodność.
Subject Public Key Info
Określenie algorytmu i długości klucza publicznego zawartych w certyfikacie elektronicznym. Aby zapewnić wystarczający poziom ufności względem siły algorytmu, stosuje się klucz o długości 4 096 bitów.
Authority Info Access
Centrum zaufania zapewnia dostęp OCSP do wykazu cofniętych certyfikatów w celu zapewnienia automatycznego dostępu do statusu certyfikatu cofniętego. Usługa OCSP jest usługą świadczoną całodobowo.
1.4. Usługa sieciowa kontroli autoryzacji z wykorzystywaniem SOAP/RESTful API
System producenta pojazdów może sprawdzić status autoryzacji użytkownika ubiegającego się o dostęp do informacji dotyczących zabezpieczeń.
Odbywa się to za pomocą standardowej usługi SOAP XML/RESTful API z wykorzystaniem protokołu HTTPS. Dostęp do tej usługi wymaga uwierzytelnienia za pomocą certyfikatu elektronicznego. Wniosek w serwerze TC opiera się na następujących informacjach:
Rys. 8
Dane wejściowe
| Dane wejściowe | ||
| Pole | Wartość | Uwagi |
| Niepowtarzalny identyfikator pracownika niezależnego podmiotu (IOEUID) | <UserUniqueIdentifier> | |
| Niepowtarzalny identyfikator niezależnego podmiotu (IOUID) | <IOUniqueIdentifier> | |
| Identyfikator autoryzacji | <AuthorizationUniqueIdentifier> | |
Rys. 9
Dane wyjściowe - szczegóły dotyczące informacji użytkownika uzyskane przy rejestracji z wykorzystaniem SOAP/RESTful API
| Dane wyjściowe | ||
| Pole | Wartość | Uwagi |
| Status użytkownika | 0 -+ zawieszony | |
| 1 -+ ważny | ||
| 2 -+ cofnięty | ||
| 3 -+ nieznany | ||
| Niepowtarzalny identyfikator pracownika niezależnego podmiotu | <UserUniqueIdentifier> | |
Odbywa się to za pomocą standardowej usługi SOAP XML/RESTful API z wykorzystaniem protokołu HTTPS. Uwierzytelnienie dostępu do tej usługi wymaga certyfikatu elektronicznego powiązanego z producentem pojazdów.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.