EVROPSKÁ KOMISE
V Bruselu dne 4.8.2011 K(2011) 5478 v konečném znění
ROZHODNUTÍ KOMISE ze dne 4.8.2011 kterým se mění rozhodnutí Komise K(2002) 3069, kterým se stanoví technické specifikace pro jednotný vzor povolení k pobytu pro státní příslušníky třetích zemí
CS
CS
ROZHODNUTÍ KOMISE ze dne 4.8.2011 kterým se mění rozhodnutí Komise K(2002) 3069, kterým se stanoví technické specifikace pro jednotný vzor povolení k pobytu pro státní příslušníky třetích zemí
EVROPSKÁ KOMISE, s ohledem na Smlouvu o fungování Evropské unie, s ohledem na nařízení Rady (ES) č. 1030/2002 ze dne 13. června 2002, kterým se stanoví jednotný vzor povolení k pobytu pro státní příslušníky třetích zemí1, a zejména na čl. 2 odst. 1 písm. d) a e) tohoto nařízení, vzhledem k těmto důvodům:
CS
(1)
Nařízení (ES) č. 1030/2002 zmocňuje Komisi přijmout další technické specifikace pro povolení k pobytu pro státní příslušníky třetích zemí, aby se zabránilo jejich padělání a pozměňování.
(2)
Rozhodnutím Komise (ES) č. K(2002) 3069 v znění rozhodnutí Komise (ES) K(2009) 3770 byly zavedeny technické podmínky pro provedení a ochranu biometrických údajů v povoleních k pobytu pro státní příslušníky třetích zemí. Je však třeba vyjasnit kvalitu otisků prstů při registraci, protože chybí ustanovení o tom, jak nakládat s nekvalitním zobrazením otisků.
(3)
Došlo ke zlepšení základní kontroly přístupu k biometrickým údajům, což konkrétně vysvětlila Mezinárodní organizace pro civilní letectví v technické zprávě „Doplňková kontrola přístupu u strojově čitelných cestovních dokladů“ (Supplemental Access Control for Machine Readable Travel Documents), a v návaznosti na to by se měly odpovídajícím způsobem vylepšit i technické specifikace.
(4)
Pravidla pro vydávání certifikátů byla poprvé použita v souvislosti se zavedením otisků prstů v cestovních pasech, přičemž vyvstala potřeba změnit z praktických důvodů tato pravidla pro vydávání certifikátů a vytvořit v každém členském státě jednotné kontaktní místo (dále jen „SPOC“) pro výměnu ověřovacích certifikátů terminálu.
(5)
Ověřovací certifikáty terminálu jsou nezbytné, aby bylo možno udělit čtečce povolení pro přístup k zobrazení otisků prstů na čipu. Tato změna nemá na postup vydávání dokladů žádný vliv.
1
Úř. věst. L 157, 15.6.2002, s. 1.
1
CS
(6)
Je proto nutné zavést SPOC také do pravidel pro vydávání certifikátů pro povolení k pobytu pro státní příslušníky třetích zemí.
(7)
Jelikož nařízení (ES) č. 1030/2002 vychází ze schengenského acquis, v souladu s článkem 5 Protokolu o postavení Dánska, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o založení Evropského společenství, oznámilo Dánsko dopisem ze dne 16. října 2008, že toto acquis provedlo do svého vnitrostátního práva. Ve smyslu mezinárodního práva je proto toto rozhodnutí pro Dánsko závazné.
(8)
Pokud jde o Island a Norsko, toto rozhodnutí rozvíjí ta ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis2, která spadají do oblasti uvedené v čl. 1 bodě C rozhodnutí Rady 1999/437/ES ze dne 17. května 1999 o některých opatřeních pro uplatňování uvedené dohody3.
(9)
V souladu s článkem 3 Protokolu o postavení Spojeného království a Irska připojeného ke Smlouvě o Evropské unii a ke Smlouvě o založení Evropského společenství Spojené království oznámilo dopisem ze dne 29. prosince 2003 své přání účastnit se přijetí a uplatňování nařízení (ES) č. 1030/2002.
(10)
V souladu s článkem 3 protokolu o postavení Spojeného království a Irska připojeného ke Smlouvě o Evropské unii a ke Smlouvě o založení Evropského společenství oznámilo Irsko dopisem ze dne 19. prosince 2003 své přání účastnit se přijetí a uplatňování nařízení Rady (ES) č. 1030/2002.
(11)
Pokud jde o Švýcarsko, toto rozhodnutí rozvíjí ta ustanovení schengenského acquis ve smyslu dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis, která spadají do oblasti uvedené v čl. 1 bodě C rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2008/146/ES4.
(12)
Pokud jde o Lichtenštejnsko, toto rozhodnutí rozvíjí ta ustanovení schengenského acquis ve smyslu Protokolu podepsaného mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis, která spadají do oblasti uvedené v čl. 1 bodě C rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2011/350/EU5.
(13)
[Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle článku 6 nařízení (ES) č. 1683/95.]
2
Úř. věst. L 176, 10.7.1999, s. 36. Úř. věst. L 176, 10.7.1999, s. 31. Úř. věst. L 53, 27.2.2008, s. 1. Úř. věst. L 160, 18.6.2011, s. 19.
3 4 5
CS
2
CS
PŘIJALA TOTO ROZHODNUTÍ: Článek 1 Příloha II a) rozhodnutí K(2002) 3069 se mění takto: 1.
body 2.2.2 a 2.2.3 se nahrazují tímto: „2.2.2 Typ Primární otisky prstů, které musí být součástí povolení k pobytu pro státní příslušníky třetích zemí, jsou: PLOCHÉ (NIKOLI VALENÉ) OTISKY LEVÉHO A PRAVÉHO UKAZOVÁKU. U každé ruky platí, že pokud ukazováček chybí nebo je poraněný nebo má podle normy ISO/IEC 19794-4 bodové hodnocení (score) 0 až 25, bude zaznamenán plochý otisk prostředníku, prsteníku nebo palce stejné ruky, bude-li k dispozici vyšší bodové hodnocení ISO (score). Je-li výše uvedené bodové hodnocení všech prstů jedné ruky nízké, vezme se plochý otisk prstu s nejlepší hodnotou. 2.2.3 Formát a kvalita Otisky prstů je nutno uchovat v OBRAZOVÉM FORMÁTU podle [5] a [6]. Kvalita zobrazení otisků prstů se uvádí podle [5] nejpozději do 31. prosince 2014 a zapisuje se na čip v bloku biometrických údajů jednotlivého biometrického obrázku s pomocí bodů vhodné metrické soustavy kvality, která umožňuje mapování s body ISO (0–100). Obrázkové soubory musí být komprimovány s použitím algoritmu WSQ podle [6], aby se zmenšila velikost souboru.“
2.
Pokyny k registraci přiložené k příloze I tohoto rozhodnutí budou přiloženy k příloze II a) rozhodnutí K(2002) 3069.
3.
V bodě 5.2 se doplňuje toto znění do odstavce 3): „PACE v2 podle [14] musí být implementován nejpozději 31. prosince 2014.“
4.
Bod 7 se mění takto: Referenční bod [2] se nahrazuje tímto: „[2] Mezinárodní organizace pro civilní letectví (ICAO), Strojově čitelné cestovní doklady, DOK 9303, část 3 Strojově čitelné cestovní pasy, třetí vydání, 2008“ Referenční bod [6] se nahrazuje tímto: „[6] norma ANSI/NIST-ITL 1-2007 „Informace o datovém formátu pro výměnu informací o zobrazení otisků prstů, snímcích obličeje, jizvách a tetování (SMT)“,
CS
3
CS
FBI: Waveletová skalární kvantizace (Wavelet Scalar Quantization – WSQ) www.itl.nist.gov/iad“ Referenční bod [10] se nahrazuje tímto: „[10] Společný profil ochranných kritérií pro strojově čitelné cestovní doklady s „aplikací ICAO“, rozšířená kontrola přístupu, verze 1.10 z 25. března 2009“ a doplňuje se tento referenční bod [14]: „[14] Technická zpráva o doplňkové kontrole přístupu pro strojově čitelné cestovní doklady, verze 1.00 z 23. března 2010.“ Článek 2 Příloha II b) rozhodnutí K (2002) 3069 se mění takto: 1.
V bodě 1 se doplňuje nový pododstavec, který zní: „V zájmu plnění požadavků podle těchto pravidel pro vydávání certifikátů je nutné vytvořit pevnou komunikační infrastrukturu pro pravidelnou komunikaci mezi zeměmi týkající se vydávání certifikátů DV . Pro běžnou každodenní výměnu údajů v rámci EAC-PKI se POUŽIJE protokol definovaný v ČSN 36 9791 verze 1.0.“;
2.
v bodě 1.3 se vkládá nový podbod 1.3.4a), který zní: „1.3.4a). SPOC (Single Point of Contact) – Jednotné kontaktní místo SPOC funguje jako rozhraní pro komunikaci mezi členskými státy. Umožňuje účinnou komunikaci on-line pro provádění pravidelných klíčových úkolů spojených s řízením. Technické podrobnosti SPOC jsou definovány v ČSN 36 9791 verze 1.0.“
3.
podbod 9.11 se nahrazuje tímto: „9.11. Všechny úkoly v oblasti správy klíčů se MUSÍ provádět s použitím stabilních komunikačních kanálů. Pro komunikaci mezi zeměmi MUSÍ být všechny CVCA a DV schopny provádět takovou komunikaci s použitím SPOC, jak je definováno v ČSN 36 9791 verze 1.0. JE MOŽNO dohodnout dodatečné komunikační kanály on-line nebo off-line, zejména pro případ, kdy není komunikační kanál SPOC k dispozici. V případě poruchy běžných komunikačních kanálů CVCA MUSÍ tento CVCA informovat zúčastněné DV o jiném kanálu, kterým lze podávat žádosti o certifikát. To JE NUTNÉ provést ve lhůtě, která snižuje riziko vypršení doby platnosti aktuálních certifikátů na nejnižší možnou míru. SPOC MUSÍ splňovat další požadavky uvedené v dodatku C.“
4.
CS
Dodatek C z přílohy II tohoto rozhodnutí bude přiložen k příloze II b) rozhodnutí Komise K(2002) 3069.
4
CS
Článek 3
Toto rozhodnutí je určeno Belgickému království, Bulharské republice, České republice, Spolkové republice Německo, Estonské republice, Irsku, Řecké republice, Španělskému království, Francouzské republice, Italské republice, Kyperské republice, Lotyšské republice, Litevské republice, Lucemburskému velkovévodství, Maďarské republice, Republice Malta, Nizozemskému království, Rakouské republice, Polské republice, Portugalské republice, Rumunsku, Republice Slovinsko, Slovenské republice, Finské republice, Švédskému království a Spojenému království Velké Británie a Severního Irska. Musí být předáno Dánskému království, Islandské republice, Norskému království, Lichtenštejnskému knížectví a Švýcarské konfederaci. V Bruselu dne 4.8.2011.
Za Komisi Cecilia MALMSTRÖM členka Komise
CS
5
CS
PŘÍLOHA I
Střed
Vertikální úhel
Správně Horizontální úhel
Rotace
Tlak
Nesprávně
Pokyny k registraci
CS
6
CS
CS
7
CS
PŘÍLOHA II DODATEK C – POŽADAVKY NA SPOC 1.1
Počáteční registrace SPOC
Před počátkem komunikace mezi jednotlivými SPOC se dané SPOC ZAREGISTRUJE u ostatních SPOC. Informace o registraci se SDĚLUJE prostřednictvím důvěryhodných kanálů stejným způsobem jako počáteční registrace DV. K registraci jsou nutné tyto údaje: • fyzické kontaktní údaje organizace odpovědné za provoz jednotného kontaktního místa (SPOC), • název organizace, • poštovní adresa; • telefonní číslo, • faxové číslo (NEPOVINNÉ), • pravidla pro vydávání certifikátu kořenového CA daného SPOC, • kořenový certifikát CA daného SPOC, • e-mailová adresa daného SPOC, • URL daného SPOC (podrobnosti viz ČSN 36 9791 verze 1.0). 1.2
Požadavky na uchovávání údajů soukromých klíčů SPOC
Soukromé klíče používané pro komunikaci prostřednictvím jednotného kontaktního místa SE UCHOVÁVAJÍ v bezpečném kryptografickém modulu. Tento modul SPLŇUJE požadavky uvedené v dodatku B.1. 1.3
Požadavky CA na SPOC
1.3.1
Záruka a obsah certifikátu
CA vydávající komunikační certifikáty SPOC JE pod vládní kontrolou. Certifikáty vydávané CA danému SPOC SPLŇUJÍ požadavky (jmenování, používání klíčů, rozšíření) definované v ČSN 36 9791 verzi 1. Pravidla CA daného jednotného kontaktního místa MUSÍ zajistit, aby OID identifikující certifikáty SPOC byly přidělovány pouze certifikátům, jež danému SPOC náleží. 1.3.2
Informace o zneplatnění certifikátu
Certifikáty OBSAHUJÍ platné rozšíření CDP. Alespoň jedno distribuční místo JE dosažitelné prostřednictvím HTTP. Pravidelný interval vydávání CRL MUSÍ být maximálně 3 měsíce; pokud je certifikát zrušen, MUSÍ být CRL včetně zrušeného certifikátu zveřejněn nejpozději
CS
8
CS
do 72 hodin po zrušení. Dlouhodobé uchovávání CRL v operační paměti (cache) se nedoporučuje. 1.3.3
Technické a organizační požadavky
CA daného SPOC (jednotného kontaktního místa) SPLŇUJE stejnou úroveň požadavků, která je stanovena pro CVCA v oddílu 5 „Řízení, kontrola provozní a fyzické bezpečnosti“ a oddílu 6 „Kontroly technické bezpečnosti“. 1.3.4
Doby platnosti
• Doba platnosti certifikátu CA: 5–10 let • Doba platnosti certifikátů SPOC: 6–18 měsíců 1.4
Žádost obdržená prostřednictvím SPOC je důvěryhodná
Je-li původce sdělení úspěšně ověřen (ověření klienta TLS), POVAŽUJE se obdržená žádost DV o certifikát za schválenou jako náležející DV, který může žádat o certifikát v zahraničí (podle bodu 3.3.1 b) tohoto dokumentu). 1.5
Komunikační priority
Kdykoli je to možné, POUŽIJE SE k výměně údajů automatické rozhraní webové služby. Pokud je rozhraní webové služby příslušného jednotného kontaktního místa (SPOC) nedostupné více než 72 hodin, KONTAKTUJE klient (původce spojení TCP) jednotné kontaktní místo (SPOC) s použitím registrační informace za účelem nalezení řešení pro naléhavé komunikační požadavky. 1.6
Zasílání sdělení
Pro zasílání sdělení se POUŽÍVÁ SPOC. Pro přenos sdělení se použije obecná zpráva, jak je definována v ČSN 36 9791 verze 1.0. Pro předmět a hlavní sdělení SE DOPORUČUJE použít znění uvedené v následující tabulce. Odkaz na CP
Předmět
Hlavní část
[EUCP] oddíl 9.11
Porucha komunikačního kanálu CVCA
Rozhraní webové služby SPOC této země bude od [datum, čas] do [datum, čas] mimo provoz. Během tohoto období používejte e-mail.
[EUCP] oddíl 9.11.6
Pozastavení CVCA
služby
Služba CVCA bude od [datum, čas] do [datum, čas] pozastavena.
[EUCP] oddíly 4.5,
Soukromý klíč [IS|DV|CVCA] [ztracen, odcizen, kompromitován]
Soukromý klíč náležející [CHR] byl [ztracen, odcizen, kompromitován] dne [datum].
Údaje pro aktivaci soukromého klíče [DV|CVCA] kompromitovány
Údaje pro aktivaci soukromého klíče náležejícího [CHR] byly kompromitovány dne [datum].
5.7.3 [EUCP] oddíl 4.5
CS
9
CS
CS
Odkaz na CP
Předmět
Hlavní část
[EUCP] oddíl 4.5
Nesprávný certifikát
Bylo zjištěno, že připojený certifikát je nesprávný.
[EUCP] oddíl 5.8
[CVCA|DV] ukončení
CVCA|DV] identifikovaný [CHR] ukončí provoz od [datum]. Další informace požadujte od [kontaktní údaje].
[EUCP] oddíl 8
Neodpovídající DV
DV [CHR] již neodpovídá požadavkům CP EU.
10
CS
