ΑΠΟΦΑΣΗ 634Α/2005 - ΦΕΚ Β/88/26.1.2005
Κανονισμός για τη Διασφάλιση του
Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου.
Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ
ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ)
Έχοντας υπόψη :
α. Το Ν. 3115/27-02-2003, άρθρο 1,
παραγρ. 1,
β. Το Ν. 3115/27-02-2003, άρθρο 6,
παραγρ. 1
γ. Ότι εκ της αποφάσεως δεν
προκύπτει δαπάνη για το δημόσιο
δ. Τη σχετική εισήγηση της
Υπηρεσίας, αποφάσισε:
Κατά τη συνεδρίασή της την 10η
Νοεμβρίου 2004, την έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση του
Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου.
Αρθρο 1
Σκοπός - Πεδίο Εφαρμογής
ΚΕΦΑΛΑΙΟ Ι
ΣΚΟΠΟΣ - OΡΙΣΜΟΙ
1. Σκοπός του παρόντος Κανονισμού
είναι:
(α) Η διασφάλιση του απορρήτου των
εφαρμογών στο Διαδίκτυο και των χρηστών τους.
(β) Η ασφάλεια των παρόχων υπηρεσίας εφαρμογής ως προς τις προσφερόμενες
υπηρεσίες και εφαρμογές.
(γ) Η θέσπιση των υποχρεώσεων των
εν λόγω παρόχων αναφορικά με την ασφάλεια και το
απόρρητο των εφαρμογών Διαδικτύου και των χρηστών.
(δ) Ο έλεγχος στους εν λόγω παρόχους σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις
τους.
2. Στις διατάξεις του παρόντος
Κανονισμού εμπίπτουν όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου
και οι Δημόσιοι Οργανισμοί και ιδιαίτερα:
(α) Πάροχοι
σταθερής και κινητής πρόσβασης στο Διαδίκτυο
(β) Πάροχοι
Διαδικτυακών υπηρεσιών, υπηρεσιών προστιθέμενης αξίας
και υπηρεσίας εφαρμογών.
Αρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος
Κανονισμού ισχύουν οι ορισμοί του «Κανονισμού για την Διασφάλιση του Απορρήτου
στις Διαδικτυακές Επικοινωνίες και τις συναφείς
Υπηρεσίες και Εφαρμογές» της ΑΔΑΕ, που
επαναλαμβάνονται για πληρότητα. Επιπρόσθετα, οι ακόλουθοι όροι έχουν την έννοια
που τους αποδίδεται κατωτέρω:
Ασύμμετρη Κρυπτογραφία -
στηρίζεται στη χρήση ενός ζευγαριού κλειδιών, ενός ιδιωτικού και ενός δημόσιου.
Όταν η κρυπτογράφηση γίνεται με το ένα κλειδί, η αποκρυπτογράφηση γίνεται με το
άλλο. Είναι γνωστή και ως Κρυπτογραφία Δημόσιου Κλειδιού.
Ακεραιότητα - είναι ιδιότητα της
διαδικασίας ασφάλειας με την οποία ελέγχεται αν τα δεδομένα έχουν τροποποιηθεί
ή καταστραφεί κατά μη εξουσιοδοτημένο τρόπο.
Δεδομένα Θέσης - τα δεδομένα που
υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και που
υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας
διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών.
Δεδομένα Κίνησης - τα δεδομένα που
υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας
σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της.
Διαδικτυακές Επικοινωνίες - Υπηρεσίες
ηλεκτρονικών επικοινωνιών όπου το δίκτυο ηλεκτρονικών επικοινωνιών είναι δίκτυο
μετάδοσης δεδομένων και φωνής με πακετομεταγωγή το
οποίο είτε έχει τη μορφή ενδοδικτύου (Intranet) είτε είναι ολόκληρο το Διαδίκτυο
(Internet).
Δίκτυο Ηλεκτρονικών Επικοινωνιών -
τα συστήματα μετάδοσης και, κατά περίπτωση, ο εξοπλισμός μεταγωγής ή
δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη μεταφορά σημάτων, με τη
χρήση καλωδίου, ραδιοσημάτων, οπτικού ή άλλου
ηλεκτρομαγνητικού μέσου, συμπεριλαμβανομένων των δορυφορικών δικτύων, των
σταθερών (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομεταγωγής,
συμπεριλαμβανομένου του Διαδικτύου) και κινητών
επίγειων δικτύων, των συστημάτων ηλεκτρικών καλωδίων, εφόσον χρησιμοποιούνται
για τη μετάδοση σημάτων, των δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές
εκπομπές, καθώς και των δικτύων καλωδιακής τηλεόρασης, ανεξάρτητα από το είδος
των μεταφερόμενων πληροφοριών.
Εμπιστευτικότητα - η ιδιότητα της
διαδικασίας ασφάλειας με την οποία αποτρέπεται η διάθεση ή η αποκάλυψη
πληροφοριών σε μη εξουσιοδοτημένα άτομα, οντότητες ή διεργασίες.
Εξουσιοδότηση - η διαδικασία
χορήγησης δικαιώματος πρόσβασης ή χρήσης μιας υπηρεσίας ή πληροφοριών, με βάση
την έγκυρη ταυτότητα. Η εξουσιοδότηση χορηγείται από την οντότητα που ελέγχει
τον πόρο για τον οποίο ζητάτε η πρόσβαση.
Επαλήθευση Ταυτότητας (Authentication) - αναφέρεται στις αυτοματοποιημένες και
τυποποιημένες μεθόδους για την πιστοποίηση της ταυτότητας του χρήστη στο Διαδίκτυο. Αναφέρεται και ως αυθεντικοποίηση.
Ιός (virus)
- Ως ιός περιγράφεται ένα κομμάτι κώδικα λογισμικού το οποίο εισβάλλει σε ένα υπολογιστικό
σύστημα με σκοπό να προκαλέσει ανεπιθύμητα αποτελέσματα, όπως καταστροφή
δεδομένων χρήστη, άρνηση υπηρεσίας (denial-of-service),
παραβίαση του συστήματος ασφαλείας του συστήματος κτλ. Κύριο χαρακτηριστικό του
είναι το γεγονός ότι μεταδίδεται μεταξύ των υπολογιστικών συστημάτων με τη
μορφή εκτελέσιμων προγραμμάτων (executables),
εγγραφών συστήματος (system or
boot records) και μακρο-εντολών (macros). Οι ιοί
είναι δυνατόν να επιτεθούν κατά προσωπικών υπολογιστών, servers,
routers κτλ.
Κλειδί Κρυπτογράφησης - μια σειρά
από bits συγκεκριμένου μήκους που χρησιμοποιείται για
να κρυπτογραφήσει ή να αποκρυπτογραφήσει τα δεδομένα σε έναν αλγόριθμο
κρυπτογράφησης.
Λογισμικό Προστασίας από Ιούς (anti-virus software)
- Πρόκειται για μια κατηγορία εφαρμογών λογισμικού που αποσκοπεί στην ανίχνευση
και απομάκρυνση ιών που έχουν προσβάλλει ένα υπολογιστικό σύστημα.
Μη Αποποίηση Ευθύνης - εξασφαλίζει
ότι οι συναλλασσόμενοι σε εφαρμογές και υπηρεσίες Διαδικτύου
που προσφέρονται είτε από πάροχους διαδικτύου είτε από πάροχους
υπηρεσίας εφαρμογής δεν μπορούν να αρνηθούν τη συμμετοχή τους στη συναλλαγή.
Παροχή Δικτύου Διαδικτυακών
Επικοινωνιών - η σύσταση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύου.Πάροχος Δικτύου Διαδικτυακών
Επικοινωνιών (Internet Service
Provider) - Η επιχείρηση ή το νομικό πρόσωπο που
παρέχει δίκτυο διαδικτυακών επικοινωνιών ή/και το νομικό πρόσωπο που παρέχει στο προσωπικό του την
απαραίτητη δικτυακή υποδομή για χρήση διαδικτυακών
επικοινωνιών στα πλαίσια της εργασίας του. Για τις ανάγκες του παρόντος ο πάροχος δικτύου διαδικτυακών
επικοινωνιών θα αναφέρεται στη συνέχεια του κειμένου ως «πάροχος
διαδικτύου».
Πάροχος Υπηρεσίας Εφαρμογής (Application Service Provider) - μία οντότητα (οργανισμός, εταιρεία κτλ), η
οποία διαθέτει εφαρμογές λογισμικού (software), υλική
υποδομή (hardware) και δικτυακή υποδομή, προκειμένου
να παρέχει υπηρεσίες και εφαρμογές στον πάροχο
δικτύου διαδικτυακών επικοινωνιών και τους χρήστες
του.
Πολιτική ασφάλειας - Το σύνολο
τεχνικών, οργανωτικών και κανονιστικών μέτρων, τα οποία εφαρμόζονται από πάροχο διαδικτύου και αποβλέπουν
στη διασφάλιση του απορρήτου και γενικά στην ασφαλή λειτουργία των δικτύων διαδικτυακών επικοινωνιών.
Προσδιορισμός ταυτότητας -
αναφέρεται σε λιγότερο τυποποιημένες μεθόδους (σε σχέση με τη διαδικασία
επαλήθευσης ταυτότητας) για την πιστοποίηση της φύσης του χρήστη, που είναι
συνήθως μη αυτόματες και απαιτούν ανθρώπινη παρέμβαση.
Προστασία του απορρήτου - η
απαγόρευση της ακρόασης, της παγίδευσης, της αποθήκευσης, της επεξεργασίας, της
ανακοίνωσης, της δημοσιοποίησης ή άλλου τύπου υποκλοπής ή παρακολούθησης της
τηλεπικοινωνίας και των δεδομένων επικοινωνίας από άλλα πρόσωπα, χωρίς τη
συγκατάθεσή τους, εξαιρουμένων των νόμιμα εξουσιοδοτημένων.
Συγκατάθεση του Χρήστη ή του
Συνδρομητή - η συγκατάθεση του προσώπου που αφορούν τα δεδομένα, κατά την
έννοια της οδηγίας 95/46/EΚ.
Συμμετρική Κρυπτογραφία - η
κρυπτογράφηση και αποκρυπτογράφηση πραγματοποιούνται με ένα κλειδί.
Ταυτότητα - είναι οι πληροφορίες
που προσδιορίζουν το χρήστη με μοναδικό τρόπο. Υπεργολάβος - όπως αυτός
ορίζεται από την υπάρχουσα νομοθεσία.
Υπηρεσία Προστιθέμενης Αξίας -
υπηρεσία μη τηλεπικοινωνιακή η οποία μπορεί να παρέχεται ή να υποστηρίζεται από
δίκτυο διαδικτυακών επικοινωνιών.
Υπηρεσίες Ηλεκτρονικών
Επικοινωνιών - οι υπηρεσίες που παρέχονται συνήθως έναντι αμοιβής και των
οποίων η παροχή συνίσταται, εν όλω ή εν μέρει, στη
μεταφορά σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένων των
υπηρεσιών τηλεπικοινωνιών και των υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται
για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλεκτρονικών επικοινωνιών δεν
περιλαμβάνονται υπηρεσίες παροχής ή ελέγχου περιεχόμενου που μεταδίδεται μέσω
δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και υπηρεσίες της κοινωνίας της
πληροφορίας, όπως αυτές ορίζονται στην παράγραφο 2 του άρθρου 2 του ΠΔ39/2001
(Α 28), και που δεν αφορούν, εν όλω ή εν μέρει, τη
μεταφορά σημάτων σε δίκτυα επικοινωνιών.
Χρήστης: κάθε φυσικό πρόσωπο που
χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για
προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής
της εν λόγω υπηρεσίας.
Χρήστης Παρόχου:
κάθε φυσικό πρόσωπο που εργάζεται στην επιχείρηση ή το νομικό πρόσωπο που
παρέχει στο προσωπικό του την απαραίτητη δικτυακή υποδομή για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της εργασίας του.
Αρθρο 3
Σκοπός, Κανόνες και Συνθήκες
ΚΕΦΑΛΑΙΟ ΙΙ
ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΤΗ ΔΙΑΔΙΚΤΥΟΥ
1. Ο σκοπός της πολιτικής
ασφάλειας χρήστη Διαδικτύου είναι να ορίσει τους
κανόνες και τις απαιτήσεις ασφάλειας για τη χρήση του Διαδικτύου
ως ασφαλές μέσο για τη μετάδοση ευαίσθητων πληροφοριών και να διασφαλίσει την
χρήση του.
2. Οι πιο κάτω κανόνες και
συνθήκες αφορούν όλους τους χρήστες που χρησιμοποιούν το Διαδίκτυο
ή έχουν κάποιο σημείο προσαρμογής σε αυτό, με σκοπό τη μετάδοση πληροφοριών. Η
πολιτική αυτή δεν καλύπτει την προστασία υποδομών τοπικών δεδομένων ή τοπικών
δικτύων (LAN κτλ).
3. Μια ολοκληρωμένη υλοποίηση Διαδικτυακής επικοινωνίας θα πρέπει να περιλαμβάνει
επαρκείς μεθόδους κρυπτογράφησης (encryption),
χρησιμοποίηση επαλήθευσης ή προσδιορισμού ταυτότητας (authentication
or identification) από τους
χρήστες και ένα σχέδιο διαχείρισης που θα ενσωματώνει αποδοτικές μεθόδους
διαχείρισης κλειδιών και κωδικών πρόσβασης. Πιο συγκεκριμένα:
(α) Οι μέθοδοι που εφαρμόζονται
από τους χρήστες θα πρέπει να περιλαμβάνουν μια μέθοδο κρυπτογράφησης και
τουλάχιστον μία μέθοδο επαλήθευσης και προσδιορισμού ταυτότητας. Αυτές οι
μέθοδοι πρέπει να είναι αρκετά γενικές και ανοικτές ώστε να παρέχουν μέγιστη
προσαρμοστικότητα από την πλευρά του χρήστη και των εφαρμογών, μέσα όμως σε
κάποια όρια ασφάλειας και εύκολης διαχείρισης.
(β) Οι τεχνικές θα πρέπει να
παρέχουν στο χρήστη τη δυνατότητα να αποδεικνύει ότι είναι αυτός που δηλώνεται
και να οργανώνουν έτσι τα δεδομένα προς μετάδοση ώστε να αποφεύγεται η
ανάρμοστη γνωστοποίηση ή τροποποίηση των δεδομένων κατά τη μετάδοσή τους.
Επομένως, τεχνικές επαλήθευσης και προσδιορισμού της ταυτότητας του χρήστη θα
πρέπει να συνυπάρχουν με τεχνικές κρυπτογράφησης και μετάδοσης δεδομένων ώστε
να εγγυηθούν ότι τα δεδομένα θα μεταφερθούν με ασφαλή τρόπο και ότι μόνο οι
εξουσιοδοτημένοι χρήστες θα μπορέσουν να τα διαβάσουν.
(γ) Υπάρχουν περιπτώσεις που
«σταθεροί» κωδικοί πρόσβασης δεν επαρκούν, αλλά χρειάζεται ένα είδος δυναμικής
πιστοποίησης των δεδομένων. Μια σειρά από διαφορετικές τεχνολογίες μπορούν να
παρέχουν ένα είδος δυναμικής πιστοποίησης, όπως γεννήτριες δυναμικών κωδικών,
τεχνικές βασισμένες στην κρυπτογραφία, καθώς και ψηφιακές υπογραφές και
πιστοποιητικά.
(δ) Οι τεχνικές προσδιορισμού των
κωδικών πρόσβασης παρέχουν ένα επίπεδο ασφάλειας. Η δυσκολία ανίχνευσης των
κωδικών αυτών από τρίτα άτομα καθώς και ο τρόπος που αυτοί προστατεύονται
καθορίζουν εμμέσως την ισχύ της διαδικασίας επαλήθευσης της ταυτότητας του
χρήστη.
4. Οι χρήστες δεν θα πρέπει να
δίνουν το λογαριασμό πρόσβασης καθώς και τους αντίστοιχους κωδικούς που έχουν
σε άλλα μη εξουσιοδοτημένα άτομα.
5. Οι χρήστες δεν θα πρέπει να
αλλάζουν χαρακτηριστικά των συστημάτων λογισμικού ή υλικού, καθώς και να μην
εγκαθιστούν προγράμματα σε υπολογιστές ή στο δίκτυο που εν γνώσει τους μπορεί
να προκαλέσουν ζημιές ή να δημιουργήσουν υπερβολικό φορτίο στο υπολογιστικό
σύστημα ή στο δίκτυο.
6. Οι χρήστες πρέπει να
συμμορφώνονται με τον τρόπο χρήσης του ηλεκτρονικού τους ταχυδρομείου όπως
προσδιορίζεται από τους παρόχους διαδικτύου
και το περιβάλλον εργασίας τους. Μπορεί να υπάρχουν κανόνες που να ορίζουν τόσο
τη συμπεριφορά των χρηστών όσο και τις απαιτήσεις των εφαρμογών και των
εξυπηρετητών ηλεκτρονικού ταχυδρομείου.
(α) Απαραίτητη θεωρείται η εξέταση
των εισερχόμενων μηνυμάτων για ιούς και κακόβουλα δεδομένα
(β) Οι εξυπηρετητές (servers) του ηλεκτρονικού ταχυδρομείου μπορεί να είναι αρχικοποιημένοι ώστε κάθε μήνυμα να υπογράφεται
χρησιμοποιώντας την ψηφιακή υπογραφή του αποστολέα, να απαγορεύουν την αποστολή
μηνυμάτων σε μη κατάλληλους προορισμούς και να ανιχνεύουν τη χρήση με κατάλληλα
προγράμματα για αποστολή / παραλαβή μηνυμάτων.
(γ) Οι χρήστες θα πρέπει να
συμμορφώνονται με τους κανόνες ασφάλειας που ορίζονται από τους παρόχους διαδικτύου, ύστερα από
ενημέρωσή τους από τον πάροχο διαδικτύου
σχετικά με αυτούς τους κανόνες. Οι χρήστες δηλώνουν τη συμμόρφωσή τους με σαφή,
ατελή και εύκολα προσβάσιμο τρόπο, είτε ενυπόγραφα
είτε ηλεκτρονικά. Οι κανόνες αυτοί μπορεί να περιέχουν περιορισμούς ως προς το
υλικό που θα μεταδώσουν, και να εξασφαλίζουν τη μη παραβίαση των δικαιωμάτων
πνευματικής ιδιοκτησίας, καθώς και τη μη εξουσιοδοτημένη πρόσβαση σε δικτυακούς
πόρους.
(δ) Οι χρήστες δεν θα πρέπει να
δημοσιοποιούν υλικό σε ηλεκτρονικούς τόπους, news groups ή mail lists,
το οποίο είναι παράνομο, ή όχι κατάλληλο (π.χ. να στέλνουν electronic
junk mail ή chain letters).
Αρθρο 4
Σκοπός και πεδίο εφαρμογής της
πολιτικής ορθής συμπεριφοράς
ΚΕΦΑΛΑΙΟ ΙΙΙ
ΠΟΛΙΤΙΚΗ ΟΡΘΗΣ (ΔΕΟΝΤΟΛΟΓΙΚΗΣ) ΣΥΜΠΕΡΙΦΟΡΑΣ
ΧΡΗΣΤΗ
1. Η ανάπτυξη της επικοινωνίας
μέσω Διαδικτύου και συναφών υπηρεσιών είναι τόσο προς
όφελος των παρόχων διαδικτύου
και υπηρεσίας εφαρμογής όσο και προς όφελος των χρηστών. Αφενός διότι θα
οδηγήσουν στην επιχειρηματική ανάπτυξη των παρόχων
αυτών, αφετέρου διότι οι παρεχόμενες υπηρεσίες εξυπηρετούν τον χρήστη.
Προϋπόθεση της ανάπτυξης και διάδοσής τους είναι να διέπονται από Κανόνες
Δεοντολογίας. Ενδεικτικά θα μπορούσαμε να αναφέρουμε τους κανόνες (Netiquette) που ορίζονται από την παγκόσμια κοινότητα του Διαδικτύου IETF.
2. Για την επιτυχία του ως άνω
σκοπού θα πρέπει οι κανόνες αυτοί να γίνουν αποδεκτοί από όλους ανεξαιρέτως
τους εμπλεκόμενους στις δικτυακές επικοινωνίες, δηλαδή τους χρήστες, τους
χρήστες παρόχου και τους παρόχους
επικοινωνιακών συστημάτων και εφαρμογών.
3. Η εφαρμογή των κανόνων αυτών σε
επίπεδο φυσικού ή νομικού προσώπου συνιστά την πολιτική ορθής συμπεριφοράς του
εν λόγω προσώπου.
Αρθρο 5
Πολιτική ορθής συμπεριφοράς παρόχων
1. Οι πάροχοι
διαδικτύου είναι απαραίτητο να δίνουν το παράδειγμα
σε κάθε επιχειρηματικό τους βήμα, και κάθε επιχειρηματική τους πράξη να είναι
νόμιμη, ειλικρινής και να διέπεται από διαφάνεια.
2. Ο πάροχος
διαδικτύου και οι χρήστες παρόχου
θα πρέπει να προσπαθούν να διαφυλάσσουν τους κανόνες ορθής συμπεριφοράς και να
απαντούν άμεσα σε τυχόν ερωτήματα χρηστών.
3. Ο πάροχος
διαδικτύου θα πρέπει να προσπαθήσει να αυξήσει την
εμπιστοσύνη των χρηστών στις παρεχόμενες εφαρμογές εφαρμόζοντας τους κανόνες
της καθημερινής ορθής συμπεριφοράς και στο Διαδίκτυο.
4. Ο πάροχος
διαδικτύου είναι υποχρεωμένος να καταγγέλλει άμεσα
στην ΑΔΑΕ περιπτώσεις μη ορθής συμπεριφοράς μέσω των
προσφερόμενων εφαρμογών που εμπίπτουν στην αντίληψή του όπως ορίζει κάθε φορά η
ισχύουσα νομοθεσία.
5. Σε περιπτώσεις όπου η νομοθεσία
αδυνατεί να επιβάλει όρους και κανόνες τότε η πολιτική ορθής συμπεριφοράς του παρόχου διαδικτύου θα πρέπει
πάντοτε να διαφυλάσσει το χρήστη.
6. Η πολιτική ορθής συμπεριφοράς
αποτελεί έννοια με ευρεία φιλοσοφική διάσταση και ως εκ τούτου καθίσταται δύσκολη
η πλήρης καταγραφή της. Εν τούτοις, κάθε πάροχος διαδικτύου οφείλει να συμπεριλαμβάνει επίσημες αναφορές σε
αυτήν σε κατάλληλα σημεία των επίσημων εγγράφων του (π.χ. γενικές αρχές
λειτουργίας) όσο και στο υλικό που διανέμει στους χρήστες των διαδικτυακών υπηρεσιών του.
Αρθρο 6
Πολιτική ορθής συμπεριφοράς
χρηστών
1. Οι χρήστες είναι υποχρεωμένοι
να χρησιμοποιούν τις εφαρμογές, όπως αυτές παρέχονται από τον εκάστοτε πάροχο διαδικτύου, έχοντας υπόψη
τους ότι οι κατά την κρατούσα αντίληψη κανόνες ορθής συμπεριφοράς, πρέπει να
διαφυλάσσονται και κατά τη χρήση των εφαρμογών αυτών.
2. Σε κάθε περίπτωση που υποπίπτει
στην αντίληψη του χρήστη μη ορθή συμπεριφορά και χρήση των εφαρμογών, είναι
υποχρεωμένος να ειδοποιεί άμεσα τον πάροχο διαδικτύου ή και να καταγγέλλει το περιστατικό στις
αρμόδιες υπηρεσίες.
3. Ο χρήστης πρέπει να κατανοήσει
ότι είναι υπεύθυνος για κάθε πράξη του στο Διαδίκτυο.
Σε περιπτώσεις όπου ο χρήστης χρησιμοποιεί το Διαδίκτυο
και τις παρεχόμενες εφαρμογές για εκβιασμό, αποστολή μηνυμάτων ρατσιστικού ή
προσβλητικού περιεχομένου κ.ο.κ, ο χρήστης διώκεται
βάσει της υπάρχουσας νομοθεσίας.
Αρθρο 7
Ανήθικη συμπεριφορά
1. Οι πάροχοι
διαδικτύου, οι χρήστες και οι χρήστες παρόχου θα πρέπει να αποφεύγουν κάθε είδους ανήθικη
συμπεριφορά μέσω εφαρμογών Διαδικτύου.
2. Υπογραμμίζεται ότι η ανήθικη
και παράνομη συμπεριφορά μέσω διαδικτυακών εφαρμογών
δεν διαχωρίζεται νομικά από τις κανονικές περίπτωσης ανήθικης συμπεριφοράς,
όπως αυτές προβλέπονται από την νομοθεσία.
3. Κάθε περίπτωση εκβιασμού, λιβελογραφίας,
συκοφαντικής δυσφήμισης, ρατσιστικής μεταχείρισης, παιδοφιλίας,
παρακολούθησης ή διαρροής απόρρητων πληροφοριών κ.ο.κ. καλύπτεται νομικά από
την υπάρχουσα νομοθεσία, η οποία ισχύει και για τις περιπτώσεις στις οποίες
χρησιμοποιήθηκαν διαδικτυακές επικοινωνίες και
εφαρμογές. Ειδικά υπογραμμίζεται η περίπτωση όπου ο πάροχος
διαδικτύου ή οι χρήστες παρόχου
χρησιμοποιούν παράνομα και ανήθικα την προσφερόμενη στον χρήστη υπηρεσία.
Αρθρο 8
Κρυπτογράφηση
ΚΕΦΑΛΑΙΟ IV
ΧΡΗΣΗ ΚΡΥΠΤΟΓΡΑΦΙΚΩΝ ΑΛΓΟΡΙΘΜΩΝ
1. Η κρυπτογράφηση έχει βασικό
σκοπό να διασφαλίσει την εμπιστευτικότητα, την ακεραιότητα και τη μη-αποποίηση
ευθύνης στις συναλλαγές και τις επικοινωνίες μέσω Διαδικτύου,
τα οποία και αποτελούν αναπόσπαστα στοιχεία της ιδιωτικότητας
του χρήστη.
2. Οι πάροχοι
διαδικτύου οφείλουν να εφαρμόζουν αλγόριθμους και
τεχνικές κρυπτογράφησης τόσο στα συστήματα μετάδοσης δεδομένων που
χρησιμοποιούν όσο και στις εφαρμογές και τις υπηρεσίες του Διαδικτύου
που παρέχουν. Σχετικά με το τελευταίο, ενδεικτικά και όχι περιοριστικά
αναφέρονται οι υπηρεσίες ηλεκτρονικού εμπορίου, οι τραπεζικές συναλλαγές μέσω Διαδικτύου και το ηλεκτρονικό ταχυδρομείο.
3. Σχετικά με τα συστήματα
μετάδοσης, οι πάροχοι διαδικτύου
είναι υποχρεωμένοι να ακολουθούν τα διεθνή πρότυπα ανάλογα με τη τεχνολογία
μετάδοσης που ακολουθείται. Οι πάροχοι διαδικτύου είναι υποχρεωμένοι να ενημερώνουν την ΑΔΑΕ ως προς τις τεχνικές κρυπτογράφησης που ακολουθούν.
4. Ανεξάρτητα από το πεδίο στο
οποίο εφαρμόζονται τεχνικές κρυπτογράφησης, το επίπεδο της κρυπτογράφησης
πρέπει να είναι τέτοιο ώστε να εξασφαλίζει ότι η παραβίασή της δεν είναι δυνατή
(σε λογικό χρόνο και με λογικούς υπολογιστικούς πόρους). Το επίπεδο της
κρυπτογράφησης εκφράζεται συνήθως από το μέγεθος του κλειδιού κρυπτογράφησης.
Στη γενική περίπτωση όσο μεγαλύτερο είναι το μήκος του κλειδιού τόσο
δυσκολότερη γίνεται η παραβίαση της κρυπτογράφησης. Η ΑΔΑΕ
θα εκδίδει τεχνικές οδηγίες και συστάσεις που θα καθορίζουν το μήκος του
κλειδιού ανά πεδίο κρυπτογράφησης.
5. Ανεξάρτητα από το πεδίο στο
οποίο εφαρμόζονται τεχνικές κρυπτογράφησης, οι αλγόριθμοι κρυπτογράφησης που θα
χρησιμοποιούνται θα πρέπει να είναι οι ευρέως αποδεκτοί αλγόριθμοι. Ενδεικτικά
και όχι περιοριστικά αναφέρονται οι αλγόριθμοι RSA, Diffie-Hellman και ElGamal για την ασύμμετρη κρυπτογραφία και οι 3DES (Data Encryption Standard), AES (Advanced Encryption Standard), IDEA (International Data Encryption Algorithm), Blowfish και CAST για τη
συμμετρική κρυπτογραφία.
Αρθρο 9
Ασφάλεια Εφαρμογών Διαδικτύου
1. Για την ασφάλεια και τη
διασφάλιση του απορρήτου των εφαρμογών Διαδικτύου
έχουν αναπτυχθεί διάφορα πρωτόκολλα και εφαρμογές που βασίζονται στις γενικές
αρχές της κρυπτογράφησης. Ανάλογα με τον τύπο εφαρμογής Διαδικτύου
έχουν προταθεί και προτυποποιηθεί συγκεκριμένα
πρωτόκολλα.
2. Οι πάροχοι
υπηρεσίας εφαρμογής οφείλουν να κάνουν χρήση των ευρέως αποδεκτών τεχνικών και πρωτόκολλων ασφάλειας των εφαρμογών Διαδικτύου.
Ενδεικτικά και όχι περιοριστικά αναφέρονται τα ακόλουθα πρωτόκολλα ανά τύπο
εφαρμογής:
(α) Για εφαρμογές Παγκόσμιου Ιστού
(WWW) (π.χ. ηλεκτρονικό εμπόριο, τραπεζικές
συναλλαγές μέσω Διαδικτύου) χρησιμοποιούνται τα
πρωτόκολλα Secure Sockets Layer (SSL) και Secure HTTP (S-HTTP). Εξασφαλίζουν αυθεντικοποίηση,
εμπιστευτικότητα και ακεραιότητα στην ανταλλαγή δεδομένων μεταξύ στοιχείων του
παγκόσμιου ιστού (φυλλομετρητές και εξυπηρετητές).
(β) Για εφαρμογές ηλεκτρονικού
ταχυδρομείου (e-mail)
χρησιμοποιούνται τα πρωτόκολλα S/MIME και PEM (Privacy Enhanced
Mail), τα οποία εν ολίγοις κάνουν χρήση ψηφιακών
υπογραφών και κρυπτογράφησης στα μεταδιδόμενα ηλεκτρονικά μηνύματα. Η εφαρμογή PGP (Pretty Good
Privacy) χρησιμοποιείται για παρόμοιο σκοπό.
(γ) Το πρωτόκολλο SET (Secure Electronic
Transaction) χρησιμοποιείται για ηλεκτρονικές
πληρωμές μέσω πιστωτικών καρτών.
3. Δεδομένου ότι νέα πρωτόκολλα
και τεχνολογίες θα ανακύπτουν με την πρόοδο της επιστήμης των υπολογιστών, η ΑΔΑΕ θα εκδίδει τεχνικές οδηγίες και συστάσεις προς τους πάροχους διαδικτύου σχετικά με
αυτά τα νέα πρωτόκολλα και τις τεχνολογίες. Οι πάροχοι
διαδικτύου είναι υποχρεωμένοι να ακολουθούν τα
εκάστοτε ευρέως χρησιμοποιούμενα πρωτόκολλα και τεχνολογίες, είτε αυτόβουλα
είτε έπειτα από έλεγχο και αντίστοιχη οδηγία από την ΑΔΑΕ.
Αρθρο 10
Ανάγκη ύπαρξης πολιτικής κωδικών
ασφάλειας
ΚΕΦΑΛΑΙΟ V
ΧΡΗΣΗ ΚΩΔΙΚΩΝ ΑΣΦΑΛΕΙΑΣ (PASSWORDS)
1. Οι κωδικοί ασφάλειας αποτελούν
ένα από τα σημαντικότερα πεδία της ασφάλειας των επικοινωνιών. Αποτελούν την
τελευταία γραμμή άμυνας ενάντια σε αυτούς που θα προσπαθήσουν να επιβουλευθούν ένα δίκτυο δεδομένων, δημόσιο ή ιδιωτικό, ή
ένα υπολογιστικό σύστημα.
2. Τα παραπάνω καθίστανται ακόμα
πιο σημαντικά στις ακόλουθες περιπτώσεις:
(α) Στην περίπτωση που ο κωδικός
ασφάλειας αφορά χρήστη παρόχου ο οποίος συνδέεται με
τα συστήματα του παρόχου διαδικτύου
από απόσταση, μέσω Διαδικτύου.
(β) Στην περίπτωση που ο κωδικός
ασφάλειας αφορά χρήστη παρόχου ο οποίος αποκτά
πρόσβαση από σύστημα του παρόχου διαδικτύου
προς το Διαδίκτυο.
Και στις δύο περιπτώσεις ένας
ακατάλληλος κωδικός ασφάλειας δύναται να οδηγήσει σε απώλεια σημαντικών
δεδομένων καθώς και σε γενικότερη δυσλειτουργία των συστημάτων του παρόχου διαδικτύου.
3. Συνεπώς κάθε πάροχος διαδικτύου θα πρέπει να
διαθέτει και να επιβάλλει κανόνες αναφορικά με τους κωδικούς ασφάλειας ούτως
ώστε:
(α) Να δημιουργούνται συμπαγείς
κωδικοί.
(β) Να προστατεύονται οι ως άνω
κωδικοί.
(γ) Να μεταβάλλονται συχνά οι ως
άνω κωδικοί.
4. Η πολιτική αυτή θα πρέπει να
εφαρμόζεται από όλους τους χρήστες και χρήστες παρόχου,
οι οποίοι διαθέτουν λογαριασμό με πρόσβαση από και προς το Διαδίκτυο
και ιδιαίτερα αν χειρίζονται ευαίσθητα, μη διαθέσιμα στο κοινό, δεδομένα.
Αρθρο 11
Δημιουργία και Διαχείριση κωδικών
ασφάλειας
1. Της εφαρμογής μιας πολιτικής
δημιουργίας και διαχείρισης κωδικών ασφάλειας σε έναν πάροχο
διαδικτύου προηγείται ο διαχωρισμός των συστημάτων σε
αυτά που χρειάζονται προστασία μέσω κωδικών ασφάλειας και σε αυτά που
διατίθενται προς ελεύθερη πρόσβαση.
2. Προκειμένου οι χρήστες και
χρήστες παρόχου να χρησιμοποιήσουν ένα εταιρικό
δίκτυο ή υπολογιστικό σύστημα το οποίο προστατεύεται, θα πρέπει να διαθέτουν
«όνομα χρήστη» (login name)
και κατάλληλο κωδικό ασφάλειας (password). Ως εκ
τούτου η πολιτική κωδικών ασφάλειας περιλαμβάνει:
(α) Περιγραφή των κανόνων σύμφωνα
με τους οποίους γίνεται η δημιουργία των ονομάτων χρηστών (user
names)
(β) Περιγραφή των κανόνων σύμφωνα
με τους οποίους γίνεται η δημιουργία των κωδικών ασφάλειας (passwords).
(γ) Περιγραφή των διαδικασιών
σύμφωνα με τις οποίες διανέμεται σε κάθε χρήστη ή χρήστη παρόχου
το αντίστοιχο όνομα χρήστη καθώς και ο κωδικός ασφάλειας.
(δ) Περιγραφή των κανόνων σύμφωνα με
τους οποίους επιτυγχάνεται η τακτική αλλαγή των κωδικών ασφάλειας και η εν
γένει διαχείρισή τους.
(ε) Περιγραφή των κανόνων οι
οποίοι καθορίζουν την ενδεδειγμένη συμπεριφορά των χρηστών και χρηστών παρόχου αναφορικά με την προστασία των κωδικών ασφάλειας.
Το σύνολο των εν λόγων κανόνων, οι οποίοι αποτελούν υποσύνολο της πολιτικής
δημιουργίας και διαχείρισης κωδικών ασφάλειας, συνιστούν την πολιτική
προστασίας των κωδικών ασφάλειας.
(στ) Περιγραφή των διαδικασιών
σύμφωνα με τις οποίες διενεργείται έλεγχος για την πιστή ή μη εφαρμογή της εν
λόγω πολιτικής.
3. Η πολιτική δημιουργίας και
διαχείρισης κωδικών ασφάλειας θα πρέπει να βρίσκεται καταγεγραμμένη σε
αντίστοιχο επίσημο έντυπο του πάροχου διαδικτύου, στο οποίο πρέπει να υπάρχει ελεγχόμενη
πρόσβαση.
4. Οι χρήστες και χρήστες παρόχου, μόλις παραλαμβάνουν τους κωδικούς ασφάλειάς τους,
θα πρέπει να λαμβάνουν εγγράφως γνώση των υποχρεώσεών τους που απορρέουν από
τις υφιστάμενες πολιτικές για τους κωδικούς ασφάλειας.
5. Η πολιτική δημιουργίας και
διαχείρισης κωδικών ασφάλειας θα πρέπει να πληροί, κατ ελάχιστον, τα ακόλουθα
χαρακτηριστικά:
(α) Ύπαρξη συμπαγών κωδικών
ασφάλειας: Οι χρησιμοποιούμενοι κωδικοί ασφάλειας θα πρέπει να είναι συμπαγείς
έτσι ώστε να μην μπορεί να τους «μαντέψει» όποιος επιβουλεύεται το σύστημα.
Συνεπώς η πολιτική κωδικών ασφάλειας θα πρέπει να επιβάλλει τη δημιουργία
κωδικών ασφάλειας με συνδυασμό γραμμάτων, αριθμών και μη αλφαριθμητικών
χαρακτήρων. Επιπλέον θα πρέπει να επιβάλλεται ένα ικανό ελάχιστο μήκος.
(β) Περιορισμένη πρόσβαση στο
αρχείο φύλαξης των κωδικών ασφάλειας: Η πρόσβαση στο αρχείο που φυλάσσονται οι
κωδικοί πρόσβασης θα πρέπει να είναι περιορισμένη.
(γ) Περιοδική αλλαγή κωδικών
ασφάλειας: Η πολιτική θα πρέπει να μην ευνοεί την συνεχή χρήση του ιδίου
κωδικού ασφάλειας. Η συχνότητα με την οποία επιβάλλεται στους χρήστες και στους
χρήστες παρόχου να αλλάζουν κωδικό εξαρτάται από τους
διαχειριστές του συστήματος καθώς και από τη φύση της λειτουργίας του παρόχου διαδικτύου. Πάντως σε
χαρακτηριστικές περιπτώσεις όπως είναι (ενδεικτικά) η αποχώρηση κάποιου χρήστη παρόχου ή η παραβίαση κάποιου λογαριασμού τότε θα πρέπει
άμεσα να λαμβάνει χώρα αλλαγή του αντίστοιχου κωδικού ασφάλειας. Επιπλέον σε
περιπτώσεις ευρείας παραβίασης της ασφάλειας του συστήματος, η οποία ενδέχεται
να περιλαμβάνει και παραβίαση λογαριασμών διαχειριστών του συστήματος, θα
πρέπει να λαμβάνει χώρα αλλαγή όλων των κωδικών ασφάλειας.
(δ) Αδρανοποίηση κωδικού
ασφάλειας: Ως επιπλέον μέτρο ασφάλειας δύναται να επιβληθεί η αδρανοποίηση του
λογαριασμού του χρήστη και του χρήστη παρόχου στην
περίπτωση επαναλαμβανόμενης εισαγωγής κωδικών ασφάλειας (π.χ. μετά από τρεις
συνεχόμενες αποτυχημένες απόπειρες).
6. Οι υπεύθυνοι ασφάλειας του
συστήματος οφείλουν να πραγματοποιούν περιοδικούς ελέγχους προκειμένου να
διαπιστώσουν κατά πόσον οι κωδικοί ασφάλειας είναι συμπαγείς με βάση τους
αντιστοίχους κανόνες της πολιτικής δημιουργίας και διαχείρισης κωδικών
ασφάλειας. Οι έλεγχοι θα περιλαμβάνουν δοκιμές της αντοχής στις μεθόδους
αποκρυπτογράφησης των υφισταμένων κωδικών με αυτοματοποιημένο τρόπο μέσω
καταλλήλων εργαλείων λογισμικού.
7. Εφόσον κατά τη διάρκεια των
περιοδικών ελέγχων διαπιστωθεί η ύπαρξη μη συμπαγών κωδικών ασφάλειας, οι
αντίστοιχοι χρήστες θα υποχρεώνονται να προβούν άμεσα στην αντικατάστασή τους.
Αρθρο 12
Δημιουργία και Διαχείριση κωδικών
ασφάλειας αναφορικά με την πρόσβαση (μέσω Διαδικτύου)από
απόσταση σε εφαρμογές
1. Εφόσον ένας πάροχος
διαδικτύου παρέχει στους χρήστες και χρήστες παρόχου πρόσβαση από απόσταση (μέσω Διαδικτύου)
σε εφαρμογές, θα πρέπει να λαμβάνει επιπλέον μέτρα σε σχέση με τη δημιουργία
και διαχείριση των κωδικών ασφάλειας.
2. Στο βαθμό που είναι τεχνικά
δυνατόν θα πρέπει να υφίσταται μία κοινή αρχιτεκτονική ταυτοποίησης για όλες
τις εφαρμογές στις οποίες παρέχεται πρόσβαση μέσω Διαδικτύου.
Η εν λόγω αρχιτεκτονική είναι προτιμότερο να βασίζεται σε διεθνώς αποδεκτά
πρότυπα (π.χ. RADIUS)
3. Οι υπεύθυνοι ασφάλειας του παρόχου διαδικτύου θα πρέπει να
προβαίνουν σε αποτίμηση κινδύνου αναφορικά με το κατά πόσον μια τέτοια εφαρμογή
καθίσταται ασφαλής μέσω της χρήσης ονόματος χρήστη / κωδικού ασφάλειας ή κατά
πόσον θα πρέπει να χρησιμοποιούνται πρόσθετες τεχνικές ταυτοποίησης.
Χαρακτηριστικό παράδειγμα αποτελούν οι εφαρμογές μέσω των οποίων λαμβάνουν χώρα
οικονομικές συναλλαγές.
4. Η εν λόγω αποτίμηση θα πρέπει
μεταξύ άλλων να παρέχει κατευθύνσεις αναφορικά με τα ακόλουθα:
(α) Κατά πόσον οι εν λόγω
εφαρμογές είναι σχεδιασμένες με βάση την εγκεκριμένη πολιτική για τους κωδικούς
ασφάλειας.
(β) Ποιες εφαρμογές θα πρέπει να
υποστηρίζουν την κρυπτογράφηση του ζεύγους αναγνωριστικών όνομα χρήστη /
κωδικός ασφάλειας κατά την πρόσβαση στην εφαρμογή μέσω της χρήσης καταλλήλου
πρωτοκόλλου βασισμένο σε αλγόριθμο κρυπτογράφησης δημοσίου κλειδιού (π.χ. https).
(γ) Για ποιες εφαρμογές απαιτείται
να παράγεται εκ νέου κωδικός ασφάλειας κάθε φορά που κάποιος χρήστης χρειάζεται
να αποκτήσει πρόσβαση από απόσταση σε αυτές. Σε μια τέτοια περίπτωση θα πρέπει
να προδιαγράφεται η διαδικασία δημιουργίας τέτοιων βραχύβιων κωδικών, π.χ. μέσω
της χρήσης εξειδικευμένων συσκευών που διατίθενται στους χρήστες και στους
χρήστες παρόχου.
5. Στις περιπτώσεις όπου
υφίστανται εφαρμογές οι οποίες υποστηρίζουν αποκρυπτογράφηση δεδομένων με χρήση
ιδιωτικού κλειδιού, οι πολιτικές που ισχύουν για τη διαχείριση των κωδικών
ασφάλειας έχουν εφαρμογή και στη διαχείριση των ιδιωτικών κλειδιών.
Αρθρο 13
Προστασία κωδικών ασφάλειας
1. Οι υπεύθυνοι ασφάλειας του
δικτύου ή του συστήματος θα πρέπει να δίνουν έμφαση στην ενημέρωση των χρηστών
αναφορικά με την πολιτική προστασίας των κωδικών ασφάλειας.
2. Συνιστάται η πολιτική
προστασίας των κωδικών ασφάλειας να είναι καταγεγραμμένη με τη μορφή απλών
κανόνων οι οποίοι θα είναι κατανοητοί από το σύνολο των χρηστών και χρηστών παρόχου έτσι ώστε να μπορούν να τους εφαρμόζουν.
3. Η πολιτική προστασίας των
κωδικών ασφάλειας θα πρέπει να περιλαμβάνει, κατ ελάχιστον, τους ακόλουθους
κανόνες:
(α) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να μοιράζεται των κωδικό ασφάλειας
του με άλλους χρήστες και χρήστες παρόχου εκτός αν ο
λογαριασμός στον οποίο αντιστοιχεί ο εν λόγω κωδικός προορίζεται ρητώς για
πρόσβαση πολλαπλών χρηστών.
(β) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να αποκαλύπτει σε οποιονδήποτε τον
κωδικό ή τους κωδικούς ασφάλειας που του έχουν δοθεί. Η απαγόρευση αυτή
περιλαμβάνει και άτομα που υπό άλλες συνθήκες θεωρούνται έμπιστα όπως π.χ.
προϊσταμένους, υφισταμένους, φίλους και μέλη της οικογένειας του χρήστη και
χρήστη παρόχου.
(γ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να συμπεριλαμβάνει τους κωδικούς
ασφάλειάς του σε μηνύματα ηλεκτρονικού ταχυδρομείου.
(δ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να αναφέρει τους κωδικούς ασφάλειας
του κατά τη διάρκεια τηλεφωνικών συνομιλιών.
(ε) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να καταγράφει τους κωδικούς ασφάλειας
του σε ερωτηματολόγια ή άλλα έγγραφα ακόμα και αν αυτά αποτελούν επίσημα
έγγραφα του παρόχου διαδικτύου.
(στ) Ο χρήστης και χρήστης παρόχου δεν θα πρέπει να χρησιμοποιεί τον κωδικό ασφάλειάς
του προκειμένου να παρέχει πρόσβαση στο σύστημα σε μη εξουσιοδοτημένα άτομα.
(ζ) Ο χρήστης και χρήστης παρόχου οφείλει να απομνημονεύει τον κωδικό ασφάλειας του.
Ως εκ τούτου, δεν θα πρέπει να καταγράφει τον κωδικό ασφάλειας του σε χαρτί ή
άλλο μέσο καταγραφής ιδιαίτερα εφόσον το μέσο καταγραφής βρίσκεται κοντά στον
υπολογιστή του. Σε περίπτωση που, για οποιονδήποτε λόγο, η απομνημόνευση είναι
αδύνατη τότε το μέσο καταγραφής του κωδικού ασφάλειας θα πρέπει να τοποθετείται
σε κάποιον προστατευμένο χώρο (π.χ. κλειδωμένη ντουλάπα)
(η) Ο χρήστης και χρήστης παρόχου οφείλει να αναφέρει στους υπευθύνους ασφάλειας
οποιοδήποτε γεγονός ή ενέργεια υποπέσει στην αντίληψη του σχετικά με την
παραβίαση της ασφάλειας του λογαριασμού του.
4. Η πολιτική προστασίας κωδικών
ασφάλειας θα πρέπει να αναφέρει ρητώς τις επιβαλλόμενες κυρώσεις για τις
περιπτώσεις που διαπιστωθεί παράβαση της εν λόγω πολιτικής εξ υπαιτιότητος του χρήστη και χρήστη παρόχου.
Αρθρο 14
Σκοπός και Αναγκαιότητα της
Πολιτικής
ΚΕΦΑΛΑΙΟ VΙ
ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΠΟΤΡΟΠΗ ΙΩΝ
1. Η Πολιτική Προστασίας και
Αποτροπής Ιών (Anti-virus Policy) περιγράφει τις διαδικασίες αποτροπής, ανίχνευσης
και αντιμετώπισης ιών που απαιτούνται προκειμένου να εξασφαλίζεται στο μέγιστο
δυνατό βαθμό η προστασία του συνόλου του δικτύου του παρόχου
διαδικτύου και των χρηστών του από ιούς.
2. Σε ό,τι αφορά τη διασφάλιση
απορρήτου επικοινωνιών ενός χρήστη και χρήστη παρόχου,
πολλοί ιοί παραβιάζουν το σύστημα ασφάλειας του υπολογιστικού συστήματος και
δημιουργούν αδυναμίες, μέσω των οποίων είναι δυνατόν να εγκατασταθούν
προγράμματα πάσης φύσεως συμπεριλαμβανομένου και εφαρμογών που αποσκοπούν στην:
(α) Καταστροφή διαβαθμισμένων
- απόρρητων πληροφοριών
(β) Υποκλοπή διαβαθμισμένων
- απόρρητων πληροφοριών
(γ) Παρακολούθηση και καταγραφή
των ενεργειών του χρήστη και χρήστη παρόχου
(δ) Υποκλοπή διαβαθμισμένων
- απόρρητων επικοινωνιών
(ε) Αδυναμία πρόσβασης σε διαβαθμισμένες - απόρρητες πληροφορίες
3. Για να επιτευχθεί η προστασία
από τους ιούς, ο πάροχος διαδικτύου,
ο χρήστης και ο χρήστης παρόχου οφείλουν να
ακολουθήσουν συγκεκριμένες διαδικασίες αποτροπής, ανίχνευσης και αντιμετώπισης
των ιών, όπως περιγράφεται στις παραγράφους που ακολουθούν.
4. Ο πάροχος
διαδικτύου είναι υποχρεωμένος να διαθέτει «Πολιτική
Προστασίας Ιών» στην οποία οφείλει να δημοσιεύει όλες τις διαδικασίες
αποτροπής, ανίχνευσης και αντιμετώπισης ιών που εφαρμόζει και είναι σύμφωνες με
τις παραγράφους που ακολουθούν.
Αρθρο 15
Υποχρεώσεις του Παρόχου Διαδικτύου
1. Αποτροπή Ιών από τον πάροχο διαδικτύου: Ο πάροχος διαδικτύου οφείλει να:
(α) Διαθέτει δικτυακό εξοπλισμό ο
οποίος περιορίζει την μετάδοση ιών. Για παράδειγμα, η μετάδοση ορισμένων ιών
είναι δυνατόν να περιοριστεί μέσω χρήσης ειδικών φίλτρων (firewalls)
στη δικτυακή υποδομή του παρόχου διαδικτύου.
Η αναγκαία παραμετροποίηση των ειδικών αυτών φίλτρων πρέπει να εφαρμόζεται
έγκαιρα και να διατηρείται έως ότου ο κίνδυνος από το συγκεκριμένο ιό έχει
περιοριστεί. Ενδεικτικά, συνίσταται η διατήρηση των ειδικών παραμέτρων για δύο
τουλάχιστον εβδομάδες.
(β) Διαθέτει το απαραίτητο
λογισμικό για την προστασία από ιούς όλων των υπηρεσιών και εφαρμογών που
προσφέρει στους χρήστες. Για παράδειγμα, υπηρεσίες όπως το ηλεκτρονικό
ταχυδρομείο (e-mail) πρέπει
να προστατεύονται από εξειδικευμένο λογισμικό (e-mail scanners).
(γ) Εγκαθιστά μονίμως στη μνήμη (memory resident) των
υπολογιστικών συστημάτων λογισμικό προστασίας από ιούς, το οποίο να εξετάζει
αυτομάτως όλα τα εισερχόμενα δεδομένα.
(δ) Εκπαιδεύει και ελέγχει τους
χρήστες παρόχου σε τακτά χρονικά διαστήματα, ώστε να
ακολουθούνται πάντα οι παραπάνω πολιτικές αποτροπής ιών.
(ε) Διατηρεί μια ομάδα ειδικών για
την προστασία από ιούς, η οποία θα φροντίζει να ενημερώνεται σχετικά με την
πιθανότητα επίθεσης από νέους ιούς (με σκοπό την έγκαιρη εγκατάσταση ή/και παραμετροποίηση των απαραίτητων μέσων προστασίας) και
θα επανεξετάζει περιοδικά (τουλάχιστον 2 φορές το χρόνο) την πολιτική
προστασίας ιών.
(στ) Ενημερώνει κι εκπαιδεύει τους
χρήστες και χρήστες παρόχου σχετικά με το πώς μπορούν
να προστατευθούν από τους ιούς.
2. Ανίχνευση Ιών από τον πάροχο διαδικτύου: Ο πάροχος διαδικτύου οφείλει να:
(α) Ανανεώνει τα συστήματα
προστασίας από ιούς (ειδικό λογισμικό και ειδικός δικτυακός εξοπλισμός) ανά
τακτά χρονικά διαστήματα ώστε να μπορούν να αποτρέψουν τη μετάδοση νέων ιών.
Συνίσταται η αυτόματη ενημέρωση των συστημάτων του παρόχου
διαδικτύου ανά δώδεκα (12) ώρες.
(β) Εξασφαλίζει ότι όλα τα αρχεία
που είναι αποθηκευμένα στα συστήματα του παρόχου διαδικτύου και τα οποία είναι πιθανόν να περιλαμβάνουν ιούς
εξετάζονται καθημερινά από προγράμματα ανίχνευσης ιών.
(γ) Ενημερώνει τους χρήστες και
χρήστες παρόχου το δυνατόν συντομότερο σε περιπτώσεις
όπου υπάρχει έξαρση μετάδοσης κάποιου επικίνδυνου ιού. Η ενημέρωση αυτή είναι
δυνατόν να γίνεται με διάφορους τρόπους. Συνίσταται η ενημέρωση να γίνεται μέσω
ηλεκτρονικού ταχυδρομείου, με ταυτόχρονη παρουσίαση του προβλήματος στην
κεντρική σελίδα του δικτυακού του τόπου. Ο πάροχος διαδικτύου πρέπει να δίνει πληροφορίες για την αντιμετώπιση
του ιού παρέχοντας links σε δικτυακούς τόπους μέσω
των οποίων ο χρήστης και ο χρήστης παρόχου μπορεί να
βρει το απαραίτητο λογισμικό για την αντιμετώπιση του ιού.
(δ) Ενημερώνει τους χρήστες και
χρήστες παρόχου σχετικά με περιπτώσεις φάρσας, όπου ο
χρήστης γίνεται συνήθως αποδέκτης ενός email που τον
προειδοποιεί για την ύπαρξη κάποιου υποτιθέμενου ιού στο υπολογιστικό του
σύστημα και τον παροτρύνει να προβεί σε ενέργειες, οι οποίες τελικά προκαλούν
βλάβη στην σωστή λειτουργία του λειτουργικού συστήματος.
3. Αντιμετώπιση Ιών από τον πάροχο διαδικτύου: Ο πάροχος διαδικτύου οφείλει να:
(α) Ορίσει ομάδα αντιμετώπισης
ιών, η οποία θα αναλαμβάνει την ανίχνευση και αφαίρεση όλων των ιών από τα
υπολογιστικά συστήματα του παρόχου διαδικτύου.
(β) Απομονώνει εκτός δικτύου
υπολογιστικά συστήματα στα οποία ανιχνεύθηκε κάποιος ιός. Το σύστημα είναι
απαραίτητο να παραμείνει εκτός δικτύου ωσότου ο ιός αφαιρεθεί ολοκληρωτικά.
(γ) Στην περίπτωση που κάποιος
χρήστης ζητήσει βοήθεια (είτε τηλεφωνικά είτε μέσω άλλου τρόπου επικοινωνίας)
από τον πάροχο διαδικτύου
για την αντιμετώπιση ιών, ο πάροχος διαδικτύου πρέπει να είναι προετοιμασμένος να παραπέμψει
τον χρήστη σε πληροφοριακές ιστοσελίδες και σε εταιρείες που προσφέρουν
αντίστοιχες υπηρεσίες.
Αρθρο 16
Συστάσεις προς τον Χρήστη και
Χρήστη Παρόχου
1. Αποτροπή Ιών: Ο χρήστης και ο
χρήστης παρόχου συνίσταται να:
(α) Αναζητά βοήθεια από τον πάροχο διαδικτύου ή οποιονδήποτε
άλλο οργανισμό μπορεί να βοηθήσει σχετικά με οποιαδήποτε μη φυσιολογική
συμπεριφορά του λειτουργικού του συστήματος ή εφαρμογής.
(β) Έχει εγκατεστημένο μονίμως
στην μνήμη (memory resident)
ειδικό λογισμικό προστασίας από ιούς.
2. Ανίχνευση Ιών: Ο χρήστης και ο
χρήστης παρόχου συνίσταται να:
(α) Χρησιμοποιεί την υπηρεσία
αυτόματης ενημέρωσης του λογισμικού για νέους ιούς τουλάχιστον μια φορά το
μήνα.
(β) Εξετάζει όλα τα αρχεία του
προσωπικού υπολογιστή τουλάχιστον 2 φορές τον μήνα.
3. Αντιμετώπιση Ιών: Ο χρήστης και
ο χρήστης παρόχου συνίσταται να:
(α) Αποσυνδέει το υπολογιστικό του
σύστημα από το δίκτυο μέχρις ότου ο ιός αφαιρεθεί ολοκληρωτικά.
(β) Σε κάθε περίπτωση ο χρήστης
και ο χρήστης παρόχου έχει το δικαίωμα να
επικοινωνήσει με τον πάροχο διαδικτύου
του και να ζητήσει πληροφορίες για την αντιμετώπιση των ιών. Ο πάροχος διαδικτύου σε αυτή την
περίπτωση είναι υποχρεωμένος να παρέχει βοήθεια στο χρήστη και στο χρήστη παρόχου παραπέμποντας τον σε αντίστοιχες ιστοσελίδες ή και
σε εταιρείες που προσφέρουν αντίστοιχες υπηρεσίες.
4. Υπενθυμίζεται ότι η σκόπιμη
παραγωγή και μετάδοση ιών από συγκεκριμένο άτομο φέρει βαριές κυρώσεις μέσω της
είδη υπάρχουσας νομοθεσίας.
Αρθρο 17
Σκοπός και Εφαρμογή της Πολιτικής
ΚΕΦΑΛΑΙΟ VII
ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΑΡΟΧΟΥ ΥΠΗΡΕΣΙΑΣ ΕΦΑΡΜΟΓΗΣ (APPLICATION
SERVICE PROVIDER)
1. Η πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής ορίζει το σύνολο των εγγυήσεων
που οφείλει να λαμβάνει ο πάροχος διαδικτύου
από τον πάροχο υπηρεσίας εφαρμογής, προκειμένου να
εξασφαλιστεί το απόρρητο των επικοινωνιών των χρηστών. Η πολιτική αυτή ισχύει
σε περίπτωση που ο πάροχος διαδικτύου
και ο πάροχος υπηρεσίας εφαρμογής έχουν συμβατική
σχέση, ανεξαρτήτως της τοποθεσίας όπου φιλοξενείται η υποδομή που υποστηρίζει
τις εν λόγω υπηρεσίες και εφαρμογές.
2. Ο πάροχος
διαδικτύου είναι υποχρεωμένος να διαθέτει και να
εφαρμόζει πολιτική ασφάλειας παρόχου υπηρεσίας
εφαρμογής, η οποία να διασφαλίζει το απόρρητο των επικοινωνιών των χρηστών και
να είναι σύμφωνη με τις παραγράφους που ακολουθούν.
3. Η ανάθεση μιας υπηρεσίας σε
κάποιον πάροχο υπηρεσίας εφαρμογής πρέπει να γίνεται
ύστερα από γραπτή έγκριση του Νομικού Εκπροσώπου του παρόχου
διαδικτύου.
4. Ο πάροχος
διαδικτύου οφείλει να ελέγχει διεξοδικά κατά πόσο ο πάροχος υπηρεσίας εφαρμογής δύναται να εφαρμόσει την
πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής πριν
την ανάθεση της υπηρεσίας και κατά τη διάρκεια λειτουργίας της υπηρεσίας. Ο πάροχος διαδικτύου είναι ο
τελικός υπεύθυνος για την εφαρμογή της πολιτικής αυτής από τον πάροχο υπηρεσίας εφαρμογής.
5. Υπεύθυνος για τον ορισμό,
έλεγχο εφαρμογής και οποιαδήποτε αλλαγή της πολιτικής ασφάλειας παρόχου υπηρεσίας εφαρμογής ορίζεται ο Υπεύθυνος Ασφάλειας
του παρόχου διαδικτύου.
6. Ο πάροχος
διαδικτύου επιτρέπεται να παραδίδει απόρρητα δεδομένα
χρήστη στον πάροχο υπηρεσίας εφαρμογής μόνο εφόσον ο
χρήστης έχει λάβει σαφείς πληροφορίες για τον σκοπό της επεξεργασίας, και πάντα
με τη συγκατάθεση αυτού. Αυτό βέβαια δεν ισχύει στην περίπτωση που οι ενέργειες
αυτές γίνονται για την εξυπηρέτηση της υπηρεσίας που έχει ρητά ζητήσει ο
χρήστης.
7. Ο πάροχος
διαδικτύου έχει το δικαίωμα να εξετάζει ανά τακτά
χρονικά διαστήματα το κατά πόσο ο πάροχος υπηρεσίας
εφαρμογής εφαρμόζει την πολιτική ασφάλειας παρόχου
υπηρεσίας εφαρμογής. Αν ο έλεγχος απαιτεί φυσική παρουσία στις εγκαταστάσεις
του παρόχου υπηρεσίας εφαρμογής, ο πάροχος διαδικτύου οφείλει να
ενημερώσει τον πάροχο υπηρεσίας εφαρμογής τουλάχιστον
24 ώρες πριν, ειδάλλως δεν απαιτείται καμία προειδοποίηση.
8. Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να καταθέσει στον πάροχο διαδικτύου το πλήρες διάγραμμα δικτύου που χρησιμοποιεί για
την υποστήριξη της εν λόγω υπηρεσίας, καθώς και τις τυχόν διασυνδέσεις του
δικτύου αυτού με άλλα δίκτυα του παρόχου υπηρεσίας
εφαρμογής και του παρόχου διαδικτύου.
Θα πρέπει επίσης να κατατίθεται το πλήρες διάγραμμα ροής που αφορά στα απόρρητα
δεδομένα επικοινωνιών, συμπεριλαμβανομένου των μέσων αποθήκευσης, εφαρμογών
επεξεργασίας και μέτρων ασφάλειας των δεδομένων αυτών.
9. Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να διακόπτει άμεσα τη λειτουργία της υπηρεσίας σε
περίπτωση που εντοπιστεί οποιοδήποτε θέμα ασφάλειας των απόρρητων δεδομένων επικοινωνίας.
10. Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να ενημερώνει τον Υπεύθυνο Ασφάλειας του παρόχου διαδικτύου σχετικά με όλα
τα συμβάντα ασφάλειας που αφορούν στα απόρρητα δεδομένα επικοινωνιών.
11. Σε ό,τι αφορά θέματα πρόσβασης
στις εφαρμογές λογισμικού, την υλική υποδομή και το δίκτυο του παρόχου υπηρεσίας εφαρμογής, η πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής πρέπει να περιλαμβάνει
τουλάχιστον τα παρακάτω:
(α) Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να εφαρμόζει την Πολιτική Πρόσβασης του παρόχου διαδικτύου ως προς τα
συστήματα αποθήκευσης, επεξεργασίας και μεταφοράς των απόρρητων δεδομένων
επικοινωνιών.
(β) Ο πάροχος
διαδικτύου έχει τον τελικό λόγο σε θέματα πρόσβασης
(φυσικής και μη) στα συστήματα αποθήκευσης, επεξεργασίας και μεταφοράς των απόρρητων
δεδομένων επικοινωνιών.
(γ) Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να γνωστοποιεί στον πάροχο
διαδικτύου το προσωπικό το οποίο θα έχει φυσική και
μη πρόσβαση στα συστήματα αποθήκευσης, επεξεργασίας και μεταφοράς των απόρρητων
δεδομένων επικοινωνιών.
12. Ο πάροχος
υπηρεσίας εφαρμογής υποχρεούται να χρησιμοποιεί διαδικασίες και μεθόδους
κρυπτογράφησης των απόρρητων δεδομένων επικοινωνίας, όπως αυτές ορίζονται στην
Πολιτική Χρήσης Κρυπτογραφικών Αλγορίθμων του παρόχου
διαδικτύου.
13. Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να εφαρμόζει την Πολιτική Κωδικών (Password Policy) του παρόχου διαδικτύου ως προς τα
συστήματα αποθήκευσης, επεξεργασίας και μεταφοράς των απόρρητων δεδομένων
επικοινωνιών.
14. Ο πάροχος
υπηρεσίας εφαρμογής οφείλει να ενημερώνει εγγράφως τον πάροχο
διαδικτύου ως προς τις διαδικασίες ελέγχου ασφάλειας
που ακολουθεί σχετικά με την επαλήθευση ταυτότητας (authentication),
εξουσιοδότηση (authorization) και αποκάλυψη κενών
ασφάλειας των εφαρμογών παγκόσμιου ιστού (WWW).
15. Ο πάροχος
διαδικτύου οφείλει να έχει την έγγραφη διαβεβαίωση
του παρόχου υπηρεσίας εφαρμογής σχετικά με την
αποδοχή και πλήρη εφαρμογή των μέτρων διασφάλισης του απορρήτου των
επικοινωνιών που περιγράφονται στις προηγούμενες παραγράφους.
16. Η πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής συνίσταται να ορίζει χρηματικές
ποινές, ακόμα και την κατάργηση του συμβολαίου, για την περίπτωση κατά την
οποία ο πάροχος υπηρεσίας εφαρμογής παραβεί τα μέτρα
διασφάλισης του απορρήτου των επικοινωνιών.
Αρθρο 18
Σύμβαση υπεργολαβίας με σκοπό την
διασφάλιση απορρήτου
ΚΕΦΑΛΑΙΟ VIII
ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΑΣΗΣ ΥΠΕΡΓΟΛΑΒΙΑΣ
1. Σε κάθε περίπτωση όπου ο πάροχος διαδικτύου προβαίνει σε
συμφωνία με τον εκάστοτε υπεργολάβο για την ανάληψη έργου το οποίο απαιτεί
πρόσβαση σε εξοπλισμό ή λογισμικό το οποίο περιέχει ή παρέχει πρόσβαση σε διαβαθμισμένα, ευαίσθητα ή απόρρητα δεδομένα, ο πάροχος διαδικτύου είναι
υποχρεωμένος να διαφυλάσσει το απόρρητο των πληροφοριών.
2. Για την διασφάλιση του
απορρήτου υπό συνθήκες υπεργολαβίας απαιτείται η υπογραφή συμβάσεως προστασίας
του απορρήτου των πληροφοριών. Ιδιαίτερη προσοχή πρέπει να δίνεται στη
διασφάλιση του απορρήτου των επικοινωνιών, σε περιπτώσεις που απαιτείται
πρόσβαση από τον υπεργολάβο σε εξοπλισμό ή λογισμικό το οποίο χρησιμοποιείται
στις επικοινωνίες ή αποθηκεύει πληροφορίες επικοινωνιών.
3. Η σύμβαση μεταξύ παρόχου διαδικτύου και
υπεργολάβου πρέπει να περιέχει τουλάχιστον τις παρακάτω παραγράφους.
4. Ο υπεργολάβος σε καμία
περίπτωση δεν έχει το δικαίωμα να προβεί στην καταπάτηση του απορρήτου όπως
αυτό περιγράφεται και διαφυλάσσεται από την είδη υπάρχουσα πολιτική ασφάλειας
του παρόχου διαδικτύου.
5. Ο υπεργολάβος έχει λάβει γνώση
της υπάρχουσας πολιτικής προστασίας του απορρήτου των τηλεπικοινωνιών του παρόχου διαδικτύου, και
ενυπόγραφα συμφωνεί με τους όρους, προϋποθέσεις και περιορισμούς που
επιβάλλονται από την πολιτική αυτή.
6. Το εκάστοτε πρόσωπο το οποίο εν
τέλει θα έχει πρόσβαση στον ευαίσθητο εξοπλισμό / λογισμικό έχει λάβει ειδική
άδεια από τον πάροχο διαδικτύου
(και όχι τον υπεργολάβο) αφού πρώτα έχει ενημερωθεί, συμφωνήσει και
συνυπογράψει την σύμβαση διασφάλισης απορρήτου.
7. Ο υπεργολάβος πρέπει να έχει
την άδεια του παρόχου διαδικτύου
για να εκχωρήσει δικαιώματα χρήσης του ευαίσθητου εξοπλισμού σε τρίτους
(εργολάβους). Κατά την εκάστοτε εκχώρηση δικαιωμάτων σε τρίτους επιβάλλεται να
διατηρείται το ίδιο επίπεδο διασφάλισης του απορρήτου και να υπογράφονται
αντίστοιχα συμφωνητικά μεταξύ των τρίτων και του παρόχου
διαδικτύου. Ο υπεργολάβος σε καμιά περίπτωση δεν
είναι εξουσιοδοτημένος να παραχωρήσει αυτός δικαιώματα χρήσης. Πάντοτε η
εκχώρηση δικαιωμάτων γίνεται από τον κύριο του έργου, δηλαδή τον πάροχο διαδικτύου και μόνο.
8. Ο πάροχος
διαδικτύου ορίζει συγκεκριμένο φυσικό πρόσωπο που
είναι υπεύθυνο για την εποπτεία του υπεργολάβου καθώς και των τυχόν εργολάβων
σε ζητήματα διασφάλισης απορρήτου, ο οποίος ονομάζεται Επόπτης Ασφάλειας.
9. Τυχόν παραβίαση των κανόνων από
τον υπεργολάβο χρίζει άμεσης καταγγελίας στην ΑΔΑΕ
από τον καθορισμένο Επόπτη Ασφάλειας.
Αρθρο 19
Γενικά
ΚΕΦΑΛΑΙΟ IX
ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ
1. Οι πολιτικές που ορίστηκαν στον
κανονισμό αυτό αποτελούν μέρος της γενικότερης Πολιτικής Ασφάλειας του παρόχου διαδικτύου, όπως αυτή
ορίστηκε στον «Κανονισμό για την Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρεσίες και
Εφαρμογές».
2. Κατά συνέπεια, η ΑΔΑΕ στα πλαίσια ελέγχου και εποπτείας που καθορίστηκαν
στον «Κανονισμό για την Διασφάλιση του Απορρήτου στις Διαδικτυακές
Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές», μπορεί ανά πάσα στιγμή
να προβεί σε έλεγχο του καθορισμού, επιβολής και σωστής λειτουργίας των
πολιτικών που ορίστηκαν στον κανονισμό αυτό.
3. Σχετικά με τις λεπτομερείς
διαδικασίες διενέργειας του ελέγχου καθώς και τις προβλεπόμενες διοικητικές
κυρώσεις ισχύουν, κατ αναλογία, τα αναγραφόμενα στον «Κανονισμό για την
Διασφάλιση του Απορρήτου στις Διαδικτυακές
Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές».
Αρθρο 20
Πολιτική Χρήσης Κρυπτογραφικών
Αλγορίθμων
1. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να ζητήσει πλήρη ενημέρωση από τους παρόχους
διαδικτύου και από τους παρόχους
υπηρεσίας εφαρμογής σχετικά με την τεχνική ή αλγόριθμο κρυπτογράφησης που
χρησιμοποιεί στα συστήματα μετάδοσης ή ανά πεδίο εφαρμογής καθώς και το μήκος
του κλειδιού.
2. Η ΑΔΑΕ
μπορεί να κάνει αυτοψία για να διαπιστώσει αν όντως εφαρμόζονται οι τεχνικές
κρυπτογράφησης όπως δηλώνονται από τους πάροχους διαδικτύου και τους πάροχους
υπηρεσίας εφαρμογής.
Αρθρο 21
Πολιτική Προστασίας Κωδικών
Ασφάλειας
1. Η ΑΔΑΕ
δύναται ανά πάσα στιγμή να διενεργήσει έλεγχο σε οποιονδήποτε φορέα εμπίπτει
στη δικαιοδοσία της αναφορικά με την πολιτική κωδικών ασφάλειας.
2. Ο υπό έλεγχο φορέας οφείλει να
παραδώσει στα στελέχη της ΑΔΑΕ όλα τα έντυπα στα
οποία έχουν καταγραφεί οι πολιτικές κωδικών ασφάλειας καθώς και τυχόν σχετικό
συνοδευτικό υλικό, π.χ. έγγραφα με οδηγίες και φόρμες που δίδονται στους
χρήστες.
Αρθρο 22
Πολιτική Προστασίας από Ιούς
1. Η ΑΔΑΕ
μπορεί να κάνει αυτοψία για να διαπιστώσει αν όντως ο πάροχος
εφαρμόζει Πολιτική Προστασίας από Ιούς, διαθέτει απαραίτητα συστήματα
προστασίας από ιούς (ειδικό λογισμικό και ειδικός δικτυακός εξοπλισμός) και
ακολουθεί τις διαδικασίες που περιγράφονται στις αντίστοιχες διατάξεις του
παρόντος.
2. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην Πολιτική
Προστασίας από Ιούς, έτσι ώστε να είναι σε πλήρη αντιστοιχία με τις εκάστοτε
νέες τεχνολογίες προσβολής και προστασίας των υπολογιστικών συστημάτων από
ιούς. Μετά από κάθε τέτοιου είδους τροποποίηση, ο πάροχος
οφείλει να προσαρμόζει την Πολιτική Προστασίας από Ιούς αναλόγως, εντός της
προθεσμίας που θα ορίζεται από το κείμενο τροποποίησης.
Αρθρο 23
Πολιτική Ασφάλειας Παρόχου Υπηρεσίας Εφαρμογής
1. Η ΑΔΑΕ
μπορεί να κάνει αυτοψία για να διαπιστώσει αν όντως ο πάροχος
διαδικτύου διαθέτει και εφαρμόζει πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής σύμφωνα με τις αντίστοιχες
διατάξεις του παρόντος.
2. Η ΑΔΑΕ
μπορεί να κάνει αυτοψία για να διαπιστώσει αν ο πάροχος
υπηρεσίας εφαρμογής εφαρμόζει την πολιτική ασφαλείας παρόχου
υπηρεσίας εφαρμογής σύμφωνα με τις αντίστοιχες διατάξεις του παρόντος.
Υπενθυμίζεται ότι ο πάροχος διαδικτύου
είναι ο τελικός υπεύθυνος για την εφαρμογή και εποπτεία της πολιτικής αυτής από
τον πάροχο υπηρεσίας εφαρμογής.
3. Η ΑΔΑΕ
μπορεί ανά πάσα στιγμή να τροποποιήσει τις διατάξεις που αφορούν στην πολιτική
ασφάλειας παρόχου υπηρεσίας εφαρμογής. Μετά από κάθε
τέτοιου είδους τροποποίηση, ο πάροχος διαδικτύου οφείλει να προσαρμόζει την πολιτική ασφάλειας παρόχου υπηρεσίας εφαρμογής και να ενημερώνει τον πάροχο υπηρεσίας εφαρμογής αναλόγως. Τόσο ο πάροχος διαδικτύου, όσο και ο πάροχος υπηρεσίας εφαρμογής οφείλουν να ολοκληρώνουν τις
αλλαγές που απαιτούνται εντός της προθεσμίας που θα ορίζεται από το κείμενο
τροποποίησης.
Αρθρο 24
Αρχές Πιστοποίησης
1. Σκοπός των αρχών πιστοποίησης
είναι να επαληθεύουν την αντιστοιχία μιας οντότητας (π.χ. ενός φυσικού
προσώπου) με το δημόσιο κλειδί της. Η επαλήθευση γίνεται με την έκδοση των
λεγόμενων ψηφιακών πιστοποιητικών.
2. Οι οργανισμοί που μπορούν να
δραστηριοποιηθούν στην Ελλάδα ως Αρχές Πιστοποίησης είναι υπό τον έλεγχο της ΑΔΑΕ. Η ΑΔΑΕ θα επιβλέψει ότι η
αρχή πιστοποίησης είναι σύμφωνη με την υπάρχουσα νομοθεσία.
3. Η ΑΔΑΕ
όποτε κρίνει απαραίτητο θα εκδίδει τεχνικούς ή μη κανονισμούς και συστάσεις που
αφορούν τη λειτουργία των αρχών πιστοποίησης με κριτήριο την αξιοπιστία και την
ασφαλή λειτουργία αυτών.
Αρθρο 25
Μεταβατικές Διατάξεις
ΚΕΦΑΛΑΙΟ X
ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
1. Όλοι οι πάροχοι
διαδικτύου υποχρεούνται:
(α) Να ενημερώσουν ως προς την
εφαρμοζόμενη πολιτική ασφάλειας την ΑΔΑΕ εντός έξι
(6) μηνών από τη δημοσίευση του παρόντος.
(β) Να εφαρμόζουν την εγκριθείσα
από την ΑΔΑΕ πολιτική ασφάλειας εντός ενός (1) έτους
από την έγκρισή της.
Αρθρο 26
Έναρξη Ισχύος
ΚΕΦΑΛΑΙΟ XI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Ο παρών Κανονισμός τίθεται σε ισχύ
από την ημερομηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως.
Ο παρών Κανονισμός να δημοσιευθεί
στην Εφημερίδα της Κυβερνήσεως.