Szemelvények a könyvből
8.5.1 Szolgáltatási szabályzat
Az elektronikus aláírás törvény szerint a "szolgáltatási szabályzat a szolgáltató
tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat
tartalmazó szabályzat", míg egy másik definíció úgy fogalmaz, hogy a "szolgáltatási
szabályzat azoknak a gyakorlatoknak a nyilatkozatként megfogalmazott dokumentuma,
melyeket a hitelesítésszolgáltató a tanúsítványok kibocsátása és kezelése folyamán
alkalmaz".
Mindkét meghatározás jó, de legjobb, ha a szolgáltatási szabályzat céljából indulunk ki: a szolgáltatási szabályzat célja, hogy összefogja azokat a szabályzatokat és információkat, melyeket a hitelesítésszolgáltatóval valamilyen módon kapcsolatba kerülő feleknek (elsősorban az aláíróknak és az aláírás-ellenőrzőknek) tudni érdemes. Mint ilyen, a szolgáltató működésének átláthatóságát biztosítja, s lehetővé teszi a felhasználók számára, hogy megállapítsák, annak gyakorlata, illetve adott tanúsítványosztálya és -típusa mennyiben felel meg az elvárásaiknak. A szolgáltatási szabályzat ellenőrzésével a tanúsítvány elfogadóinak egyértelműen meg kell tudni állapítani a tanúsítvány kezelésének módját, az általa garantált biztonság mértékét és az erre vonatkozó technikai, üzleti és pénzügyi garanciákat, jogi felelősségvállalásokat.
A szolgáltatási szabályzat éppen ezért egy rettentő édes-savanyú-keserű-csípős vegyes saláta, mely részben a szolgáltató önálló deklarációja, részben törvényi szabályozások és kötelezően előírt vagy önkéntesen alkalmazott szabványügyi előírások együttese, és részben magánjogi szerződés formáját ölti a szolgáltatóra és felhasználókra vonatkozó előírások felsorolásával (a jogi rész magyar viszonylatban kevésbé hangsúlyos az általános szerződési feltételek mellett). Így különlegesen pikáns keveréke biztonsági, kriptográfiai, informatikai, jogi, üzleti és egyéb kinyilatkoztatásoknak.
A szolgáltatási szabályzat tartalma meghatározza, hogyan épülnek fel, és miképp működnek az egyes (közös struktúrába szerveződő) hitelesítő- és regisztrációs egységek, bemutatja logikai és fizikai kapcsolatukat, az egyes modulok feladatait, kommunikációját, az azonosítást és egyéb biztonsági funkciókat. Szabályozza a kulcsmenedzsmenttel és a tanúsítványok kezelésével kapcsolatos kérdéseket, meghatározza a szolgáltató üzleti és jogi viszonyát ügyfeleivel és az érintett felekkel kapcsolatban. Leírja a szolgáltató és a tanúsítványt felhasználó felek kötetezettségeit és felelősségi körét, a felelősség mértékét, megosztásának, korlátozásának módját, ismerteti a szolgáltató pénzügyi felelősségvállalását és a kártérítési kötelezettség körülményeit. Felsorolja azokat a hitelesítési szabályzatokat és a bennük definiált tanúsítványosztályokat és -típusokat, melyek kezelését tárgyalja.