Elering AS liitumisleping Riigi autentimisteenusega liitumiseks

Liitumisleping nr 4.2-13/24/8-1

Riigi Infosüsteemi Amet (edaspidi RIA), registreerimisnumber 70006317, asukoht Pärnu mnt

139a, Tallinn 15169, keda esindab seaduse ja põhimääruse alusel peadirektor Joonas Heiter,

ja

Elering AS (edaspidi klient), registreerimisnumber 11022625, asukoht Kadaka tee 42, 12915

Tallinn, keda esindab esindusõiguse alusel juhatuse liige Kalle Kilk,

keda nimetatakse edaspidi pool või koos pooled, on kokku leppinud RIA poolt kliendile

Riigi autentimisteenuse (TARA) osutamises teenuse üldtingimustes (lisa 1), Riigi

autentimisteenuse teenustaseme tingimustes (lisa 2) ja RIA autentimisteenuste

andmekaitsetingimustes (lisa 3) sätestatud tingimustel.

Liitumislepingule alla kirjutamisega kinnitab klient, et on teenuse tingimustega tutvunud ning

kohustub neid täitma.

Liitumisleping jõustub hetkel, kui klient mõlemad pooled on sellele allkirjastanud ja kehtib

tähtajatult.

Riigi Infosüsteemi Amet Elering AS Nimi: Joonas Heiter Kalle Kilk

Reg.nr: 70006317 11022625

Aadress: Pärnu mnt 139a, 15169 Kadaka tee 42, 12915 Tallinn

Tallinn

Tel.nr: 663 0200 715 1222

E-post: [email protected] [email protected]

Kontakt: Kasutajatugi, [email protected]

Kontaktisik: Mart Lindma Aigar Mändmaa

Kontaktisiku e-post: [email protected] [email protected]

Kontaktisiku telefon: 584 73130 8100 0666

Kasutajatoe telefon: 663 0230

/digitaalselt allkirjastatud/

1 (5)

Riigi autentimisteenuse üldtingimused keskvalitsuse juriidilisele isikule 1 ÜLDSÄTTED 1.1 Riigi Infosüsteemi Amet (edaspidi RIA) osutab põhimäärusest tuleneva haldusülesandena

Riigi autentimisteenust (edaspidi ka TARA), mis võimaldab teenuse kliendil kasutada TARA füüsilise isiku autentimiseks.

1.2 RIA osutab TARA teenust valitsussektori asutustele vastavalt Rahandusministeeriumi kodulehel toodud tabelile1 (v.a Muu avalik sektor). 1.2.1 Ülekaaluka avaliku huvi esinemise korral võib RIA teenust osutada ka muule isikule.

1.3 RIA osutab TARA liidest käesolevas dokumendis, Riigi autentimisteenuse teenustaseme tingimustes, RIA autentimisteenuste andmekaitsetingimustes (edaspidi koos nimetatud teenuse tingimused) ja liitumislepingus kirjeldatud tingimustel.

2 MÕISTED Käesolevates tingimustes kasutatakse mõisteid järgmises tähenduses: Riigi autentimisteenus (TARA) RIA poolt pakutav tervikteenus füüsilise isiku

autentimiseks. TARA on RIA arendatud ja hallatav platvorm, mis on liidestatud kolmanda isiku poolt pakutavate autentimismeetoditega ning teostab autentimiseks vajalikke (andme)päringuid;

RelyingPartyUUID Smart-ID ja mobiil-ID teenusele ligipääsuks vajalik tunnus, mida haldab ja väljastab kolmas osapool (autentimispäringuid pakkuv asutus), kellega klient lepingu alusel TARA teenuse kaudu tehtud päringud arveldab.

autentimispäring autentimistoimingu sooritamiseks RIA poolt kolmandale

osapoolele tehtav sertifikaadi kehtivuse või isikuandmete kontrollpäring;

klient teenusega liituda sooviv või liitunud asutus või isik; klientrakendus liidestatav kliendi infosüsteem, rakendus või teenus; teenuse tingimused käesolevad üldtingimused, Riigi autentimisteenuse

teenustaseme tingimused ja RIA autentimisteenuste andmekaitsetingimused kogumis;

kokkulepe liitumisleping koos teenuse tingimustega. 3 LIITUMINE 3.1 Teenuse toodangukeskkonnas kasutamise eelduseks on: 3.1.1 teenuse testimine vastu RIA TARA teenuse demokeskkonda ja kinnitus eduka testimise

kohta toodangukeskkonna liitumistaotluses; 3.1.2 Kliendil on kolmanda osapoolega (autentimispäringuid pakkuv asutus) sõlmitud vastav

teenusleping ning kliendile on omistatud RIA TARA teenuse kasutamiseks uus RPUUID tunnus (relyingPartyUUID).

3.2 Teenuse kasutamiseks:

2 (5)

3.2.1 Klient edastab RIA e-posti aadressile [email protected]: 3.2.1.1 krüpteeritult RPUUID tunnuse (relyingPartyUUID), millega seotakse relyingPartyName "RIA"; 3.2.1.2 digitaalallkirjastatud TARA toodangukeskkonnaga liitumistaotluse.

3.2.2 RIA registreerib liitumistaotluse ning vajadusel küsib kliendilt täiendavat informatsiooni teenuse osutamiseks.

3.2.3 Liitumistaotluse rahuldamise korral saadab RIA kliendile liitumislepingu, mille klient allkirjastab ja saadab RIA-le tagasi e-posti aadressile [email protected];

3.2.4 Liitumisleping loetakse sõlmituks, kui RIA on kliendi poolt allkirjastatud liitumislepingu kätte saanud ja registreerinud ning edastanud kliendile teenuse kasutamiseks klientrakenduse identifikaatori ja salasõna.

3.2.5 Teenus on RIA poolt avatud kasutatamiseks peale klientrakenduse identifikaatori ja salasõna edastamist kliendile.

4 POOLTE ÕIGUSED JA KOHUSTUSED 4.1 Kliendil on õigus: 4.1.1 kasutada teenust õigusaktides ja kokkuleppes sätestatud tingimustel; 4.1.2 õigus pöörduda teenusega seotud küsimustega RIA kasutajatoe poole; 4.1.3 nõuda teenuse osutamist vastavalt teenuse tingimustele; 4.1.4 tutvuda teenuse osutamise tehnilise lahendusega; 4.1.5 loobuda teenuse kasutamisest teatades loobumise soovist RIA kasutajatoele 7

kalendripäeva ette. 4.2 Kliendil on kohustus: 4.2.1 kasutada teenust üksnes liitumistaotluses märgitud eesmärgil ning sihipäraselt; 4.2.2 mitte jagada teenust edasi RIA eelneva kirjaliku nõusolekuta kolmandatele isikutele; 4.2.3 mitte edastada klientrakenduse salasõna kolmandatele isikutele, rakendada asjakohaseid

turvameetmeid salasõna kaitseks ja teavitada RIA-t viivitamatult salasõna tõenäolisest või tegelikust lekkimisest;

4.2.4 teha kõik endast olenev, et mitte kahjustada Riigi autentimisteenust ning tagada kliendi kontrolli all olevate tehniliste lahenduste ja süsteemide turvalisus;

4.2.5 teavitada RIA kasutajatuge 48 tundi ette planeeritavatest muudatustest, mis võivad olla olulised teenuse kasutamise seisukohalt, sh toovad kaasa autentimispäringute mahu märkimisväärse kasvu;

4.2.6 teavitada RIA kasutajatuge esimesel võimalusel kontaktandmete ja organisatsioonilise vormi muutusest;

4.2.7 tagada vajalikud tegevused lähtuvalt RIA poolt saadetavatele teavitustele teenuse uuenduste, muudatuste, hooldustööde ja tehniliste seadistuste kohta, mis saadetakse kliendi kontaktisiku e-posti aadressile;

4.2.8 hüvitada RIA-le kokkuleppe rikkumisega tekitatud otsene varaline kahju.

4.3 RIA-l on õigus: 4.3.1 teenusesse lisada, eemaldada ja ajutiselt peatada autentimismeetodeid. RIA teavitab

klienti autentimismeetodi peatamisest või eemaldamisest ette vähemalt 2 kuud, v.a kui autentimismeetodi eemaldamine või peatamine on tingitud turvalisuse tagamise vajadusest;

4.3.2 seirata ja analüüsida teenuse kasutamist statistilistel, kvaliteedi ja turvalisuse tagamise eesmärkidel;

4.3.3 logida ja säilitada klientrakenduse logi ning avaldada klientrakenduse turvalogi seaduses ettenähtud juhtudel;

4.3.4 teha märkusi teenuse mittesihtotstarbelise kasutamise kohta;

3 (5)

4.3.5 piirata teenuse osutamist teenuse tingimustes ja õigusaktides sätestatud juhtudel, kui kliendi kontaktisikut on e-posti teel teavitatud enne teenuse osutamise piiramist vähemalt 5 (viis) tööpäeva ette. RIA-l on õigus peatada teenuse osutamine viivitamatult, kui seatakse ohtu teenuse käideldavus või turvalisus.

4.4 RIA-l on kohustus: 4.4.1 osutada TARA teenust vastavalt Riigi autentimisteenuse toodangukeskkonna

teenustaseme tingimustes ja käesolevas lepingus sätestatule; 4.4.2 luua võimalus teenuse kasutamiseks peale liitumislepingu sõlmimist.

4.5 Mõlemal poolel on kohustus: 4.5.1 esimesel võimalusel teatada teisele poolele kõigist asjaoludest, mis kahjustasid või

võivad kahjustada teise poole infosüsteeme, samuti asjaoludest, mis võivad olla vajalikud tehniliste lahenduste ja süsteemide turvaliseks töötamiseks, hoolduseks või rikke kõrvaldamiseks;

4.5.2 teist poolt mõjutava rikke ilmnemisel asuma koheselt riket kõrvaldama ja informeerima rikkest ja selle kestvusest teist poolt.

5 TEAVITUSTE VORM 5.1 Pooled saadavad kõik teated kirjalikult, erandiks on teavitamine planeerimata katkestuse

korral, kus võidakse kasutada teavitamist telefoni teel. 5.2 Klientrakenduste lisamiseks esitab klient liitumistaotluse, klientrakenduse eelmaldamiseks

saadab klient e-postiga teate RIA kasutajatoele. 5.3 Klient saadab kõik teenuse osutamist puudutavad teated kliendi kontaktisiku vahendusel

RIA kasutajatoele. Teiste isikute poolt saadetud nimetatud teated ei ole RIA-le täitmiseks kohustuslikud, v.a juhul, kui klient on teist isikut selleks volitanud ning RIA-t mõistliku aja jooksul eelnevalt teavitanud.

5.4 Kliendi kontaktisik edastab teated kasutajatoe kontaktidele: 5.4.1 e-posti aadressile: [email protected]; 5.4.2 telefonile: 663 0230; 5.5 Üksnes klienti puudutavad teated saadab RIA kliendi kontaktisiku e-posti aadressile. 6 TASU JA ARVELDUSED 6.1 Teenusega liitumine on kliendile tasuta. 6.2 Kliendil tuleb katta: 6.2.1 enda infosüsteemi arendamise ja liidestamise kulud; 6.2.2 enda infosüsteemi komponentide soetamise ja pidamisega seotud kulud; 6.2.3 kulu edukate autentimispäringute eest, mis on kokku lepitud kliendi ja

autentimispäringuid pakkuva asutuse vahel.

7 AVALIKU TEABE JA ISIKUANDMETE TÖÖTLEMINE 7.1 Kuivõrd RIA osutab TARA teenust seadusest ja põhimäärusest tuleneva haldusülesandena,

on selle ülesande raames tekkiv teave avalik teave, millele seatakse juurdepääsupiirangud seaduses sätestatud alustel ja korras.

7.2 RIA töötleb TARA teenuse osutamise raames isikuandmeid isikusamasuse tuvastamiseks kliendi tarbeks, edastades autentimise tulemuse kliendile. Autentimise raames töödeldavate isikuandmete osas on klient isikuandmete vastutav töötleja ning RIA volitatud töötleja.

7.3 RIA säilitab autentimistoimingu, sh autentimiseks vajalike päringute logisid ning on selles osas isikuandmete vastutav töötleja.

7.4 TARA teenuse raames töödeldavate isikuandmete koosseis ja andmete säilitamise tähtajad on sätestatud TARA andmekaitsetingimustes.

4 (5)

7.5 Pooled kohustuvad nõuetekohaselt määrama ja tähistama juurdepääsupiiranguga teabe (eeskätt isikuandmed ja turvaandmed, näiteks info turvameetmete, turvaintsidendi või selle ohu kohta või info tehnoloogiliste lahenduste kohta, mille avalikuks tuleks ohustaks infosüsteemi turvalisust).

7.6 Pool teavitab teist poolt viivitamatult, kui on kokkuleppe täitmise käigus saanud nõuetekohaselt märgistamata teabe, mis peaks seaduse järgi olema juurdepääsupiiranguga. Sellist teavet kohustub pool hoidma saladuses sõltumata nõuetekohase märgistuse puudumisest.

7.7 Pooled kohustuvad hoidma saladuses juurdepääsupiiranguga teavet ning töötlema ja avaldama seda üksnes seaduses sätestatud alustel ja korras.

7.8 Saladuses hoidmise kohustus (konfidentsiaalsuskohustus) kehtib vastavalt juurdepääsupiirangu tähtaegadele sõltumata kokkuleppe kehtivusest või lõppemisest.

7.9 Pooled edastavad juurdepääsupiiranguga teavet ainult nendele töötajatele, kes on teenusega otseselt seotud, ja kindlustavad, et need töötajad on teadlikud ja täidavad konfidentsiaalsuse nõuet.

7.10 Pooled rakendavad juurdepääsupiiranguga teabe, sealhulgas isikuandmete kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete konfidentsiaalsuse, tervikluse ja käideldavuse.

7.11 Pooled teavitavad üksteist viivitamatult konfidentsiaalsuskohustuse täitmisega seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.

7.12 Konfidentsiaalsuskohustuse rikkumist käsitletakse kui kokkuleppe olulist rikkumist. 8 TINGIMUSTE MUUTMINE 8.1 RIA-l on õigus ühepoolselt muuta teenuse tingimusi, kui seda tingivad muudatused

kehtivates õigusaktides või tavades, vastava valdkonna või teenuste tehnilised või sisulised arengud, klientidele teenuste kasutamiseks täiendavate või paremate võimaluste loomine või vajadus täpsustada teenuste osutamise või kasutamisega seotud asjaolusid. Teenuse tingimuste muudatustest teatab RIA kliendile kirjalikult hiljemalt 14 kalendripäeva ette.

8.2 Kui klient ei nõustu teenuse tingimuste muudatustega, on tal õigus kokkulepe lõpetada, teatades sellest RIA-le 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate saamise päevast. Kokkuleppe ülesütlemiseni on kokkulepe kehtiv ja klient on kohustatud täitma oma kohustusi, kusjuures nende kohustuste täitmise osas kohaldatakse kliendi suhtes seniseid tingimusi.

8.3 Kui klient 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate saamise päevast ei avalda soovi kokkulepet lõpetada, loetakse, et ta on vaikimisega nõustunud muudetud tingimustega.

9 VASTUTUS 9.1 RIA ei vastuta teenuse kättesaadavust ja kvaliteeti mõjutavate RIA-st mittesõltuvate

asjaolude eest (sh autentimismeetodi ega autentimispäringute toimimise eest ulatuses, milles need on kolmanda osapoole vastutusalas) ega häirete, informatsiooni edastamise viivituste, jms juhtumite eest, mis ei allu RIA kontrollile.

9.2 RIA ei vastuta kliendi tegevuse või tegevusetusega põhjustatud andmete hävimise või kadumise ega teenuse mittetoimimise eest juhul, kui katkestus on põhjustatud kliendi tegevusest või tegevusetusest.

9.3 Pool ei vastuta kohustuste täitmata jätmise eest, kui see tuleneb vääramatust jõust. Vääramatu jõuna käsitlevad pooled asjaolu, mida pool ei saa mõjutada, sealhulgas, kuid mitte ainult tulekahju, plahvatus, loodusõnnetus, sõda, streik, üldine elektrikatkestus, äike, erakordsed ilmastikuolud.

9.4 Pool, kelle tegevus kokkuleppega sätestatud kohustuste täitmisel on takistatud vääramatu jõu asjaolude tõttu, on kohustatud sellest teisele poolele teatama esimesel võimalusel, kasutades sidevahendeid, mis tagavad operatiivseima infovahetuse.

5 (5)

9.5 Vääramatust jõust teatamisel lepivad pooled kokku, mil viisil ning mis mahus jätkata kokkuleppe täitmist kooskõlas riikliku kriisireguleerimise plaaniga. Antud kokkulepe vormistatakse esimesel võimalusel kirjalikult.

10 KOKKULEPPE LÕPPEMINE 10.1 Kokkulepe lõppeb kokkuleppes, teenuse tingimustes ja/või õigusaktides toodud alustel. 10.2 Pooltel on õigus kokkulepe üles öelda, teatades sellest teisele poolele ette vähemalt kolm

(3) kalendrikuud, kui kokkuleppes ei ole sätestatud teisiti. 10.3 RIA-l on õigus kokkulepe üles öelda ilma etteteatamise tähtaega järgimata ja lõpetada

viivitamatult kliendile teenuse osutamine, kui pool on rikkunud oluliselt mistahes kokkuleppe tingimusi. Oluliseks rikkumiseks loetakse muuhulgas kokkuleppe tingimuste rikkumist ning rikkumise jätkamist pärast RIA poolse teavituse saamist või kui rikkumine on sedavõrd tõsine (nt tahtlik tegevus teenuste kahjustamiseks), et RIA-lt ei saa eeldada kokkuleppe täitmise jätkamist.

10.4 Kokkuleppe ülesütlemine või lõppemine ei vabasta poolt kohustusest täita teise poole ees vastava kokkuleppe kestuse ajal kokkuleppest tekkinud kohustusi.

KINNITATUD Riigi Infosüsteemi Ameti peadirektori

01.06.2020 käskkirjaga nr 1.1-2/20-078

Riigi autentimisteenuse (TARA) toodangukeskkonna teenustaseme tingimused

1. Teenuse kättesaadavus

1.1. Tööaeg

Tööaeg on kokkulepitud ajavahemik, millal IT-teenus peab kliendile

garanteeritult kättesaadav olema ning mille jooksul pakutakse

IT-teenusele kasutajatoe tuge (kasutusnõustamine, planeerimata

katkestuste lahendamine jms).

Tööaja välisel ajal tagatakse teenuse töö parimal võimalikul

(best effort) moel.

E–N 8.30–17.00

R 8.30–16.00

Teenuse nimi Riigi autentimisteenus (TARA)

Teenuse omanik eID osakonnajuhataja

Nõuete kehtivusaeg Alates käskkirja kinnitamisest kuni käskkirja muutmise või

kehtetuks tunnistamiseni.

Teenuse lühikirjeldus

Riigi autentimisteenus (TARA) on Riigi Infosüsteemi Ameti

arendatud ja hallatav platvorm, mis on liidestatud kolmanda isiku

poolt pakutavate autentimismeetoditega ning teostab autentimiseks

vajalikke (andme)päringuid.

Riigi autentimisteenuse (TARA) teenustaseme tingimused ei taga

kolmanda isiku teenuste käideldavust ja kättesaadavust.

Riigi autentimisteenuse (TARA) teenustaseme tingimused ei taga

EL eID test-autentimisvahendite käideldavust ja kättesaadavust.

Teenuse teavitused

RIA teavitab teenuse kliente esimesel võimalusel kõigist

teadaolevatest teenuse katkestustest ja teenuse kasutamist

takistavatest asjaoludest e-posti teel.

Korralised hooldustööd

RIA toodangukeskkonna korrapärased infrastruktuuri hooldustööd

toimuvad iga kuu kolmandal neljapäeval ajavahemikul 18.00-01.00

RIA toodangukeskkonna teenuste tööajal toimuvatest katkestustest

ning suurematest hooldustöödest teavitatakse teenuse kliente

e-posti teel vähemalt 2 tööpäeva enne nende toimumist. Samuti

avaldatakse vastav info RIA kodulehe hooldusteadetes

(https://www.ria.ee/et/kalender.html) ning hooldusteadete RSS voos.

Infosüsteemi logid Infosüsteemi logisid säilitatakse üks aasta.

2. Planeerimata katkestus katastroofiolukorras

Planeerimata katkestuste hulka arvestatakse ainult teenuse tööajal aset leidvad planeerimata

katkestused. Planeerimata katkestuseks ei loeta olukorda, kus häiritud on üksikute kasutajate töö, kuid

asutuses (sama hoone piires) on teenus kättesaadav. Planeerimata katkestusi tavaolukorras

arvestatakse töötundides.

2.1. Ühe planeerimata katkestuse maksimaalne kestus

Maksimaalne lubatud ajavahemik, mille jooksul on vaja teenuse töö

taastada. Teenuse taastamine toimub tööajal.

12 h

2.2. Maksimaalne planeerimata katkestuste kestus aastas 24 h

3. Planeeritud katkestus

Planeeritud katkestus on eelnevalt kokkulepitud ajavahemik, mille jooksul teenus ei ole kättesaadav.

Planeeritud katkestuste hulka arvestatakse ainult teenuse tööajal toimuvaid planeeritud katkestusi.

Planeeritud katkestust kasutatakse hoolduseks, testimiseks ja täienduste tegemiseks. Planeeritud

katkestusi (v.a. katkestustest etteteatamise aega) arvestatakse töötundides.

3.1. Planeeritud katkestusest etteteatamise aeg 48 h

3.2. Ühe planeeritud katkestuse maksimaalne kestus 8 h

3.3. Maksimaalne planeeritud katkestuste kestus aastas 24 h

3.4. Maksimaalne planeeritud katkestuste arv kuus 2

4. Andmekadu ja varundus

4.1. Maksimaalne andmehulk, mis võib minna kaotsi teenuse

taastamise käigus ehk teenuse taastamiskoha klass Teenuse taastamiskoha klass määrab maksimaalse andmehulga,

mis võib minna kaotsi teenuse taastamise käigus. Taastamiskoha

klass määratakse ajavahemikuna enne tõrget. Näiteks

taastamiskoha klass üks ööpäev saavutatakse igapäevase

varundamisega, kus maksimaalne andmekadu võib olla 24 tunni

andmed.

24 h

4.2. Varukoopia paigutamine tähtajatule säilitamisele määratleb

ajavahemiku, mille lõppedes paigutatakse viimane varukoopia

tähtajatule säilitamisele (kuu – kuu viimane koopia, aasta – aasta

viimane koopia).

1 aasta

4.3. Varukoopiate paigutamine lühiajalisele säilitamisele määratleb varukoopia tsükli pikkuse, ehk ajavahemiku, kui kaua

säilitatakse varukoopiaid enne kustutamist.

24 h koopia - 1 nädal

7 päeva koopia - 4 nädalat

1 kuu koopia - 12 kuud

KINNITATUD Riigi Infosüsteemi Ameti peadirektori

01.06.2020 käskkirjaga nr 1.1-2/20-078

Riigi Infosüsteemi Ameti autentimisteenuste andmekaitsetingimused

1. Käesolevas dokumendis selgitatakse, milliseid isikuandmeid ja mis eesmärgil Riigi

Infosüsteemi Ameti (edaspidi RIA) autentimisteenustes töödeldakse.

2. Käesolevad andmekaitsetingimused rakenduvad:

 Riigi autentimisteenusele (TARA)

 Eesti autentimisteenusele (IdP)

 RIA eIDAS konnektorteenusele

 Euroopa Liidu piiriülese autentimistaristu Eesti sõlmele (“eIDAS Node”).

3. Andmesubjekt (edaspidi kasutaja) on füüsiline isik, kes suunatakse Eesti või välismaa

klientrakendusest (nt e-teenusest) RIA autentimisteenusesse isikusamasuse tuvastamisele

(autentimisele).

4. Autentimisandmed

4.1. Teenustes töödeldakse kasutajate kohta järgmisi andmeid (“autentimisandmed”):

Kasutajat identifitseerivad andmed:

 kasutaja autentimissertifikaat; 1

 kasutaja isikukood vm isiku identifikaator;

 kasutaja ees- ja perekonnanimi;

 kasutaja sünniaeg;

 kasutaja riik;

 registrikood vm juriidilise isiku identifikaator;

 juriidilise isiku ärinimi;

 liidestunud e-teenuse kontaktisiku nimi, isikukood, e-postiaadress ja telefoni number.

Autentimistoimingu andmed:

 kuupäev ja kellaaeg;

 klientrakendus, kust kasutaja autentimisele suunati;

 autentimismeetod, sh pangalingi puhul ka pank; mobiil-ID puhul mobiilinumber;

 autentimise tulemus (autenditud või mitte).

4.2. Autentimisandmete väljastamine

4.2.1. Autentimisandmeid väljastatakse RIA autentimisteenusega liidestatud

klientrakendusele või EL piiriülese autentimistaristu teise liikmesriigi sõlmele.

4.2.1.1. ID-kaardi, mobiil-ID ja Smart-ID-ga autentimise korral saadetakse autentimisandmed

SK ID Solutions AS-i välistele teenustele järgmises koosseisus:

4.2.1.1.1. Kehtivuskinnitusteenus (kasutaja autentimissertifikaadi seerianumber);

4.2.1.1.2. MID REST API veebiteenus (kasutaja isikukood ja mobiilinumber);

4.2.1.1.3. Smart-ID veebiteenus (kasutaja isikukood).

4.2.2. Andmete väljastamisel lähtutakse isikuandmete töötlemise minimaalsuse põhimõttest.

Väljastatakse minimaalsed autentimise fakti ja tuvastatud isikut identifitseerivad

1 Sertifikaatide profiili kirjeldus on leitav: https://www.skidsolutions.eu/repositoorium/profiil/

KINNITATUD Riigi Infosüsteemi Ameti peadirektori

01.06.2020 käskkirjaga nr 1.1-2/20-078

andmed. Näiteks mobiil-ID-ga autentimisel ei väljastata kasutaja mobiilinumbrit RIA

autentimisteenustega liidestatud klientrakendustele ega EL piiriülese autentimistaristu

teise liikmesriigi sõlmele.

4.2.3. Kasutajale on autentimise tulemus (sisse logitud või mitte) nähtav sirvikus.

4.3. Klientrakendustega suhtlemisel kasutatakse krüpteeritud kanaleid.

4.4. Eesti eID kasutaja autentimisandmete saatmisel Euroopa Liidu piiriülese

autentimistaristuga liitunud teise riiki küsitakse kasutaja nõusolekut (Eesti

autentimisteenuses).

5. Turvalogi

5.1. Teenuses logitakse autentimistoimingu andmed koos isikut identifitseerivate andmetega

järgmistel eesmärkidel:

5.1.1. teenuse väärkasutamise, sh identiteedivarguste ja nende katsete, samuti küberrünnakute

avastamiseks ja uurimiseks;

5.1.2. tehniliste tõrgete avastamiseks ja kõrvaldamiseks. Tehniline tõrge võib olla nii riist- kui

ka tarkvara viga, võrguühenduse viga jms;

5.1.3. teenustega liidestatud e-teenuste omanike s.t asutuste poolt raporteeritud tehniliste

probleemide põhjuste väljaselgitamiseks;

5.1.4. kasutajate pöördumiste (teated võimalike turvaprobleemide või tehniliste rikete kohta)

menetlemiseks.

5.2. Logile juurdepääs on rangelt vajaduspõhine. Ligi pääsevad ainult teenuse käitamisega

otseselt seotud süsteemi- ja teenusehaldurid, vajadusel ka turvaintsidentide uurimisega

tegelevad ametiisikud.

5.3. Autentimisi soovitame logida ka klientrakenduse poolel. See on vajalik nii tehniliste

tõrgete kui ka teenuse väärkasutuse tuvastamisel ja uurimisel.

6. Statistikalogi

6.1. Statistikalogi eesmärk on teenuste kasutamise kohta statistika tootmine teenuse juhtimise

ja edasiarendamise eesmärgil.

6.2. Statistikalogisse kogutakse andmed autentimistoimingute kohta ilma isikut

identifitseerivate andmeteta.

6.3. Statistikalogi põhjal koostatakse ja avalikustatakse isikuandmeid mittesisaldavaid

statistilisi aruandeid.

6.4. Logisid säilitatakse üks aasta.

7. Liidestatud asutuse kontaktisikud

Teenuste haldamise eesmärgil kogutakse liidestatud asutuste kontaktisikute andmeid.

8. Andmete varundamine

8.1. Varundusprotsess käivitatakse vähemalt korra ööpäeva jooksul. Kõikide teenuse

komponentide andmete (konfiguratsioon, andmebaas, logid) tagavarakoopiaid

säilitatakse sama põhimõtte alusel – 7 päeva / 4 nädalat / 12 kuud.

8.2. Taastada on võimalik jooksva nädala päevade, jooksva kuu nädalate lõpu või viimase 12

kuu lõpu seisuga salvestatud andmed.

8.3. Varunduslahenduses krüpteerimist ei kasutata.

KINNITATUD Riigi Infosüsteemi Ameti peadirektori

01.06.2020 käskkirjaga nr 1.1-2/20-078

9. Turvalogide väljastamine

Turvalogi väljastatakse juhul, kui seda näeb ette seadus (näiteks õiguskaitseasutusele

kriminaalmenetluses või andmesubjektile tema taotlusel).