Про затвердження вимог до випуску гаманців з цифровою ідентифікацією

КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА

від 11 червня 2025 р. № 689

Київ

Про затвердження вимог до випуску гаманців з цифровою ідентифікацією

{Із змінами, внесеними згідно з Постановою КМ

№ 1400 від 24.10.2025}

Відповідно до статті 151 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” Кабінет Міністрів України постановляє:

Затвердити вимоги до випуску гаманців з цифровою ідентифікацією, що додаються.

Прем'єр-міністр України

Д. ШМИГАЛЬ

Інд. 49

ЗАТВЕРДЖЕНО

постановою Кабінету Міністрів України

від 11 червня 2025 р. № 689

ВИМОГИ

до випуску гаманців з цифровою ідентифікацією

{У тексті Вимог слова “треті особи” в усіх відмінках замінено словами “довіряючі сторони” у відповідному відмінку згідно з Постановою КМ № 1400 від 24.10.2025}

1. Ці вимоги встановлюють функціональні, методологічні, технічні та технологічні умови випуску гаманців з цифровою ідентифікацією згідно із схемою електронної ідентифікації для надавачів гаманців з цифровою ідентифікацією.

2. У цих вимогах терміни вживаються в такому значенні:

валідація - процес перевірки та підтвердження дійсності даних в електронній формі;

відкритий вихідний код - вихідний код, виконуваний файл програмного забезпечення, що публікується на веб-ресурсах з відкритим доступом та може використовуватися на умовах публічної ліцензії;

виконуваний файл програмного забезпечення - вихідний код програмного забезпечення, скомпільований і придатний (призначений) для виконання програми комп'ютером;

вихідний код - набір інструкцій у формі слів, цифр, кодів, схем, символів чи в будь-якій іншій формі, створених розробником комп'ютерної програми мовою програмування для первинної версії комп'ютерної програми чи під час її подальшої зміни, що передбачає можливість їх компіляції;

компіляція - процес автоматизованого перетворення вихідного коду, створеного розробником мовою програмування, у код, придатний (призначений) до виконання комп'ютером;

користувач гаманця з цифровою ідентифікацією - користувач послуг електронної ідентифікації, що використовує кваліфікований електронний підпис чи печатку або гаманець з цифровою ідентифікацією;

надавач гаманця з цифровою ідентифікацією - надавач послуг електронної ідентифікації, який випускає гаманці з цифровою ідентифікацією та надає їх для користування.

Інші терміни вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про захист персональних даних”, “Про авторське право і суміжні права” та інших нормативно-правових актах у сферах електронної ідентифікації та електронних довірчих послуг.

3. Гаманці з цифровою ідентифікацією повинні випускатися згідно із схемою електронної ідентифікації з високим рівнем довіри.

Випуск та використання гаманців з цифровою ідентифікацією для фізичних осіб здійснюються безоплатно, для юридичних осіб - на договірних засадах.

Випуск та використання гаманців з цифровою ідентифікацією повинні здійснюватися на добровільними засадах.

Гаманці з цифровою ідентифікацією та їх інтерфейси повинні відповідати ДСТУ EN 301 549:2022 (EN 301 549 V3.2.1 (2021-03), IDT) “Інформаційні технології. Вимоги щодо доступності продуктів та послуг ІКТ”.

4. Гаманці з цифровою ідентифікацією повинні надавати можливість користувачу гаманця з цифровою ідентифікацією у зручний та відкритий спосіб:

1) безпечно запитувати, отримувати, вибирати, об'єднувати, зберігати, видаляти, обмінюватися та надавати під одноосібним контролем користувача гаманця з цифровою ідентифікацією його ідентифікаційні дані;

2) використовувати псевдонім та зберігати його у захищеному вигляді локально в межах гаманця з цифровою ідентифікацією;

3) безпечно автентифікувати інших користувачів гаманців з цифровою ідентифікацією за допомогою їх гаманців з цифровою ідентифікацією, отримувати та обмінюватися ідентифікаційними даними особи у безпечний спосіб між такими гаманцями з цифровою ідентифікацією;

4) отримувати доступ до відомостей про проведення всіх операцій користувача гаманця з цифровою ідентифікацією за допомогою веб-інтерфейсу інформаційних панелей, функціональні можливості якого повинні забезпечувати:

перегляд актуального переліку довіряючих сторін, з якими користувач гаманця з цифровою ідентифікацією взаємодіяв, а також даних, якими обмінювалися;

{Абзац другий підпункту 4 пункту 4 із змінами, внесеними згідно з Постановою КМ № 1400 від 24.10.2025}

безперешкодне знищення довіряючими сторонами персональних даних користувача гаманця з цифровою ідентифікацією відповідно до Закону України “Про захист персональних даних”;

безперешкодне звернення користувача гаманця з цифровою ідентифікацією до органу з питань захисту персональних даних відповідно до Закону України “Про захист персональних даних”;

створення кваліфікованого електронного підпису чи печатки;

завантаження (у разі наявності технічної можливості) даних користувачів гаманців з цифровою ідентифікацією та налаштувань;

перенесення даних користувача гаманця з цифровою ідентифікацією.

5. Гаманці з цифровою ідентифікацією повинні:

1) підтримувати єдині протоколи та інтерфейси для:

формування ідентифікаційних даних особи або сертифікатів відкритих ключів, які видаються кваліфікованими/некваліфікованими надавачами електронних довірчих послуг, в гаманці з цифровою ідентифікацією;

довіряючих сторін з метою запиту та перевірки ідентифікаційних даних особи;

передачі та пред'явлення довіряючим сторонам ідентифікаційних даних особи або вибірково розкритих даних за умови наявності підключення до Інтернету та у випадках відсутності такого підключення;

забезпечення взаємодії користувача гаманця з цифровою ідентифікацією з гаманцем з цифровою ідентифікацією;

безпечного приєднання користувача гаманця з цифровою ідентифікацією з використанням засобів електронної ідентифікації;

взаємодії між гаманцями з цифровою ідентифікацією двох користувачів гаманців з цифровою ідентифікацією з метою безпечного отримання, перевірки та обміну ідентифікаційними даними особи;

автентифікації та ідентифікації довіряючих сторін;

перевірки автентичності та чинності гаманців з цифровою ідентифікацією довіряючими сторонами;

подання запиту про знищення персональних даних користувачів гаманців з цифровою ідентифікацією довіряючими сторонами;

подання звернення до органу з питань захисту персональних даних відповідно до Закону України “Про захист персональних даних”;

створення кваліфікованих електронних підписів чи печаток за допомогою засобів відповідного програмного або апаратного забезпечення;

2) забезпечувати можливість автентифікації та ідентифікації довіряючих сторін;

3) відповідати вимогам, визначеним до засобів електронної ідентифікації з високим рівнем довіри, зокрема стосовно вимог щодо підтвердження та перевірки особи, а також управління і автентифікації засобів електронної ідентифікації;

4) забезпечувати, щоб ідентифікаційні дані особи, доступні в контексті схеми електронної ідентифікації, згідно з якою випускається гаманець з цифровою ідентифікацією, однозначно встановлювали фізичну особу або юридичну особу, їх представників або уповноваженого представника юридичної особи та були пов'язані з таким гаманцем з цифровою ідентифікацією;

5) надавати можливість створювати кваліфікований електронний підпис за замовчуванням та безоплатно, якщо користувач гаманця з цифровою ідентифікацією є фізичною особою, яка використовує гаманець з цифровою ідентифікацією для створення кваліфікованого електронного підпису під час проваждення діяльності, не пов'язаної з господарською.

6. Компоненти комп'ютерної програми, яка є складовою гаманців з цифровою ідентифікацією, мають бути програмним забезпеченням з відкритим вихідним кодом.

Надавачі гаманців з цифровою ідентифікацією можуть визначати компоненти комп'ютерної програми, які не підлягають публікації з метою захисту національної безпеки, прав та свобод громадян.

7. Надавачі гаманців з цифровою ідентифікацією повинні забезпечити, щоб користувачі гаманців з цифровою ідентифікацією могли безперешкодно звернутися за технічною підтримкою та повідомити про технічні проблеми або будь-які інші інциденти, які мають негативний вплив на використання гаманців з цифровою ідентифікацією.

Всі етапи використання гаманців з цифровою ідентифікацією повинні передбачати гарантії безпеки.

Користувачі гаманців з цифровою ідентифікацією повинні мати повний доступ до всіх процесів випуску та використання гаманця з цифровою ідентифікацією та обробки персональних даних в ньому.

Надавач гаманця з цифровою ідентифікацією не повинен збирати інформацію про використання гаманця з цифровою ідентифікацією, що не є необхідною для надання послуг гаманця з цифровою ідентифікацією, крім випадків подання користувачем гаманця з цифровою ідентифікацією відповідного запиту.

Надавач гаманця з цифровою ідентифікацією не повинен об'єднувати ідентифікаційні дані особи чи будь-які інші персональні дані, які зберігаються або стосуються використання гаманця з цифровою ідентифікацією, з персональними даними, які використовуються ним під час надання будь-яких інших послуг або послуг, що надаються довіряючими сторонами, які не є необхідними для випуску гаманця з цифровою ідентифікацією, крім випадків подання користувачем гаманця з цифровою ідентифікацією відповідного запиту.

Персональні дані, які стосуються випуску гаманця з цифровою ідентифікацією, повинні бути логічно відокремленими від будь-яких інших даних, які обробляються надавачем гаманця з цифровою ідентифікацією.

8. Центральний засвідчувальний орган розміщує на власному офіційному веб-сайті механізми перевірки для забезпечення можливості перевірки автентичності та чинності гаманців з цифровою ідентифікацією.

9. Надавач гаманця з цифровою ідентифікацією повинен невідкладно інформувати користувачів гаманців з цифровою ідентифікацією про порушення безпеки, яке могло повністю або частково скомпрометувати їх гаманець з цифровою ідентифікацією або його зміст, зокрема, якщо їх гаманець з цифровою ідентифікацією був відкликаний.

Центральний засвідчувальний орган повинен забезпечити технічну можливість відкликання гаманця з цифровою ідентифікацією за таких умов:

за запитом користувача гаманця з цифровою ідентифікацією;

у разі порушення безпеки гаманця з цифровою ідентифікацією;

у зв'язку із смертю фізичної особи - користувача гаманця з цифровою ідентифікацією або внесенням до Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань запису про припинення юридичної особи - користувача гаманця з цифровою ідентифікацією.