REGULAMIN USTANAWIANIA KOMUNIKACJI ELEKTRONICZNEJ POPRZEZ POŁĄCZENIA SYSTEMOWE

przyjęty uchwałą Zarządu KDPW nr 356/2023 z dnia 27 kwietnia 2023 r.,

obowiązującą od 22 maja 2023 r.

REGULAMIN USTANAWIANIA KOMUNIKACJI ELEKTRONICZNEJ POPRZEZ POŁĄCZENIA SYSTEMOWE

Rozdział 1

Postanowienia ogólne

§ 1

1. Regulamin ustanawiania komunikacji elektronicznej poprzez połączenia systemowe, zwany dalej

„regulaminem”, określa zasady wydawania certyfikatów elektronicznych, uwierzytelniania kanałów komunikacyjnych oraz ustanawiania komunikacji z aplikacjami z wykorzystaniem interfejsu A2A.

2. Regulamin stosuje się w stosunkach prawnych wynikających z umów zawieranych przez KDPW z uczestnikami lub innymi podmiotami będącymi odbiorcami usług świadczonych przez KDPW lub KDPW_CCP, które są udostępniane z wykorzystaniem systemów informatycznych.

3. Przepisy regulaminu stosuje się odpowiednio w stosunkach prawnych wynikających z porozumień z podmiotami, które uzyskały dostęp wyłącznie do środowisk testowych systemów informatycznych, o których mowa w ust. 2.

§ 2

Ilekroć w przepisach regulaminu mowa jest o:

1) aplikacji – rozumie się przez to każdą aplikację, wykorzystywaną do komunikacji elektronicznej z KDPW lub KDPW_CCP w ramach danej usługi, umożliwiającą wymianę komunikatów przy wykorzystaniu transmisji danych, udostępnianą poprzez interfejs A2A, działającą w ramach infrastruktury KDPW;

2) interfejsie A2A – rozumie się przez to interfejs wspierający automatyczną wymianę danych pomiędzy aplikacją a aplikacją uczestnika, przy wykorzystaniu dedykowanych kolejek;

3) certyfikacie elektronicznym – rozumie się przez to certyfikat wydawany przez KDPW, służący do ustanowienia szyfrowanej komunikacji elektronicznej z wykorzystaniem interfejsu A2A pomiędzy systemem uczestnika a aplikacją (aplikacjami);

4) usłudze – rozumie się przez to usługę świadczoną przez KDPW lub KDPW_CCP, udostępnianą

uczestnikom z wykorzystaniem aplikacji;

5) uczestniku – rozumie się przez to podmiot, który jest stroną umowy o uczestnictwo zawartej z KDPW na podstawie regulaminu usługi albo inny podmiot, w tym uczestnik KDPW_CCP, uzyskujący na podstawie zawartej z nim umowy dostęp do aplikacji poprzez interfejs A2A;

6) regulaminie usługi – rozumie się przez to wzorzec umowny kształtujący treść stosunku prawnego, obowiązujący w ramach danej usługi albo inną umowę, na podstawie której udostępniana jest uczestnikowi komunikacja elektroniczna;

7) Regulaminie dostępowym – rozumie się przez to Regulamin dostępu do systemów informatycznych Krajowego Depozytu Papierów Wartościowych, przyjęty odrębną uchwałą Zarządu KDPW;

8) komunikacie – rozumie się przez to informację lub oświadczenie, które zgodnie z postanowieniami regulaminu usługi, mogą albo powinny być przekazane z wykorzystaniem komunikacji elektronicznej;

9) komunikacji elektronicznej – rozumie się przez to składanie i odbieranie oświadczeń woli i informacji, które zgodnie z regulaminem usługi, w stosunkach z KDPW lub KDPW_CCP mogą lub powinny być, przez uczestnika lub temu uczestnikowi, przekazywane z wykorzystaniem aplikacji;

10) zarządzanie certyfikatami – rozumie się przez to dokonywane przez uczestnika czynności związanych ze składaniem lub odbieraniem oświadczeń dotyczących wygenerowania certyfikatu elektronicznego, jego pobrania oraz unieważnienia;

11) kodzie instytucji – rozumie się przez to czteroznakowy kod przypisywany przez KDPW uczestnikowi,

który jest identyfikatorem uczestnika w danej usłudze lub w wielu usługach;

12) KDPW – rozumie się przez to spółkę Krajowy Depozyt Papierów Wartościowych S.A.;

13) KDPW_CCP – rozumie się przez to spółkę zależną od KDPW, KDPW_CCP S.A.

§ 3

KDPW nie jest kwalifikowanym dostawcą usług zaufania w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L Nr 257, str. 73).

Rozdział 2

Certyfikaty elektroniczne

§ 4

1. Ustanowienie komunikacji elektronicznej z wykorzystaniem interfejsu A2A, wymaga pobrania przez uczestnika certyfikatu elektronicznego.

2. Certyfikat elektroniczny wystawiany jest na dany kod instytucji uczestnika i może być wykorzystany do ustanowienia komunikacji do wszystkich usług, w ramach których uczestnik występuje pod tym kodem. KDPW może ograniczyć liczbę możliwych do wygenerowania i pobrania certyfikatów elektronicznych na jeden kod instytucji.

3. Uczestnik, który zgodnie z regulaminem usługi może korzystać lub jest zobowiązany do korzystania z komunikacji elektronicznej z wykorzystanym interfejsu A2A, powinien uzyskać dostęp do dedykowanej aplikacji Certyfikaty A2A udostępnionej przez KDPW w ramach Portalu usług ▇▇▇▇▇://▇▇▇▇▇▇.▇▇▇▇.▇▇, przeznaczonej do zarządzania certyfikatami.

4. Zasady uzyskania dostępu do aplikacji Certyfikaty A2A przez osobę upoważnioną przez uczestnika do działania w jego imieniu, zasady otwarcia przez taką osobę konta dostępowego oraz zasady przeprowadzenia procesu uwierzytelnienia określa Regulamin dostępowy.

5. Do zarządzania certyfikatami w ramach danego kodu instytucji, uczestnik może upoważnić więcej niż jedną osobę.

6. Osoba upoważniona przez uczestnika do zarządzania certyfikatami może uzyskać dostęp do aplikacji Certyfikaty A2A wyłącznie w roli użytkownika. Wnioski o uzyskanie dostępu przez tą osobę akceptuje albo odrzuca wyłącznie KDPW.

7. Osoba, która uzyskała dostęp do aplikacji Certyfikaty A2A w imieniu uczestnika, może, z wykorzystaniem tej aplikacji, zarządzać certyfikatami służącymi do komunikacji ze środowiskami produkcyjnymi lub testowymi aplikacji, w których ten uczestnik występuje pod danym kodem instytucji, z zastrzeżeniem ust. 8.

8. Osoba upoważniona przez podmiot, który nie zawarł jeszcze umowy o uczestnictwo w usłudze, do dnia zawarcia takiej umowy, może, z wykorzystaniem aplikacji Certyfikaty A2A, zarządzać certyfikatami służącymi wyłącznie do komunikacji ze środowiskami testowymi aplikacji.

9. Osoba, która uzyskała dostęp do aplikacji Certyfikaty A2A w imieniu podmiotu, o którym mowa w

§ 1 ust. 3, może zarządzać certyfikatami służącymi wyłącznie do komunikacji ze środowiskami testowymi aplikacji. Porozumienie w sprawie udzielenia takiemu podmiotowi dostępu do środowisk testowych aplikacji uważa się za zawarte z chwilą udzielenia tej osobie przez KDPW dostępu do aplikacji Certyfikaty A2A.

§ 5

1. Certyfikaty elektroniczne zachowują ważność przez okres wskazany w treści certyfikatu, z uwzględnieniem okresu ważności certyfikatu urzędu certyfikacji, który wydaje certyfikat elektroniczny.

2. Uczestnicy zobowiązani są do stałego monitorowania okresu ważności pobranych certyfikatów

elektronicznych.

3. KDPW może przed upływem terminu, o którym mowa w ust. 1, unieważnić certyfikat elektroniczny, z własnej inicjatywy z przyczyn technicznych lub w związku z podejrzeniem, że certyfikatem elektronicznym posługuje się osoba nieupoważniona przez uczestnika.

4. KDPW udostępnia uczestnikom, na swojej stronie internetowej, listy certyfikatów unieważnionych (CRL) niezbędne do weryfikacji ważności certyfikatów. Udostępnienie informacji o unieważnieniu certyfikatu elektronicznego na liście, następuje niezwłocznie po unieważnieniu tego certyfikatu.

5. W przypadku unieważnienia certyfikatu elektronicznego, KDPW niezwłocznie informuje o tym fakcie uczestnika, na adresy poczty elektronicznej będące loginami osób upoważnionych przez uczestnika, posiadających dostęp do aplikacji Certyfikaty A2A.

§ 6

1. Uczestnik zobowiązany jest przechowywać pobrany certyfikat elektroniczny w sposób zapewniający dostęp do certyfikatu wyłącznie osobom upoważnionym. Od chwili pobrania certyfikatu do chwili unieważnienia tego certyfikatu ryzyko jego utraty lub ujawnienia obciąża wyłącznie uczestnika.

2. W razie utraty certyfikatu elektronicznego albo powstania uzasadnionego podejrzenia udostępnienia certyfikatu elektronicznego osobie nieupoważnionej, uczestnik, który pobrał certyfikat elektroniczny, zobowiązany jest niezwłocznie unieważnić ten certyfikat poprzez aplikację Certyfikaty A2A.

3. KDPW nie ponosi odpowiedzialności za szkody wyrządzone uczestnikowi w związku z utratą

certyfikatu elektronicznego w okresie jego ważności.

Rozdział 3

Komunikacja elektroniczna z wykorzystaniem interfejsu A2A

§ 7

1. Ustanowienie komunikacji elektronicznej z wykorzystaniem interfejsu A2A jest możliwe wyłącznie

w przypadku, gdy przewidują to zasady dotyczące komunikacji w danej usłudze.

2. Certyfikat elektroniczny może być wykorzystywany do komunikacji elektronicznej w ramach wszystkich usług, w których uczestnik występuje lub będzie występował w przyszłości pod danym kodem instytucji.

3. Komunikacja elektroniczna z wykorzystaniem interfejsu A2A działa w oparciu o kolejki komunikacyjne służące do przekazywania komunikatów.

4. Rozpoczęcie komunikacji elektronicznej z wykorzystaniem interfejsu A2A wymaga:

1) uwierzytelnienia przez uczestnika do dedykowanego dla danej aplikacji kanału komunikacyjnego,

z wykorzystaniem pobranego certyfikatu elektronicznego oraz

2) przypisania uczestnikowi przez KDPW kolejek komunikacyjnych, które będą wykorzystywane w danej usłudze.

5. Kolejki komunikacyjne tworzone są w ramach kanału komunikacyjnego, który jest wykorzystywany w danej usłudze. Kolejki komunikacyjne przypisywane są uczestnikowi przez KDPW, po uzyskaniu uczestnictwa w danej usłudze.

6. Kanały komunikacyjne mogą być powoływane niezależnie dla każdej aplikacji. Dopuszcza się również wykorzystanie jednego kanału komunikacyjnego do dostępu do więcej niż jednej aplikacji, poprzez tworzenie dedykowanych im kolejek.

7. Kolejki tworzone są odrębnie dla każdej z usług objętych komunikacją A2A. W ramach ustanawianej komunikacji, przewiduje się tworzenie par kolejek, odrębnie dla każdego kierunku komunikacji.

8. Komunikacja wewnątrz kanałów komunikacyjnych zabezpieczona jest protokołem szyfrowania

TLS.

9. Połączenie do infrastruktury KDPW może być realizowane zarówno w modelu klient-serwer jak również serwer-serwer. Wymagane jest wykorzystanie połączenia opartego o VPN z uwierzytelnianiem opartym o mechanizm współdzielonego klucza (pre-shared key).

10. KDPW zastrzega sobie prawo do usuwania z kolejek komunikacyjnych komunikatów, które nie zostały odebrane przez adresata, po upływie 30 dni od dnia przekazania komunikatu, albo w terminie krótszym, jeżeli został uzgodniony z uczestnikiem.

§ 8

1. Z zastrzeżeniem ust. 2 - 4, komunikacja elektroniczna dostępna jest dla uczestnika w trybie 24/7.

2. KDPW może wprowadzić przerwę techniczną w działaniu aplikacji, zgodnie z zasadami określonymi w regulaminach usług lub przyjętymi w danej usłudze zasadami komunikacji.

3. W komunikacji z wykorzystaniem interfejsu A2A może wystąpić przerwa w dostępności kolejek komunikacyjnych spowodowana kilkuminutowymi przerwami technicznymi związanymi ze zmianą konfiguracji ustawień tych kolejek.

4. W przypadku wykorzystywania do komunikacji z aplikacjami interfejsu A2A, uczestnik zobowiązany jest do skonfigurowania w swoim systemie automatycznego wznowienia połączenia do kolejek komunikacyjnych.

§ 9

1. Komunikaty przekazane przez uczestnika z wykorzystaniem interfejsu A2A uznaje się za doręczone z chwilą przyjęcia komunikatu przez aplikację, przy czym za przyjęcie komunikatu uznaje się rozpoczęcie kontroli tego komunikatu w aplikacji. Komunikaty przekazane uczestnikowi z wykorzystaniem interfejsu A2A uznaje się za doręczone z chwilą umieszczenia w kolejce wyjściowej uczestnika.

2. Przyjęte dla danej usługi zasady komunikacji mogą wprowadzać dodatkowe obowiązki uczestnika związane z przekazywaniem komunikatów, w szczególności mogą wymagać identyfikacji lub weryfikacji tożsamości osoby przekazującej komunikat lub opatrzenia komunikatu podpisem elektronicznym.

3. Uczestnik uznaje skuteczność doręczeń komunikatów, z zachowaniem warunków przewidzianych w niniejszym regulaminie, oraz wyraża zgodę na przeprowadzenie wszelkich dowodów na fakt dokonania tych czynności.

4. Uczestnik uznaje oświadczenia oraz informacje przekazane z wykorzystaniem interfejsu A2A za

swoje własne.

Rozdział 4

Przepisy końcowe

§ 10

1. KDPW jest uprawniony do dokonywania zmian niniejszego regulaminu.

2. Treść zmian regulaminu, KDPW udostępnia uczestnikom na swojej stronie internetowej. Zmiany wchodzą w życie w terminie dwóch tygodni od dnia ich udostępnienia, chyba że uchwała Zarządu KDPW wprowadzająca zamiany będzie wskazywać dłuższy termin ich wejścia w życie.

3. Dokonanie zmiany regulaminu wymaga powiadomienia uczestnika o treści zmian oraz dacie ich wejścia w życie z zachowaniem terminu, o którym mowa w ust.2.

4. Przekazanie informacji o dokonanej zmianie regulaminu, przy wykorzystaniu poczty elektronicznej, na adres poczty elektronicznej będącej loginem osoby upoważnionej przez uczestnika do dostępu do aplikacji Certyfikaty A2A uznaje się za skuteczne powiadomienie uczestnika o tej zmianie, o ile regulamin usługi nie stanowi inaczej.

5. W przypadku, gdy uczestnik nie wyraża zgody na dokonanie zmiany regulaminu, przysługuje mu prawo wypowiedzenia umowy o świadczenie usługi, z zachowaniem warunków wypowiedzenia przewidzianych w regulaminie usługi.

6. Jeżeli uczestnik nie wypowiedział umowy o uczestnictwo zgodnie z ust. 5, oznacza to, że uczestnik wyraził zgodę na zmiany regulaminu, o których został powiadomiony.