Nõuded XML-dokumentidena vormindatud aruannete esitamisele
Vastu võetud 09.12.2011 nr 9
Määrus kehtestatakse „Krediidiasutuste seaduse” § 91 lõike 1 alusel.
1. peatükk Üldsätted
§ 1. Määruse reguleerimisala
Määrusega kehtestatakse tehnilised nõuded XML-dokumentidena vormindatud aruannete esitamisele Eesti Pangale ja Finantsinspektsioonile.
§ 2. Määruse kohaldamine
Määrus kohaldub Eestis tegutsevatele krediidiasutustele ja välisriigi krediidiasutuste filiaalidele, kellel on kohustus esitada XML-dokumentidena vormindatud aruandeid.
§ 3. Määruses kasutatud mõisted
Määruses kasutatakse mõisteid järgnevas tähenduses:
1) aruanne on õigusaktiga määratud infoväärtusega andmehulk, mille sisu on tõene ja õigusaktidega nõutud määral terviklik;
2) aruandesõnum on aruannet sisaldav vormiliselt korrektne XML-dokument (Extensible Markup Language, defineeritud World Wide Web Consortiumi soovituses http://www.w3.org/TR/REC-xml);
3) aruandesubjekt on aruande esitamiseks kohustatud juriidiline isik;
4) aruandluse adressaat on Eesti Pank ja/või Finantsinspektsioon;
5) aruande edastamine on aruandesõnumi elektrooniliselt kättesaadavaks tegemine aruandluse adressaadile;
6) aruande esitamine on aruannet kehtestava määruse kohase ja vormiliselt korrektse aruande edastamine aruandluse adressaadile.
2. peatükk Aruannete vormindamine ja XML-skeemid
§ 4. Aruannete vormindamine
(1) Aruandesõnum vormindatakse XML-dokumendina.
(2) Aruandesõnumi struktuur ja sisu määratakse veebiaadressi http://www.fi.ee/schemas kaudu viidatavate XML-skeemide (http://www.w3.org/standards/xml/Schema) alusel.
(3) Näide aruandesõnumi vormindamise kohta asub Eesti Panga veebilehe statistikarubriigi alamlõikes „Aruannete esitajale”.
§ 5. XML-skeemid
(1) Aruandesõnumite sisu on määratud üldstruktuuri kirjeldava XML-skeemi ja sellega seotud konkreetse aruande XML-skeemiga. Aruande XML-skeem on vastava aruande õigusaktiga kehtestatud sisu formaliseeritud esitus.
(2) Aruandesõnumi üldstruktuuri kirjeldav XML-skeem 'x_headers.xsd' asub veebiaadressil http://www.fi.ee/schemas.
(3) Aruannet kirjeldav XML-skeem on varustatud versiooninumbriga, mis kajastab aruande (või ka skeemi) muutusi ajas. Otsitava XML-skeemi veebiaadress on http://www.fi.ee/schemas/[versioon]/[fail], kus nurksulgudes asuv tekst tähistab vastava elemendi väärtust. Elementide „versioon” ja „fail” väärtused leitakse aruande koodi ja aruande kehtivuse alusel veebiaadressil http://www.fi.ee/schemas asuvast failist 'skeemid.xml'.
(4) XML-skeem on aluseks aruandesõnumi vormilise korrektsuse tuvastamisel. Aruandesõnum on vormiliselt korrektne, kui see vastab kehtivale XML-skeemile.
3. peatükk Andmevahetuse turvamine
§ 6. Aruandesõnumite turvamine
(1) Aruandesõnum turvatakse krüptimise ja/või digitaalse allkirjastamise teel.
(2) Aruandesõnumite turvamiseks kasutatakse avaliku võtmega algoritme, mida realiseerivad platvorme OpenPGP (http://www.ietf.org/rfc/rfc4880.txt) või DigiDoc (http://www.sk.ee/digidoc/) toetavad rakendused (näiteks PGP, GnuPG, DigiDoc Client).
(3) Kui aruandesõnumi edastamiseks kasutatakse avalikku kanalit (nt Internet), peab aruandesõnum olema krüptitud ja digitaalselt allkirjastatud.
(4) Kui aruandesõnumi edastamiseks kasutatakse turvatud kanalit (nt HTTPS), võib aruandesõnum olla ainult digitaalselt allkirjastatud.
§ 7. Turvamine OpenPGPga
(1) OpenPGP kasutamisel peavad olema täidetud järgmised nõuded:
1) Krüptimis- ja allkirjastamisvõtme tüüp peab olema RSA;
2) Võtmepaari avaliku poole pikkus peab olema minimaalselt 1024 bitti;
3) Krüptimisalgoritm võib olla 3DES või CAST5. Krüptimisalgoritmi IDEA kasutamine on lubatud, kuid ei ole soovitav;
4) Räsifunktsioon võib olla SHA1. Räsifunktsiooni MD5 kasutamine on lubatud, kuid ei ole soovitav.
(2) Aruannete vastuvõtu rakenduse avalik võti asub käesoleva määruse § 5 lõikes 2 esitatud veebiaadressil.
§ 8. Turvamine DigiDociga
(1) DigiDoci kasutamisel määrab võtmed ning digitaalallkirja ja krüptimise kasutamise tingimused DigiDoci platvorm.
(2) Aruannete vastuvõtu rakenduses kasutatava avaliku võtme tunnus asub käesoleva määruse § 5 lõikes 2 esitatud veebiaadressil.
4. peatükk Võtmehaldus
§ 9. Võtmehaldus OpenPGP kasutamisel
(1) Võtmehaldusele esitatakse järgmised nõuded:
1) võtmepaari tunnuses peavad sisalduma aruandesubjekti kood, sõna ARUANDLUS, võtmepaari kasutava isiku nimi ja võtmepaari kehtivuse lõppkuupäev;
2) võtmepaare peab uuendama regulaarselt, vähemalt üks kord kahe aasta jooksul;
3) kasutatud võtmepaarid tuleb vahetatud andmete käideldavuse tagamiseks säilitada;
4) kehtetuks muutunud võtmepaarid tuleb kasutusest kõrvaldada.
(2) Aruandesubjekti töökorraldusele esitatakse järgmised nõuded:
1) aruandesubjekt peab määrama andmevahetuse korraldamiseks vastutava esindaja, kelle ülesanne on tagada aruandesubjekti võtmete tekitamine (sh kasutuskõlbmatuks muutunud võtmepaaride asendamine), nende kasutamine aruandesubjekti volitatud töötaja(te) poolt ja vahetatud andmete käideldavus;
2) andmevahetuse alustamiseks peab aruandesubjekti vastutav esindaja edastama aruandluse adressaadi vastutavale isikule (soovitavalt digitaalselt) allkirjastatud avaliku võtme ning võtmevahetuse akti; võtmevahetuse aktis peab olema märgitud aruandesubjekti nimi, võtmetunnus(ed) ja volitatud töötaja(d); võtmevahetuse akti peab allkirjastama aruandesubjekti allkirjaõiguslik isik;
3) aruandesubjekti võtmepaari salajast võtit kaitsvat paroolifraasi võib (võivad) teada ainult volitatud töötaja(d).
(3) Korralisel võtmete uuendamisel vahetavad aruandesubjekt ja aruandluse adressaat uued avalikud võtmed digitaalselt allkirjastatuna.
(4) Eriolukorras, kui salajane võti on muutunud kasutuskõlbmatuks (nt avalikustunud või rikutud), teavitatakse sellest kohe aruandluse adressaati/aruandesubjekte, genereeritakse uus võtmepaar ning võetakse see kasutusele.
§ 10. Võtmehaldus DigiDoci kasutamisel
(1) Võtmepaaril peab olema unikaalne tunnus, mis aruandesubjekti ID-kaardi korral peab sisaldama aruandesubjekti nime. Isikliku ID-kaardi korral on unikaalseks tunnuseks isikukood.
(2) Aruandesubjekti töökorraldusele esitatakse järgmised nõuded:
1) aruandesubjekt peab määrama andmevahetuse korraldamiseks vastutava esindaja, kelle ülesanne on tagada aruandesubjekti võtmete (ID-kaartide) hankimine (sh kasutuskõlbmatuks muutunud ID-kaartide asendamine), nende kasutamine ainult aruandesubjekti volitatud töötaja(te) poolt ja vahetatud andmete käideldavus;
2) andmevahetuse alustamiseks peab aruandesubjekti vastutav esindaja edastama aruandluse adressaadi vastutavale isikule (soovitavalt digitaalselt) allkirjastatud akti. Aktis peab olema märgitud aruandesubjekti nimi, kasutatava(te) ID-kaardi (-kaartide) tunnus(ed) ja volitatud töötaja(d). Akti peab allkirjastama aruandesubjekti allkirjaõiguslik isik;
3) aruandesubjekti ID-kaardi (-kaartide) salajasi võtmeid kaitsvaid paroolifraase (PIN1, PIN2) või(b)vad teada ainult volitatud töötaja(d).
5. peatükk Aruandesõnumite edastamine ja aruannete esitatuks pidamine
§ 11. Nõuded aruandesõnumite edastamisele
(1) E-kirja kasutamisel peab allkirjastatud ja krüptitud aruandesõnumi(d) edastama manus(t)ena aadressil [email protected]. Igas manuses võib olla ainult üks aruandesõnum.
(2) Edastatav e-kiri peab olema MIME-kodeeringus. E-kirja tekstiosa (keha) ignoreeritakse.
(3) E-kirja manuste arv ei ole piiratud, kuid soovitav on järgida e-kirja kogumahu head tava (maksimaalselt 10 megabaiti).
(4) Manusesse lisatava aruandesõnumi mahu vähendamine elektrooniliste vahendite abil ehk pakkimine ei ole lubatud.
(5) Käesolevas paragrahvis nimetamata andmeedastusprotokollide kasutamisel (nt HTTPS) on edastuse täpne viis määratletud kasutatavate rakenduste töökorraga.
§ 12. Aruandesõnumite esmane töötlus
(1) Aruandesõnumite esmane töötlus teostatakse aruandluse adressaadi aruannete vastuvõtu rakenduse abil.
(2) Aruannete vastuvõtu rakendus edastab aruandesubjektile kinnituse aruandesõnumi saabumisest vaid juhul, kui aruandesõnumi elemendi <require_receipt> väärtus oli 'yes'. Sel juhul edastatakse aruandesubjektile teade, mis sisaldab manuses olnud faili nime, aruande- ja aruandesubjekti koodi ning aruande kuupäeva. See teade on ühtlasi aruandluse adressaadi kinnitus aruandesubjektile, et aruandesõnum on edastatud.
(3) Teated aruandesõnumis tuvastatud vigade kohta edastatakse aruandesubjekti poolt määratud adressaadile nii tekstivormingus kui ka manustatud XML-vormingus failina.
(4) Aruandesõnumi päises esitatud aadressil edastatakse veateated aruandesõnumi üldvormingu kohta. Aruande päises esitatud aadressil edastatakse aruande sisu puudutavad veateated.
(5) Kui elemendi <comment> väärtus ei ole tühi, edastab aruannete vastuvõtu rakendus selles sisalduva teate aruandluse adressaadi määratud vastava aruande töötlejale.
§ 13. Hoiatuse edastamine aruandesubjektile
Vormiliselt korrektse aruande tähtajaks edastamata jätmisel saadetakse aruandesubjektile sellekohane hoiatus. Hoiatus saadetakse aruandesubjekti vastutava esindaja määratud e-posti aadressil.
§ 14. Aruannete esitatuks pidamine
Aruanne peetakse esitatuks, kui see on sisult korrektne ning koostatud ja edastatud käesoleva määrusega kehtestatud nõuete kohaselt.
Andres Lipstok
president
Facebook
Twitter