13.1. Σκοπός - Εύρος Πολιτικής
Η Πολιτική Χρήσης Κρυπτογραφίας ορίζει την υποχρέωση του υπόχρεου προσώπου να χρησιμοποιεί κατάλληλους αλγόριθμους και συστήματα κρυπτογραφίας για την επαρκή προστασία των δεδομένων επικοινωνίας ή άλλων πληροφοριών που μπορεί να οδηγήσουν σε αποκάλυψη δεδομένων επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών (ενδεικτικά αναφέρονται κωδικοί πρόσβασης και δεδομένα διάρθρωσης των ΠΕΣ) κατά την αποθήκευση και μεταφορά τους σε ΠΕΣ, καθώς και τα ελάχιστα χαρακτηριστικά ασφάλειας των συστημάτων κρυπτογραφίας. Η Πολιτική Χρήσης Κρυπτογραφίας εφαρμόζεται σε όλα τα ΠΕΣ του υπόχρεου προσώπου.
13.2. Γενικές Απαιτήσεις
13.2.1. Το υπόχρεο πρόσωπο πρέπει να εφαρμόζει συστήματα κρυπτογράφησης για την επαρκή προστασία των δεδομένων επικοινωνίας κατά την αποθήκευση και μεταφορά τους μέσω δικτύων.
13.2.2. Η κρυπτογράφηση πρέπει να εφαρμόζεται στα ΠΕΣ με βάση τα αποτελέσματα που προκύπτουν από την αποτίμηση κινδύνου σε συμφωνία με τις αρχές του άρθρου 3.3 του παρόντος Κανονισμού.
13.2.3. Σε περίπτωση που χρησιμοποιούνται αλγόριθμοι και συστήματα κρυπτογράφησης, συμπεριλαμβανομένων και των αλγορίθμων ψηφιακής υπογραφής, λαμβάνονται υπόψη τα διεθνώς ευρέως αποδεκτά πρότυπα.
13.2.4. Το μήκος κλειδιού που χρησιμοποιείται θα πρέπει να λαμβάνει υπόψη τα διεθνώς και ευρέως αποδεκτά πρότυπα, ανάλογα με τον χρησιμοποιούμενο αλγόριθμο κρυπτογράφησης και με τα αποτελέσματα της αποτίμησης κινδύνου, σε συμφωνία με τις αρχές του άρθρου 3.3 του παρόντος Κανονισμού.
13.2.5. Το υπόχρεο πρόσωπο οφείλει να αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στα κλειδιά τα οποία χρησιμοποιούνται για κρυπτογράφηση, αυθεντικοποίηση ή ψηφιακή υπογραφή.
13.2.6. Σε περίπτωση που χρησιμοποιούνται ασύμμετροι κρυπτογραφικοί αλγόριθμοι (α) για λογική πρόσβαση σε ΠΕΣ, (β) για κρυπτογράφηση ή (γ) για ψηφιακή υπογραφή, κάθε ζεύγος ιδιωτικού/δημόσιου κλειδιού θα πρέπει να αντιστοιχεί σε έναν μοναδικό χρήστη και το αντίστοιχο ιδιωτικό κλειδί θα πρέπει να είναι γνωστό μόνο στον συγκεκριμένο χρήστη, στον οποίο αντιστοιχεί.
13.2.7. Σε περίπτωση που το υπόχρεο πρόσωπο χρησιμοποιεί ψηφιακά πιστοποιητικά δημόσιων κλειδιών, τα οποία παράγονται από παρόχους υπηρεσιών πιστοποίησης, οφείλει να εξασφαλίζει ότι ο πάροχος υπηρεσιών πιστοποίησης συμμορφώνεται με την κείμενη νομοθεσία.
13.2.8. Σε περίπτωση που το υπόχρεο πρόσωπο παράγει και διαχειρίζεται κλειδιά κρυπτογράφησης τα οποία χρησιμοποιούνται σε ΠΕΣ, θα πρέπει να καταρτίζει και να τηρεί κατάλληλες διαδικασίες για τη δημιουργία, πιστοποίηση, διανομή και ανάκληση των κρυπτογραφικών κλειδιών.
13.2.9. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο στο οποίο καταγράφονται οι λεπτομέρειες εφαρμογής των απαιτήσεων που ορίζονται στην παράγραφο 13.2.
