(1) Používaný informační systém pro certifikační služby se považuje za bezpečný, pokud u dat, která zpracovává, je zajištěna důvěrnost, integrita, dostupnost a prokazatelnost jejich původu a pokud odpovídá požadavkům technické normy upravující oblast informační bezpečnosti.¹)

(2) Za účelem doložení bezpečnosti postupů podle § 6 odst. 1 písm. j) zákona o elektronickém podpisu poskytovatel certifikačních služeb vydávající kvalifikované certifikáty zajistí zaznamenávání událostí při

a) vydání kvalifikovaných certifikátů,

b) ukončení platnosti kvalifikovaných certifikátů,

c) nakládání s daty pro vytváření elektronického podpisu a jim odpovídajícími daty pro ověřování elektronického podpisu poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty (dále jen „párová data poskytovatele“), a to během jejich celého životního cyklu, a

d) nakládání s kvalifikovaným certifikátem poskytovatele certifikačních služeb vydávajícího kvalifikované certifikáty, a to během celého životního cyklu tohoto certifikátu.

(3) Záznamy o událostech podle odstavce 2 musí být pořizovány, uchovávány a zpracovávány se zachováním prokazatelnosti původu, dostupnosti, integrity, časové autentičnosti a důvěrnosti těchto záznamů.

(4) Prostory, kde dochází k činnosti podle odstavců 1 až 3 a podle § 5 odst. 1, musí být zabezpečeny obdobně jako objekty kategorie „D“ podle zvláštního právního předpisu.²)

(5) Za účelem doložení bezpečnosti postupů podle § 6 odst. 1 písm. j) a k) zákona o elektronickém podpisu poskytovatel certifikačních služeb vydávající kvalifikované certifikáty pořizuje písemné záznamy o tom, že osoby jím určené k zajišťování služeb spojených s elektronickými podpisy jsou

a) seznamovány v potřebném rozsahu s dokumenty uvedenými v § 2 odst. 1 písm. a) až e), a

b) proškolovány tak, aby jejich odborné předpoklady odpovídaly vykonávané činnosti.