I. KAFLI Markmið og gildissvið. 1. gr. Markmið. Markmið þessara reglna er að auka neytendavernd og treysta stoðir upplýsingasamfélagsins með því að gera auknar kröfur til þeirrar IP fjarskiptaþjónustu sem almenningur og fyrirtæki nota. Með reglum þessum er kveðið á um þær ráðstafanir sem Póst- og fjarskiptastofnun telur nauðsynlegt að fjarskiptafyrirtækin geri til að tryggja vernd, virkni og gæði þjónustunnar. Samkvæmt þeim skal viðhafa ráðstafanir sem lúta að þjónustunni, vernd viðskiptamannatenginga, viðskiptamannasamningum og stjórnun þeirra fjarskiptaneta sem þjónustan er veitt yfir, sem er undirstaða og forsenda góðrar netþjónustu. 2. gr. Gildissvið. Reglur þessar ná til net- og upplýsingaöryggis á gildissviði laga nr. 81/2003 um fjarskipti. Reglurnar ná til fjarskiptafyrirtækja sem reka fjarskiptaþjónustu í almennum fjarskiptanetum. Þær gilda um almenn fjarskiptanet og fjarskiptaþjónustu sem flutt er samkvæmt IP staðli, til og með búnaði viðskiptavina, en taka ekki til innanhússlagna og aðstöðu hjá viðskiptavinum. Sérstaklega er fjallað um innanhússlagnir í reglum Póst- og fjarskiptastofnunar um innanhússfjarskiptalagnir nr. 1109/2006. Þær gilda ennfremur um starfsemi öryggishópa í fjarskiptageiranum og upplýsingaskyldu fjarskiptafyrirtækja gagnvart þeim. 3. gr. Skilgreiningar. Merking orða og hugtaka í reglum þessum er sem hér segir: Aðgangsstýring: Aðferð til þess að tryggja að einungis aðilar með heimild hafi aðgang að fjarskiptaneti, t.d. að skilgreindum svæðum og gögnum, hvort sem þau eru á tölvutæku formi eða ekki. Almennt fjarskiptanet: Fjarskiptanet sem er notað að öllu eða að mestu leyti til að bjóða almenna fjarskiptaþjónustu. Fjarskiptafyrirtæki: Einstaklingur eða lögaðili sem hefur tilkynnt Póst- og fjarskiptastofnun um fyrirhugaðan rekstur fjarskiptaþjónustu eða fjarskiptanets. Fjarskiptanet: Sendikerfi og þar sem það á við skiptistöðvar, beinar og önnur úrræði sem gera mögulegt að miðla merkjum eftir þræði, þráðlaust, með ljósbylgjum, rafdreifikerfi, háspennulínum eða með öðrum rafsegulaðferðum, þ.m.t. net fyrir hljóð- og sjónvarp og kapalsjónvarp. Fjarskiptaþjónusta: Þjónusta sem að nokkru eða öllu leyti felst í því að beina merkjum um fjarskiptanet, þ.m.t. tölvupóstþjónusta og netaðgangur. Internet: Víðtækt IP fjarskiptanet sem nær til flestra landa heims og stendur öllum til boða með fjölbreyttri IP fjarskiptaþjónustu. IP fjarskiptanet: Fjarskiptanet sem flytur gagnapakka samkvæmt IP (Internet Protocol) staðli. IP net: Röð IP vistfanga sem allar lúta sömu beinireglum, þ.e. hvert pökkunum er beint áfram. IP fjarskiptaþjónusta: Fjarskiptaþjónusta sem veitt er yfir almenn IP fjarskiptanet, s.s. tölvupóstþjónusta, vefþjónusta, nafnaþjónusta, skráaflutningur og spjallrásir. Ennfremur rekstrarþættir t.d. vistun léna og skráning IP neta. IP selflutningsþjónusta: Flutningsþjónusta IP umferðar sem fjarskiptafyrirtæki veitir yfir IP fjarskiptanet sín gegnum samtengingu við annað fjarskiptafyrirtæki, þar sem annaðhvort viðtakandi eða sendandi tiltekins flutnings, eða hvorugur þeirra, eru úr hópi viðskiptavina fjarskiptafyrirtækjanna sem samtengjast. Leynd: Vernd upplýsinga gegn óviðkomandi aðgangi, bæði á meðan þær eru sendar milli staða og þar sem þær eru vistaðar. Mikilvægir innviðir: Þeir innviðir fjarskiptaneta sem eru máttarstólpar fjarskiptanetanna í heild og fjarskiptaþjónustunnar, t.d. innsti kjarni fjarskipanetanna og aðalflutningsleiðir fjarskiptaneta, þ.m.t. til útlanda. Ótrygg virkni þeirra getur ógnað tiltrú almennings á þjónustu fjarskiptafyrirtækisins og fjarskiptum almennt. Nafnaþjónusta: Þjónusta sem umbreytir nöfnum (t.d. www.len.is) í IP vistföng. Net- og upplýsingaöryggi: Hæfni fjarskiptaneta til að tryggja að ákveðin fyrirfram skilgreind öryggismörk standist þegar ógnir steðja að eða ef veilur myndast, t.d. vegna mannlegra mistaka eða skemmdarverka, sem stofna í hættu leynd, réttleika og tiltækileika upplýsinga í fjarskiptanetum. Það getur auk þess falið í sér aðra eiginleika, svo sem ósvikni, ábyrgni, óhrekjanleika og áreiðanleika. Netaðgangur: Eiginlegur aðgangur að fjarskiptanetum og tengd þjónusta, þ.m.t. þjónusta sem ber kennsl á notendur, þjónusta sem staðfestir hver notandinn er og óbeinn flutningur. Ennfremur sú stuðningsþjónusta sem veitt er, s.s. veiting IP vistfanga, léna og vefþjónustu. Netárás: Árás í gegnum fjarskiptanet, sem miðar að því að skerða þjónustu eða trufla virkni neta og kerfa. Nettengipunktur: Efnislegur tengipunktur þar sem áskrifanda er veittur aðgangur að almennu fjarskiptaneti. Óbeinn flutningur: Milliliður í flutningi fjarskiptaumferðar viðskiptavina sem að öllu jöfnu hylur skráð IP vistfang sendanda en sýnir í staðinn IP vistfang milliliðsins, t.d. svokölluð proxy þjónusta. Óhrekjanleiki: Aðferð sem tryggir að sendandi upplýsinga geti ekki afneitað því að hafa sent tilteknar upplýsingar eða móttakandi að hafa tekið á móti þeim. Pósthús: Tölvupóstmiðlari sem viðskiptavinur tengist m.a. í þeim tilgangi að senda póstinn sinn og fá aðgang að innkomandi pósti í pósthólfinu sínu. Pósthúsið sendir útsendan tölvupóst á sendipósthús, sem getur verið einn og sami miðlarinn. Raunlægur: Merkir áþreifanlegan efnislegan hlut eða raunverulegt umhverfi. Réttleiki: Eiginleiki upplýsinga sem felst í því að upplýsingarnar eru nákvæmar og réttar. Engu hefur verið eytt, engu bætt við eða breytt og ekkert vantar í upplýsingarnar. Þetta á einnig við um varðveislu þessara eiginleika ef upplýsingar eru sendar, mótteknar og vistaðar hjá viðtakanda. Sendipósthús: Vélbúnaður og viðeigandi hugbúnaður, sem sinnir því hlutverki að setja tölvupóst í flutning áleiðis til pósthúss viðtakanda. Skilaboð: símhringing, tölvupóstur, SMS skilaboð, talskilaboð, myndskilaboð, sjónvarpsdagskrá, IP þjónusta eða önnur sambærileg skilaboð sem flutt eru milli aðila, eða til óskilgreindra móttakenda í fjarskiptaneti. Spillikóti: Forrit, eða forritunarbútar, sem smeygja sér inn í tölvur og fjarskiptanet í þeim tilgangi að framkvæma einhverja heimildarlausa eða skaðlega aðgerð. Dæmi um spillikóta eru tölvuveirur og tölvuormar. Spilliumferð: Fjarskiptaumferð sem send er af stað í þeim tilgangi að spilla virkni fjarskiptaneta. Dæmi um spilliumferð er netárás og ofgnótt ruslpósts. Tiltækileiki: Merkir að upplýsingar séu aðgengilegar og þjónusta tiltæk þegar á þarf að halda, eða eins og mögulegt er svo sem við rafmagnsleysi, náttúruhamfarir, slys eða netárásir. Umferðarmögnun: Þegar umferð er beint í ákveðin farveg sem hefur margföldunaráhrif í umferð til annars IP vistfangs eða vélbúnaðar. Upplýsingar: Eru hvers konar tákn, merki, skrift, mynd og hljóð sem send eru eða móttekin eða hvers konar boðmiðlun eftir leiðslum, með þráðlausri útbreiðslu eða öðrum rafsegulmiðlum. Vefpósthús: Pósthús sem viðskiptavinur tengist gegnum vefmiðlara pósthússins. Þjónustusynjun: Synjun eða skerðing þjónustu, af völdum truflana, bilana eða netárása. Öryggisatburður: Það að upp kemur staða kerfis, þjónustu eða nets sem gefur til kynna hugsanlegt brot gegn öryggisstefnu eða bilun í öryggisráðstöfun, eða áður óþekkt staða sem getur skipt máli fyrir öryggi. Öryggisatvik: Atvik sem er gefið til kynna með einum eða fleiri óæskilegum eða óvæntum öryggisatburðum sem talsverðar líkur eru á að stofni rekstrarþáttum í hættu og ógni upplýsingaöryggi. Öryggishópur: Öryggishópur sem stuðlar að vernd gegn öryggisatvikum, ótryggri virkni og tortryggilegum atvikum í upplýsinga- og fjarskiptanetum á Íslandi. II. KAFLI Almennar kröfur og leiðbeiningar. 4. gr. Almennt. Að öðru leyti en hér kemur fram skal fylgja viðeigandi reglum Póst- og fjarskiptastofnunar. 5. gr. Staðlar. Nánari tæknileg útfærsla er skilgreind í viðeigandi RFC stöðlum frá IETF (Internet Engineering Task Force). Við að uppfylla ákvæði þessara reglna, er heimilt er að styðjast við aðrar tæknilegar útfærslur, svo framarlega þær veita eigi síðri lausn. III. KAFLI Netskráning og stjórnun IP umferðar 6. gr. Almennt. Í þeim tilgangi að auka vernd og gæði netþjónustunnar, skal viðhafa markvissa stjórnun þeirrar umferðar sem flytur þjónustuna. Ennfremur skal auðvelda viðskiptavinum að sjá uppruna þjónustusendinga. 7. gr. Stjórnun og stýring almennrar IP umferðar. Koma skal í veg fyrir að ónauðsynleg IP netumferð og upplýsingar um IP net berist út milli fjarskiptafyrirtækja og hindra fölsun á uppruna IP vistfanga. Skal að lágmarki styðjast við eftirfarandi ráðstafanir: - Sía skal út IP umferð til annars fjarskiptafyrirtækis, ef IP vistfang sendanda er ekki innan auglýstra IP vistfanga þess fjarskiptafyrirtækis sem sendir.
- Tryggja skal að vistfang IP umferðar, sem á upptök hjá beintengdum viðskiptavini, sé innan úthlutaðra IP vistfanga hans.
- Sía skal út utanaðkomandi leiðartilkynningar sem fjarskiptafyrirtæki fær um vistföng sem því tilheyra. Undantekningar eru í sérstökum tilfellum sem viðkomandi aðilar ákveða, svo sem þegar einn aðili tengist interneti gegnum tvo eða fleiri aðila eftir aðgreindum leiðum, í þeim tilgangi að auka flutningsöryggi.
- Sía skal út IP umferð sem fjarskiptafyrirtæki fær, ef IP vistfang sendanda er innan IP vistfanga þess.
- Fjarskiptafyrirtæki skulu koma í veg fyrir hvers konar umferðarmögnun og keðjuverkun umferðar til annarra IP vistfanga.
- Koma skal í veg fyrir að ónauðsynlegar upplýsingar um IP net og IP fjarskiptaumferð berist út milli fjarskiptafyrirtækja.
- Búnaður og samskiptahættir er stýra IP fjarskiptaumferð, skulu vera varin á sem æskilegastan máta gegn hvers konar þjónustusynjun og röngum leiðarupplýsingum.
- Komið skal í veg fyrir falskar eða rangar leiðarupplýsingar IP neta frá viðskiptavinum, svo sem að sjálfgefnar leiðarupplýsingar séu ranglega auglýstar út á almenn IP fjarskiptanet.
- Áður en uppsetning eða breyting er framkvæmd á búnaði eða samskiptaháttum er stýra jaðarumferð, skal vera búið að samþykkja hana af a.m.k. tveimur starfsmönnum fjarskiptafyrirtækisins eða sérstakri breytingarstjórn fyrirtækisins þar að lútandi.
- Búnaður og netstýringar skulu vera þannig uppsett að umferð gangi jafnt og greiðlega fyrir sig og ekki séu til staðar þrengingar eða hindranir sem komi í veg fyrir jafna flutningsvirkni í fjarskiptanetinu í heild sinni í samræmi við lýsingar í áætlun fyrirtækisins um órofa virkni.
8. gr. Úthlutun og skráning IP vistfanga. Fjarskiptafyrirtæki skulu úthluta viðskipavinum IP vistföngum skv. ákveðnum vinnureglum og auðvelda þeim að rekja uppruna IP fjarskiptaumferðar og þjónustusendinga með virkri vistfangaskráningu. Skal að lágmarki styðjast við eftirfarandi ráðstafanir: - Fjarskiptafyrirtæki skulu úthluta viðskipavinum IP vistföngum í samræmi við marktæka þörf og vinnureglur þeirrar erlendu stofnunar sem hefur yfirumsjón með þessum málum.
- Tryggja skal að úthlutuð IP vistföng séu eingöngu í notkun hjá viðkomandi viðskiptamanni.
- Úthlutun einstakra IP vistfanga, eða raða IP vistfanga, skal vera án kostnaðar fyrir viðskiptavin. Heimilt er þó að innheimta þjónustugjald.
- Fjarskiptafyrirtæki sem tengist öðrum fjarskiptafyrirtækjum jafningjasamböndum, eða veitir selflutningsþjónustu til annars fyrirtækis, skulu skrá í almennri internet leiðaskráningu (Public Internet Routing Registry) leiðarreglugerð sína (Routing Policy), gangvart þessum fjarskiptafyrirtækjum.
- Í WHOIS internet svæðisbundinni skráningu (Regional Internet Registry, RIR), skal skrá nauðsynlegar rétthafa- og tengiliðaupplýsingar vegna þeirra IP vistfanga sem fjarskiptafyrirtæki endurúthluta, þ.m.t. tengiliði vegna misnotkunar.
- Meðan viðskiptamaður er með endurúthlutuð IP vistföng frá fjarskiptafyrirtæki, heldur hann skráningarétti á fram- og bak-nafnaskráningunum meðan almenns velsæmis er gætt í nöfnum.
IV. KAFLI Nafnaþjónusta. 9. gr. Almennt. Viðhafa skal ráðstafanir er tryggja áreiðanleika og virkni nafnaþjónustu. Gera skal viðskiptavinum kleift að viðhalda nafnaskráningu léna og bendifærslna (PTR) þeirra IP neta sem þeim er úthlutað og auðvelda þeim að meta gæði þjónustunnar. Fjarskiptafyrirtæki skulu ekki setja hömlur á viðskiptavini kjósi þeir að reka eigin nafnaþjóna og sjá um slíkt viðhald þar. 10. gr. Skráning nafnafærslna. Fjarskiptafyrirtæki skulu skrá nöfn fyrir viðskiptavini sína á sem öruggastan hátt og samkvæmt viðeigandi stöðlum og viðmiðunum, þar með talin skráning léna sem innihalda séríslenska stafi. 11. gr. Skráning bendifærslna (PTR). Fjarskiptafyrirtæki skulu viðhalda skráningu bendifærslna fyrir eigin IP net, en gefa viðskiptavinum sínum kost á að halda þeim við með eigin nafnaþjónum fyrir þau undirnet sem þeim er úthlutað. 12. gr. Vernd og virkni nafnaþjónustu. Þeir nafnaþjónar sem viðskiptavinir geta flett beint í, skulu eingöngu þjóna lokuðum hópi fyrirspyrjenda, s.s. viðskiptavinum fjarskiptafyrirtækisins. Aðskilja skal þá frá þeim nafnaþjónum sem þjóna upprunaupplýsingum um lén viðskiptavina. Fjarskiptafyrirtæki skulu hámarka rekstraröryggi þeirra nafnaþjóna sem geyma upprunaupplýsingar, m.a. með því að staðsetja þá á aðskildum IP netum eða á annan hátt óháðan eigin IP fjarskiptanetum. Nafnaþjónar skulu hafa nægjanlega aukagetu til að geta staðist sem best hvers konar netárásir sem hafa það markmið að skerða þjónustu þeirra. Slíkar árásir skal vera hægt að sía út á sem skemmstum tíma. Fjarskiptafyrirtæki skulu tryggja að nafnaþjónusta á þeirra vegum verndi færsluinnihald sitt, geti staðfest uppruna svars og komi í veg fyrir að færslugögnum verði hagrætt í flutningi. Nafnaþjónustan skal geta neitað tilvist færslna á sannanlegan hátt, þ.e. í stað þess að vísa svari annað komi neitun um tilvist nafnsins. Ennfremur skal koma í veg fyrir hvers konar þjónustusynjun nafnaþjónustunnar. Taka skal mið af tækni hvers tíma og meta ávinninginn í samanburði við stærri annmarka. Fjarskiptafyrirtæki skulu vera í stakk búin að reisa nafnaþjónustuna við á sem skemmstum tíma. 13. gr. Vöktun á nafnaþjónustu. Fjarskiptafyrirtæki skulu að lágmarki vakta vernd, virkni, afkastagetu og samsvörun nafnaþjóna sinna. Gildir þetta jafnt um nafnaþjóna sem þjóna fyrirspurnum viðskiptavina, og nafnaþjóna sem þjóna nöfnum viðskiptavina. Leitast skal við að birta viðskiptavinum niðurstöður slíkra mælinga, og að lágmarki ef þær uppfylla ekki kröfur fjarskiptafyrirtækisins um órofa virkni. V. KAFLI Tölvupóstþjónusta. 14. gr. Almennt. Með það að markmiði að auka gæði tölvupóstþjónustu skal viðhafa ráðstafanir er snúa að rekstraröryggi og hindra óumbeðinn póst, eins og kostur er. Ennfremur skal auðvelda viðskiptavinum að meta gæði þjónustunnar og bera saman þjónustu mismunandi fjarskiptafyrirtækja. 15. gr. Vernd tölvupóstþjónustu. Verja skal sendipósthús, búnað er veitir óbeinar tengingar og hliðstæðan búnað undir stjórn fjarskiptafyrirtækja, gegn því að aðilar geti áframsent póst í gegnum þau án heimildar. Reglulega skulu fjarskiptafélögin prófa búnað sinn gagnvart slíku og skrá niðurstöðuna. Þau skulu ennfremur prófa reglulega hliðstæðan búnað tengdra viðskiptavina sinna, sem starfrækja sín eigin sendipósthús, þar sem eingöngu skal leyfa póstumferð sem á upptök sín á innri IP fjarskiptanetum þeirra. Ef búnaðurinn er í hýsingu hjá öðru fjarskiptafyrirtæki, skal það framkvæma prófanirnar. Við misbrest skal loka á samskipti við búnaðinn meðan lagfæring fer fram og láta viðkomandi viðskiptavin vita. Fjarskiptafyrirtæki skulu tryggja réttan uppruna pósts sem sendur er frá fjarskiptanetum þeirra og koma í veg fyrir að tölvur og annar búnaður viðskiptavina þeirra séu notuð sem verkfæri til að senda óumbeðinn póst. Fjarskiptafyrirtæki skulu í þessum tilgangi loka á sendingar tölvupósts frá viðskiptamönnum sínum gegnum svokölluð SMTP sendihlið 25 til allra utanaðkomandi IP vistfanga, að undanskyldum IP vistföngum pósthúsa fjarskiptafyrirtækisins og pósthúsa hýsingaraðila innan fjarskiptaneta fjarskiptafyrirtækisins. Þessar lokanir skal gera sem næst jaðri IP fjarskiptanetsins þar sem viðskiptamenn tengjast netinu. Ef viðskiptavinur starfrækir eigið pósthús eða sendipósthús, skal viðskiptavini gefinn kostur á að IP vistfang þess sé undanþegið fyrrgreindum lokunum á sendihliði 25, þótt önnur IP vistföng viðskiptavinarins séu það ekki. Sömuleiðis getur sérhæfður búnaður viðskiptavina, sem vinnur í þeim tilgangi að senda umbeðnar fjöldasendingar tölvupósts svo sem fréttabréfa, verið undanþeginn þessu ákvæði. Gefa skal viðskiptavinum kost á, og hvetja þá til, að senda tölvupóst gegnum svokallað ESMTP sendihlið 587 (RFC-4409) til viðkomandi pósthúss og sendipósthúss fjarskiptafyrirtækisins, ásamt notkun á SMTP-AUTH (RFC-4954) og dulkóðun t.d. samkvæmt START TLS staðli (RFC-4616). Þeir viðskiptamenn fjarskiptafyrirtækis sem staddir eru á fjarskiptaneti þriðja aðila og tengjast pósthúsi fjarskiptafyrirtækisins eða pósthúsi í hýsingu innan fjarskiptaneta þess, skulu eingöngu senda tölvupóst gegnum fyrrgreint ESMTP sendihlið 587 (RFC-4409) til viðkomandi pósthúss. Skal tengihliðinu því ekki lokað á neinn hátt í fjarskiptanetunum. Í þessum tilvikum skulu fjarskiptafyrirtæki jafnframt auðkenna viðskiptavininn í samræmi við viðurkennda RFC staðla, svo sem SMTP-AUTH (RFC-4954) eða hliðstætt. Auðkenni skal að lágmarki dulkóða í flutningi til pósthússins, t.d. skv. START TLS staðli (RFC-4616). Í vefpósthúsum sínum skulu fjarskiptafyrirtæki auðkenna viðskiptavini og gefa þeim kost á dulkóðun samskipta milli þeirra og vefpósthússins. 16. gr. Frekari vernd og upplýsingagjöf. Fjarskiptafyrirtæki skulu vera í stakk búin að virkja tímanlega nauðsynlega ferla sem bregðast við ruslpósti sem á upptök sín í endabúnaði notenda og í netbúnaði kerfa Fjarskiptafyrirtæki skulu vakta póst sem berst inn og út frá fjarskiptakerfum þeirra, með það að markmiði að skynja óvenjulega póstvirkni og uppruna hennar. Þau skulu vera viðbúin að bregðast við í samræmi við eðli hvers atviks. Fjarskiptafyrirtæki skulu loka á hugsanlega smituð viðhengi tölvupósts. Ef síunin byggist á því að innihald gagnanna er skoðað óvélrænt, skulu fjarskiptafyrirtæki hafa fengið fyrirfram heimild til síunnar hjá viðskiptavinum sínum. Fjarskiptafyrirtæki skulu mynda ferla milli sín, sem gerir þeim auðvelt að bregðast við atvikaskráningum sem berast milli fjarskiptafyrirtækja og taka við kvörtunum notenda. Fjarskiptafyrirtæki skulu upplýsa viðskiptavini sína um öryggisstefnu og almenna lýsingu á öryggisferlum. Í þeim tilgangi að koma sem best í veg fyrir að skeyti berist á rangan aðila, skulu líða a.m.k. 3 mánuðir þangað til fjarskiptafyrirtæki endurúthlutar óvirkum netföngum til annarra viðskiptavina. Fjarskiptafyrirtæki skulu setja skýra notkunarskilmála varðandi tölvupóst. Þau skulu ennfremur veita viðskiptavinum sínum upplýsingar um hættur samfara ruslpósti, til hvaða ráða sé gripið í fjarskiptanetum þeirra, og hvers vegna slíkt er mikilvægt til að fyrirbyggja misnotkun á tölvupósti. Ennfremur skulu þau benda viðskiptavinum sínum á leiðir sem gagnast geta við að verja tölvur þeirra gegn misnotkun á tölvupósti. 17. gr. Virkni tölvupóstþjónustu. Tölvupóstþjónustu skulu fjarskiptafyrirtæki veita á þann hátt að virkni skerðist óverulega vegna truflana eða bilana, t.d. með tvöföldum búnaði og álagsdreifingu. Í þeim tilgangi að dreifa álagi og minnka truflanir í póstþjónustu skal aðgreina þá póstþjóna sem þjóna pósti er berst inn, frá pósti sem sendur er út. Fjarskiptafyrirtæki skulu vera í stakk búin að reisa tölvupóstþjónustuna við á sem skemmstum tíma. 18. gr. Vöktun á tölvupóstþjónustu. Með það að markmiði að tryggja gæði og áreiðanleika póstþjónustu undir stjórn fjarskiptafyrirtækja, skulu þau að lágmarki vakta eftirfarandi og birta viðskiptavinum í rauntíma, á þann hátt að þeir geti á auðveldan hátt metið gæði þjónustunnar: - Virkni póstþjónustunnar.
- Seinkun á útsendingu tölvupósts frá póstkerfunum.
- Hlutfallslegt álag á póstkerfin og póstbiðraðir þeirra.
- Truflanir í póstkerfunum og saga truflana.
- Rekstur og virkni póstsíunar.
Póstþjónar og póstsíur sem eru sérstaklega rekin í þeim tilgangi að vinna með umbeðnar fjöldasendingar tölvupósts, svo sem fréttabréfa, eru undanþegin þessu ákvæði. 19. gr. Vernd gegn óumbeðnum fjöldasendum skeytum Fjarskiptafyrirtæki sem veita tölvupóstþjónustu, skulu bjóða þjónustu til að vernda viðskiptavini sína gegn óumbeðnum fjöldasendingum tölvupósts eða annarra rafrænna skeyta, hvort sem um er að ræða magnsendingu markpósts eða fjöldasendingar í öðrum tilgangi. Styðjast skal við viðurkenndar ráðstafanir og tækni hvers tíma. Ef fjarskiptafyrirtæki verður þess áskynja að viðskiptavinur sendir eða framsendir slíkan fjölpóst yfir IP fjarskiptanet fjarskiptafyrirtækisins, skal það hindra sendinguna, t.d. með hraðahindrun eða lokun á viðkomandi tengihliði, eða viðskiptamannatengingu. Fjarskiptafyrirtækjum er almennt heimilt að sía út og eyða samstundis óumbeðnum fjöldasendum skeytum sem greinilega eru gölluð og í ósamræmi við RFC staðla. Önnur skeyti sem síunarkerfi flokka út sem óumbeðin, skulu síunarkerfin taka til hliðar, láta viðskiptavin vita að hann eigi slík skeyti í geymslu, hafi hann óskað þess, og geyma í a.m.k. 6 klst. frá stöðvun áður en síunarkerfin eyða þeim. Gildir þá einu hvort fjöldasendingarnar koma frá viðskiptavinum fjarskiptafyrirtækisins eða berast eftir öðrum leiðum. Fjarskiptafyrirtæki skulu gera viðskiptavinum sínum grein fyrir heimild sinni hvað þetta varðar í viðskiptaskilmálum. Viðhafa skal skjótar ráðstafanir ef slíkar fjöldasendingar stofna öryggi mikilvægra innviða fjarskiptanetanna í hættu. Í slíkri neyð er heimilt að grípa til róttækari ráðstafana, t.d. að sía út og eyða skeytunum jafnóðum til að verja mikilvægu innviðina, eða loka einstökum kerfistengingum. Skulu fjarskiptafyrirtæki þá senda Póst- og fjarskiptastofnun skýrslu um tilvikin, innan sólarhrings eftir að þau eiga sér stað, þar sem fram kemur atburðarrás, umfang gagnaeyðingar og áhrifamat ef ekki hefði verið brugðist við. Fjarskiptafyrirtæki skulu leiðbeina viðskiptavinum sínum um hvernig þeir geta varist óumbeðnum pósti og hvert þeir geti snúið sér með kvartanir vegna þeirra. Gildir einu hvort skeytin eiga sér upptök innan eða utan IP fjarskiptaneta fjarskiptafyrirtækjanna. VI. KAFLI Óbeinn flutningur. 20. gr. Rekjanleiki. Í þeim tilgangi að tryggja rekjanleika uppruna IP fjarskiptaumferðar skal sá aðili er veitir óbeinan flutning í fjarskiptanetum utan fjarskiptaneta viðskiptavina loka á afnot annarra en viðskiptavina sinna að þjónustunni og viðhafa nákvæma skráningu á eftirfarandi í hvert sinn sem viðskiptavinirnir nýta sér óbeinan flutning: - Hvert efnið er sótt eða skoðað.
- Uppruna IP vistfang og auðkenningu viðskiptavina.
- Dagsetningu og tíma samskiptanna.
Gildir einu hvort tækjabúnaðurinn er hýstur á Íslandi eða í útlöndum. 21. gr. Upplýsingagjöf til viðskiptamanna. Í þeim tilgangi að viðskiptavinir séu meðvitaðir um hvernig fjarskiptaumferð þeirra fer fram, skulu fjarskiptafyrirtæki gefa viðskiptavinum sínum upplýsingar um hvort og hvaða umferð þeirra sé send gegnum óbeinan flutning, hvort óbeini flutningurinn sé hulinn og um þær takmarkanir sem hann veldur, svo sem um hugsanlegar umferðarlokanir og ritskoðun efnis viðskiptavina. VII. KAFLI Vernd viðskiptamannatenginga. 22. gr. Almennt. - Koma skal í veg fyrir óheimila vísun umferðar eins viðskiptavinar til annars.
- Fjarskiptafyrirtæki skulu vera í stakk búin að greina og leysa vandamál í viðskiptamannatengingum sem stofnað geta upplýsingaöryggi og tiltækileika fjarskiptanetanna í hættu.
- Fjarskiptafyrirtæki er selur, eða afhendir, uppsettan tengibúnað til viðskiptavina sinna, skal verja búnaðinn gegn óheimilli fjarskiptaumferð eins og kostur er, t.d. með notkun eldvarnarveggjar í netbeini, eða viðhafa góðar öryggisráðstafanir í þráðlausum staðarnetum. Gildir einu þótt viðskiptavinurinn eigi sjálfur búnaðinn, ef fjarskiptafyrirtækið forstillir hann eða setur upp.
- Brýna skal fyrir viðskiptavinum að koma í veg fyrir óheimila IP fjarskiptaumferð í þeim fjarskiptanetum og búnaði sem viðskiptavinirnir setja sjálfir upp.
VIII. KAFLI Öryggisatvik og úrbætur. 23. gr. Almennt. Tryggja skal að fjarskiptanet séu í stakk búin að takmarka útbreiðslu öryggisatvika, m.a. að sía út óæskilega fjarskiptaumferð, s.s. spilliumferð og netárásir, sem er líkleg til að stofna öryggi upplýsinga og rekstri fjarskiptaneta í hættu. 24. gr. Skýrslugjöf um öryggisatvik og stjórnun. Með það að markmiði að tryggja samfellda IP fjarskiptaþjónustu, skulu öryggisatvik og tækniveilur vera kynnt með þeim hætti að hægt sé að gera úrbætur tímanlega. Ennfremur skal tryggja að tekið sé með samkvæmum og skilvirkum hætti á umsjón með öryggisatvikum. Fjarskiptafyrirtæki skulu vera með skýra og skilvirka ferla vegna tilkynninga um öryggisatvik, eða hættu á þeim í almennum fjarskiptanetum sínum, svo sem af völdum truflana, bilana og breytinga. Þjónustuviðmið þar að lútandi skulu koma fram á heimasíðu fyrirtækisins eða eftir sambærilegum leiðum, t.d. í viðskiptamannasamningum. Í tilkynningunum þarf að lágmarki að koma fram hvaða áhrif atvikið hefur eða getur haft og þær ráðstafanir sem fjarskiptafyrirtækið muni gera, ásamt ráðleggingum til viðskiptamanna ef svo ber undir. 25. gr. Samvinna við öryggishópa. Í þeim tilgangi að auka heildstæði og öryggi fjarskiptaneta, skulu fjarskiptafyrirtæki taka þátt í samstarfi við öryggishópa gegn vá í fjarskiptanetum og upplýsingakerfum á Íslandi, m.a. með því að senda til þeirra gögn um öryggisatburði, öryggisatvik, ósamfellda virkni og tortryggileg atvik, sem geta valdið truflunum á samfelldri þjónustu eða sett þjónustu og gögn viðskiptavina í hættu. Póst- og fjarskiptastofnun, eða sú samræmingarstöð öryggishópa sem hún tilnefnir, skilgreinir hvaða hópar þetta eru, hvernig samstarfinu er háttað og hvaða gögnum skal skila til þeirra. IX. KAFLI Þjónusta. 26. gr. Almennt. Tryggja skal lágmarksgrunnþjónustu en heimilt er að veita mismunandi þjónustustig umfram grunnþjónustu. Þjónustusamningar skulu vera skýrir og tilteknar upplýsingar til staðar fyrir viðskiptamenn er auðvelda þeim að meta gæði þjónustunnar. 27. gr. Þjónusta og samningar. Að lágmarki skal eftirfarandi vera innifalið í grunnþjónustu: - A.m.k. ein IP tala.
- Nafnaþjónusta, sem samanstendur a.m.k. af tveimur aðgreindum nafnaþjónum.
- Klukkuþjónusta sem svarar búnaði viðskiptavina um rétt tímaviðmið.
- IP fjarskiptaumferð skal ekki tafin, nema hún stofni IP fjarskiptanetum fjarskiptafyrirtækisins í hættu, eða valdi óvenjumiklu álagi á kostnað annarrar IP fjarskiptaumferðar. Skal þá gefa út almenna tilkynningu þar að lútandi. Ennfremur skal fjarskiptafyrirtækið veita viðskiptavinum sínum nánari upplýsingar um hvaða IP fjarskiptaumferð á í hlut, ef eftir því er leitað. Ef um varanlega töf er að ræða, skal hún nánar tilgreind í viðskiptaskilmálum.
- Fjarskiptafyrirtæki skal ekki hindra aðgang viðskiptavina að internetinu, nema um annað sé samið sérstaklega eða það sé gert í samræmi við reglur þessar. Þeim skal gert kleift að veita jafnt sem sækja löglega þjónustu.
Eftirfarandi skal standa til boða, með eða án gjalds: - Notendahjálp sem veitir aðstoð og ráðleggingar fyrir notendur þjónustunnar
- Dagleg mæligögn viðskiptatímabils, ef gjaldfært er skv. mælingu, í a.m.k. 14 daga frá gjalddaga reiknings.
- Nánari greining mæligagna, svo sem uppruna- og afhendingavistföng umferðar, frá þeim tíma sem beiðni berst þar að lútandi.
Grunnþjónustan skal ennfremur innihalda eftirfarandi leiðir er auðvelda viðskiptavinum að meta gæði þjónustunnar: - Aðgengi að vefsíðu sem gerir viðskiptavinum kleift að mæla flutningshraða innan IP fjarskiptanetsins (t.d. TCP afköst á porti 80), frá viðskiptavini að miðju IP fjarskiptanetsins og frá viðskiptavini að mikilvægum jaðarsamtengingum IP fjarskiptanetsins við önnur IP fjarskiptanet.
- Atburðaskrá þeirra atburða sem hafa áhrif á stóran hóp viðskiptavina
- Upplýsingar til almennings á myndrænu formi um hlutfall meðalálags einstakra samtenginga síðustu 5 mínútna, t.d álag 50-70%, pakkatap minna en 0,2%. Ennfremur markmið fyrirtækisins í hverju tilfelli fyrir sig sem gildir fyrir mesta álagstíma dagsins.
Fjarskiptafyrirtæki skulu birta verðandi viðskiptavinum eftirfarandi upplýsingar er gera þeim auðveldara fyrir að velja þá þjónustu sem hentar hverjum og einum: - Upplýsingar um meðal pakkatöf og breytileika pakkatafarinnar, innan einstakra IP fjarskiptaneta fjarskiptafyrirtækisins, þ.m.t. til útlanda.
- Upplýsingar um meðal svartíma í notendahjálp og meðal viðbragðstíma þangað til brugðist er við bilanatilkynningum. Ennfremur markmið fyrirtækisins þar að lútandi. Ef bilanaþjónustan er svæðisskipt, skal birta fyrrgreindar upplýsingar fyrir hvert svæði fyrir sig.
- Upplýsingar um samtengingar við IP fjarskiptanet annarra fjarskiptafyrirtækja.
28. gr. Önnur þjónusta. Vegna framboðs á þjónustu umfram grunnþjónustu, geri fjarskiptafyrirtæki mismunandi valflokka þjónustunnar. Þeir verði skýrt framsettir með það að markmiðið að auðvelda viðskiptavinum að kaupa þá þjónustu sem hentar. Að lágmarki þarf eftirfarandi að koma fram í öllum valflokkum: - Hvernig aðgengi að notendahjálp er háttað, svo sem gjaldfrjálst símanúmer og netföng og opnunartími.
- Hvernig þjónustustigi er háttað, svo sem forgangi viðskiptavina að notendahjálp og annarrar stuðningsþjónustu.
- Hvar þjónustan er veitt og hvernig aðgangsöryggi er háttað, svo sem hvort gögn eru dulrituð og hvar öryggið er veitt.
- Upplýsingar um annað sem er innifalið, svo sem vernd gegn ruslpósti, hnýsnibúnaði eða vernd gegn óæskilegu efni.
Ennfremur þarf eftirfarandi að koma fram ef við á: - Hvort viðskiptamaðurinn fái aðgang að þjónustufulltrúa.
- Hvort viðskiptamaðurinn fái aðgang að öðru sérhæfðu starfsfólki.
- Hvort viðskiptamaðurinn fái reglulegar sendar skýrslur, t.d. um fjölda beiðna hjá stuðningsþjónustu eða skýrslur um ástand kerfa.
- Hvort viðskiptamanninum standi til boða sendipósthús sem hann geti notað til að senda tölvupóst og upplýsingar um það.
29. gr. Þjónustusíður. Ef fjarskiptafyrirtæki veita viðskiptavinum sínum aðgang að þjónustusíðu, þar sem þeir geta t.d. pantað eða breytt þjónustuvali, fengið upplýsingar um ástand kerfa, eða nýtt sér aðra möguleika svo sem að senda þaðan skilaboð, skulu þau takmarka aðgang að síðunni við handhafa þjónustunnar eins og kostur er. Að lágmarki skulu fjarskiptafélögin setja kröfur um lengd og gæði aðgangsorða inn á þjónustusíðuna. X. KAFLI Ýmis ákvæði. 30. gr. Framkvæmd öryggisúttekta. Póst- og fjarskiptastofnun er heimilt að prófa vernd, virkni og gæði IP fjarskiptaþjónustu og gera úttektir á því hvort farið er eftir reglum þessum. Gildir einu hvort það er að eigin frumkvæði eða skv. ábendingum. Prófanir taka m.a. til almennra fjarskiptaneta, fjarskiptaþjónustu og tengdra upplýsingakerfa. Stofnunin ákveður fyrirkomulag prófana eða úttekta. Póst- og fjarskiptastofnun getur ákveðið að fela sjálfstætt starfandi sérfræðingi að annast framkvæmd úttektar og skila stofnuninni skýrslu um niðurstöðu hennar. Skal hann bundinn þagnarskyldu um störf sín í þágu stofnunarinnar. Fjarskiptafyrirtækjum skal gefinn kostur á því að gera athugasemdir við val stofnunarinnar á slíkum sérfræðingi. 31. gr. Gildistaka. Þessar reglur taka gildi þann 1. júlí 2008. 32. gr. Heimild. Póst- og fjarskiptastofnun hefur gefið út þessar reglur um vernd, virkni og gæði IP fjarskiptaþjónustu samkvæmt heimild í 6. gr. laga nr. 39/2007 um breytingu á lögum um fjarskipti nr. 81/2003. Póst- og fjarskiptastofnun, 10. desember 2007. Hrafnkell V. Gíslason. Björn Geirsson. |