IT Systems 6/2017 | Být eIDAS ready z pohledu práce s elektronickými dokumenty prakticky znamená být schopen ve svých aplikacích a informačních systémech vytvářet, přijímat a dlouhodobě uchovávat důvěryhodné elektronické dokumenty platné v rámci celé EU. Otázkou je, jak na to?
eIDAS definuje 3 úrovně elektronického podpisu a říká, že nejvyšší úroveň “kvalifikovaný elektronický podpis“ je ekvivalentem podpisu vlastnoručního. Zároveň předepisuje, jaké prostředky a postupy je nutné použít a dodržet při vytváření a jak takové podpisy ověřovat a uchovávat. Za tímto účelem jsou definovány služby vytvářející důvěru. Pro kvalifikovaný elektronický podpis jsou specifikovány požadavky na kvalifikované služby vytvářející důvěru. Analogicky platí pro elektronické pečetě.
Kvalifikovaná nebo „obyčejná“ služba?
Dle eIDAS je pro dosažení úrovně kvalifikovaného elektronického podpisu/pečetě nutné použít kvalifikovaný certifikát a kvalifikovaný prostředek pro jeho/její vytváření. S tím souvisí kvalifikovaná služba „vydávání kvalifikovaných certifikátů“. V tomto případě není třeba pochybovat o její smysluplnosti, oprávněnosti a dokonce povinnosti ji použit. Totéž platí pro kvalifikované časové razítko.
Jednoduše se bez nich neobejdeme. Kde se bez nich obejdeme, je při ověřování platnosti a uchovávání elektronických podpisů/pečetí/časových razítek. Z nařízení eIDAS jednoznačně vyplývá, že ověření platnosti kvalifikovaných elektronických podpisů/pečetí/časových razítek a jejich uchovávání může spoléhající strana provést sama. Ověřovat platnost a uchovávat elektronické podpisy/pečetě/časová razítka můžeme provádět prostřednictvím služby, která není kvalifikovaná i pro nejvyšší „kvalifikovanou“ úroveň.
Je tedy pouze na rozhodnutí konkrétní organizace, právnické či fyzické osoby, jakou službu použije. Zda má přínos a smysl použití kvalifikované služby a jaké skutečné garance a záruky přináší. Nebo si vystačím „pouze“ s „obyčejnou“ službou, bez které se tak jako tak neobejdu. Ve spoustě případů a situací je dokonce „obyčejná“ služba a její použitelnost a výstupy komplexnější a užitečnější než kvalifikovaná služba.
Zákon o službách vytvářejících důvěru pro elektronické transakce č. 297/2016 Sb. (ZoSVD) definuje pojem uznávaný elektronický podpis, který zahrnuje „zaručený elektronický podpis založený na kvalifikovaném certifikátu“ a „kvalifikovaný elektronický podpis“. Tím si zároveň nad rámec eIDAS rozšiřujeme (s platností pouze v ČR) i ekvivalenci vlastnoručního podpisu.
ZoSVD definuje též minimální požadavky použití jednotlivých úrovní elektronického podpisu/pečetě pro různé účely a subjekty (§5, §6, §8, §9, §11). Pro dodržení zákonných povinností, je tedy nutné vypořádat se i s ověřením a uchováním jiných, než kvalifikovaných elektronických podpisů/ pečetí. A to prostřednictvím kvalifikovaných služeb pro ověřování platnosti a uchovávání kvalifikovaných elektronických podpisů možné není.
Budování moderních paperless architektur
Pro budování moderních paperless architektur eIDAS ready je důležité chápat služby vytvářející důvěru šířeji, než pouze jako služby poskytované za úplatu třetí stranou. Především ve smyslu architektur zaměřených na služby (servisně orientovaných).
Pro dosažení skutečného a efektivního stavu eIDAS ready v oblasti práce s elektronickými dokumenty a jejich podpisy je nutná funkční implementace všech tří služeb: Podepiš – Ověř – Uchovej. V kontextu výše uvedeného se jako optimální jeví implementace vlastní infrastruktury digitální důvěry prostřednictvím pořízení vhodných technologií. Taková infrastruktura poskytuje provozovaným systémům a aplikacím standardizované, univerzální a široce dostupné služby vytvářející důvěru pro vytváření, ověřování a uchovávání elektronických podpisů/pečetí/ časových razítek v různých úrovních důvěry. Zároveň umožňuje ve specifických případech, pro konkrétní typy dokumentů, využívat a konzumovat výstupy kvalifikované služby ověřování platnosti případně uchovávání kvalifikovaných elektronických podpisů/pečetí. A to vše ve shodě s eIDAS.
Jan Tejchman | Senior Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (6/2017)