Kvalifikovaný podpis a pečeť – Důvěryhodnost na nejvyšší úrovni

IT Systems 8/2018 | Prokazatelného projevu vůle v digitálním světě lze dnes bezpečně dosáhnout prostřednictvím kvalifikovaného elektronického podpisu. Dle eIDAS kvalifikovaný elektronický podpis poskytuje nejvyšší úroveň záruky a má právní účinky rovnocenné s podpisem vlastnoručním. Obdobně jako pro elektronický podpis je definována kvalifikovaná úroveň i pro elektronickou pečeť. Elektronická pečeť je prostředek, který slouží k označení a prokázání původu a integrity dat. Elektronická pečeť říká, jaká právnická osoba je původcem a zároveň chrání obsah takto zapečetěného dokumentu. Pro dosažení kvalifikované úrovně elektronického podpisu nebo pečeti je nutné data pro jeho vytváření (soukromý klíč) mít v kvalifikovaném HW prostředku (QSCD).

Zákon 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce v návaznosti na eIDAS definuje, že veřejnoprávní podepisující, podepisuje-li elektronický dokument, kterým právně jedná, je povinen od 19. 9. 2018 použít výhradně kvalifikovaný elektronický podpis. Zároveň pro určité situace stanovuje veřejnoprávnímu podepisujícímu povinnost elektronický dokument zapečetit kvalifikovanou elektronickou pečetí.

Kvalifikovaná pečeť

Na trhu jsou dnes dostupné dva způsoby, jak se s povinností (potřebou) vytvářet kvalifikovanou elektronickou pečeť vypořádat:

nákup externí služby nebo
pořízení a provoz vlastní technologie pro interní službu vytváření kvalifikovaných elektronických pečetí.

Interní službu pro vytváření kvalifikovaných pečetí je možné implementovat ve dvou variantách. První variantou je využití čipové karty, která je však vhodná pouze pro malý počet vytvářených pečetí. Pro produkční (technické) pečetění velkého objemu dokumentů je nutné zvolit variantu druhou – nasazení HSM zařízení jako kvalifikovaného prostředku (QSealCD) s dostatečným výkonem a adekvátní dostupností.

Příkladem interní služby kvalifikované pečeti formou pořízení a provozu vlastních technologií je řešení společnosti SEFIRA připravené ve spolupráci s certifikační autoritou PostSignum. V první variantě je jako QSealCD využita čipová karta ProID+Q. Ve druhé variantě pak HSM zařízení Thales nShield Connect řady 500, 1500 nebo 6000. HSM zařízení jsou spravována a provozována PostSignum v roli kvalifikovaného poskytovatele služeb vytvářejících důvěru(QTSP).

Výhodou vybudování interní služby, oproti na trhu nabízené externí službě, jsou nižší náklady v případě potřeby pečetění většího počtu dokumentů. Rozhodování mezi variantami pořízení technologií a provoz interní služby a nákup služby externí je vhodné opřít o TCO v horizontu 3 – 5 let. Interní řešení kvalifikované pečetě je snadno a rychle integrovatelné do podnikových procesů přes standardní rozhraní. Další výhodou je vysoký výkon a propustnost neovlivněná výměnou dat s externím poskytovatelem. To je významné především u většího počtu pečetěných dokumentů. Přidanou hodnotou pořízení vlastního HSM zařízení je také možnost jeho synergického využití pro další služby z oblasti digitální důvěry. Příkladem může být provoz interní certifikační autority, šifrování v rámci řešení GDPR nebo vzdálený elektronický podpis, který představuje alternativu pro náročné a finančně nákladné provozování tokenů či čipových karet.

Vzdálený elektronický podpis

Používat kvalifikovaný elektronický podpis je další povinnost veřejnoprávního podepisujícího, jejíž odkladný účinek dnem 19. 9. 2018 končí. Jednou z možností, jak s kvalifikovaným elektronickým podpisem vypořádat, je podepisování na dálku formou serverové služby. Vzdálený elektronický podpis je v souladu s eIDAS a představuje moderní, progresivní způsob podepisování, který respektuje trendy mobilních aplikací a zařízení. Data pro vytváření elektronických podpisů (soukromé klíče) jsou umístěny v HSM zařízení (QSignCD). Díky pokročilým technologiím pro více faktorovou autentizaci, autorizaci, evidenci identit a další je zajištěno, že podepisující osoba má výhradní kontrolu nad používáním svých dat pro vytváření elektronických podpisů.

V porovnání s klasickým způsobem řešení kvalifikovaného elektronického podpisu (čipová karta, token) přináší vzdálený elektronický podpis celou řadu výhod. Umožňuje podepisování dokumentů odkudkoliv i na zařízeních bez čtečky čipových karet nebo USB portů. Přesun kryptografických operací do vyhrazených kontrolovaných oblastí firemní infrastruktury zavádí jednotná pravidla a dává plnou kontrolu nad používáním elektronického podpisu (kdo co může/nemůže podepsat). Umístění dat pro vytváření elektronického podpisu do HSM zařízení eliminuje potřebu pořízení a komplikované správy čipových karet či tokenů. Tím odpadá možnost jejich ztráty či odcizení a s tím spojené riziko zneužití. Přesunutí operací spojených s elektronickým podpisem na server zbavuje agendové aplikace potřeby umět vytvářet elektronické podpisy a připojovat je požadovaným způsobem k podepsaným dokumentům. Operace související s vytvořením podpisu jako jsou hashovací a kryptografické funkce, připojení certifikátu a veřejného klíče a sestavení AdESových formátů jsou předmětem infrastrukturní serverové služby. Agendové aplikace v rámci svých agendových procesů pouze konzumují služby elektronického podpisu nebo pečeti pro dokumenty, s kterými pracují. Prostřednictvím standardního aplikačního rozhraní požádají o podpis dokumentu a následně obdrží podepsaný dokument k dalšímu zpracování.

Podepsáním, zapečetěním a odesláním dokumentu však povinnosti a potřeby nekončí. Je třeba se o takto vytvořené, zabezpečené elektronické dokumenty aktivně starat a uchovat jejich dlouhodobou průkaznost. To platí nejen pro dokumenty v rámci organizace vytvořené, ale i přijaté. A to zdaleka neznamená pouze ověřit platnost, výsledek ověření zaznamenat, uložit validační report a přidat časové razítko. Případně včas opatřit časovým razítkem novým, ještě před vypršením platnosti certifikátu časového razítka původního. Pro dlouhodobé důvěryhodné uchování elektronické pečetě, podpisu, časového razítka je nutné zajistit všechna potřebná validační data, prokazující jejich platnost. A i ty uchovat dlouhodobě průkazná a dostupná. Klíčové je mít tato validační data v použitelné a akceptovatelné podobě a být schopen je v případě potřeby poskytnout společně s podepsaným dokumentem.

Přechod na bezpapírové fungování však znamená víc než jenom správně podepisovat, pečetit, ověřovat a uchovávat vybrané elektronické dokumenty. Bezpapírové fungování znamená umět pracovat a postarat se o všechny elektronické dokumenty napříč celou organizací. Bez ohledu na jejich typ, formát, počet, velikost, úroveň zabezpečení. Je nutné zajistit jejich odpovídající uložení, kompresi, transformaci, vybavení, skartaci. Zabránit jejich poškození, neoprávněnému přístupu, poskytování, sdílení, pozměnění nebo smazání.

Při koncepčním přechodu na bezpapírové fungování je důležité vybudování komplexní paperless infrastruktury, která poskytuje kompozitní služby elektronickým dokumentům. Tyto služby následně integrovat do všech agendových aplikací, systémů a procesů, které s dokumenty pracují.

Paperless infrastruktura představuje univerzální vrstvu služeb mezi aplikacemi a legislativou definovanými elementy digitální důvěry pro elektronické dokumenty a je základním stavebním kamenem při budování bezpapírové organizace.

Jan Tejchman | Senior Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (8/2018)