IT Systems 7/2017 | Elektronická pečeť je prostředek, který dle evropského nařízení eIDAS a našeho Zákona o službách vytvářejících důvěru (ZoSVD) slouží k označení a prokázání původu a pravosti dokumentu. Elektronická pečeť říká, která právnická osoba je původcem a zároveň chrání obsah takto zapečetěného dokumentu.

Obdobně, jako pro elektronický podpis, jsou definovány úrovně důvěry i pro elektronickou pečeť. Nejvyšší úroveň „kvalifikované elektronické pečetě“ vyžaduje kvalifikovaný certifikát a jeho použití v kvalifikovaném prostředku.

ZoSVD v paragrafu 8 říká, že pro určité situace je veřejnoprávní podepisující povinen elektronický dokument zapečetit kvalifikovanou elektronickou pečetí. Tuto povinnost zároveň prostřednictvím přechodných ustanovení o dva roky odkládá. Toto přechodné období 19. 9. 2018 končí a bude nutné, aby veřejnoprávní podepisující začal používat kvalifikovanou pečeť a byl schopen ji správně vytvářet.

V praxi to znamená především implementovat kvalifikovaný prostředek pro její vytváření. To u organizací, produkujících velké množství dokumentů, může a bude znamenat vysoké požadavky na výkon a dostupnost tohoto prostředku. Čipové karty ani USB tokeny v takovém prostředí neuspějí. Je třeba nasadit výkonné síťové HSM moduly a zajistit jejich správnou implementaci a používání. Schopnost používat takto uložené kvalifikované certifikáty pro vytvoření kvalifikované elektronické pečeti bude pro většinu stávajících aplikací nemalý a někdy i neřešitelný problém.

Kvalifikované prostředky a jejich nasazení není to jediné, co bude muset veřejnoprávní podepisující pro vytváření kvalifikované elektronické pečeti vyřešit. Pečeť slouží k prokázání původu a pravosti zapečetěného dokumentu. To je základní úroveň, jak s pečetí nakládat a jak jí používat. Nabízí se tedy otázka, jaké dokumenty pečetit a jak to v rámci procesů pracujících s dokumenty zajistit. Zákon hovoří o potřebě kvalifikované pečeti pro dokumenty, které ze své povahy nevyžadují kvalifikovaný elektronický podpis. Jak ale takové dokumenty identifikovat a jak je automaticky opatřovat kvalifikovanou elektronickou pečetí? Další, s čím bude tedy nutné se vypořádat, je začlenění kroku „zapečetění“ do stávajících procesů.

Vytvořením a odesláním zapečetěného dokumentu však povinnosti a potřeby nekončí. Je třeba se o elektronickou pečeť, stejně jako o elektronický podpis nebo časové razítko aktivně starat z pohledu dlouhodobé ověřitelnosti a prokazatelnosti. A to zdaleka neznamená pouze přidat časové razítko, případně ho včas přerazítkovat. Pro dlouhodobé důvěryhodné uchování elektronické pečetě, podpisu a časového razítka je nutné zajistit všechna potřebná validační data. Vyhodnotit
jejich platnost a relevanci a postarat se o jejich dlouhodobou ověřitelnost a průkaznost. Naprosto zásadní je mít tato validační data společně s dokumentem jednoduše k dispozici a v případě potřeby být schopen je v použitelné a akceptovatelné podobě poskytnout.

Další, co bude nutné vyřešit, je ověření elektronické pečeti. Komplexní proces, jehož součástí je mimo jiné kontrola použitých kryptografických algoritmů, formátů a certifikátů. V případě kvalifikované pečeti či podpisu to bude znamenat schopnost ověřit, zda byl certifikát použit v kvalifikovaném prostředku. V rámci ověřování bude též nutné vyhodnotit, zda výsledek vyhovuje požadované úrovni důvěry, která bude pro různé situace rozdílná. A to bude opět pro drtivou většinu stávajících
systémů a aplikací problém, stejně jako je problém ověřit kvalifikovaný certifikát vydaný jinou než českou certifikační autoritou.

Úspěšně, koncepčně a včas se vypořádat s dopady, které sebou zákonná povinnost používat kvalifikovanou elektronickou pečeť nese, znamená začít detailně připravovat konkrétní projekty a zajistit prostředky a zdroje pro jejich realizaci. Zároveň je to příležitost zrevidovat a výrazně vylepšit stávající stav fungování a práce s elektronickými dokumenty a jeho shodu s nařízením eIDAS. Z tohoto pohledu termín 19. září 2018 čeká za dveřmi.

Jan Tejchman | Senior Solution Consultant společnosti SEFIRA
Článek vyšel v časopisu IT Systems (7/2017)