eIDAS

Dopad na elektronický podpis v ČR

První certifikační autorita, a.s.

7. 12. 2015

Mgr. Dagmar Bosáková

První certifikační autorita, a.s. (I.CA)

Od r. 2001 – poskytování certifikačních služeb (první v ČR)

Akcionáři: ČSOB, Česká spořitelna, O2, Asseco, Státní tiskárna cenin

Od r. 2002 – akreditace MV pro vydávání kvalifikovaných certifikátů

Od r. 2006 - akreditace MV pro vydávání kvalifikovaných systémových certifikátů a kvalifikovaných časových razítek

Od r. 2010 - poskytování prostředku pro bezpečné vytváření e-podpisu(jediní v ČR s hodnocením MV podle zákona o e-podpisu)

V ČR pouze tři subjekty poskytující tyto služby, I.CA nabízí nejširšíspektrum služeb, nejkomplexnější služby pro veřejnou správu i komerčnísféru.

Největší zákazníci: ČSOB, ČS, resort Ministerstva financí, resort MPSV

I.CA působí rovněž na Slovensku (akreditace NBÚ SR) a poskytujepersonalizované služby pro klienty v zahraničí (i mimo EU).

Evropská směrnice a český zákon

Dosud:

Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (tj. pouze elektronické podpisy).

V ČR: Zákon č. 227/2000 Sb., o elektronickém podpisu

Obecně směrnice - povinnost transpozice, tj. promítnutí do vnitrostátního právního předpisu

Evropské nařízení a český zákon

Nově:

Nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. (Zkráceně: eIDAS) (tj. větší tematický záběr, více služeb)

Doplní český „adaptační“ zákon – očekává se malý rozsah, pro poskytovatele i klienty však bude mít zásadní význam, proto je netrpělivě očekávána jeho definitivní podoba.

Obecně nařízení - platí v každém ČS přímo, bez prováděcího vnitrostátního aktu

Nařízení eIDAS - termíny

• uveřejněné v Úředním věstníku EU 28. srpna 2014

• vešlo v celé Evropské unii v platnost 17. září 2014

• bude použitelné/účinné od 1. července 2016

• jednotlivá ustanovení budou nabývat účinnosti postupně v období let 2016 – 2018

• český adaptační zákon v gesci MV – pracovní název: zákon o službách vytvářejících důvěru pro elektronické transakce (návrh odchází v těchto dnech do meziresortního připomínkového řízení)

• MV zřídilo několik pracovních skupin, I.CA se účastní, případný efekt této činnosti bude zřejmý až po přijetí adaptačního zákona.

eIDAS – tři oblasti úpravy

1. Elektronická identifikace

2. Služby vytvářející důvěru/kvalifikované služby vytvářející důvěru – vyšší stupeň kvality

3. Elektronický dokument

I.CA a eIDAS

Zákon o elektronickém podpisu je základní právní normou,

kterou se I.CA řídí a podle které své služby poskytuje již od roku 2000 jako akreditovaný poskytovatel certifikačních služeb, a to jak v ČR, tak na Slovensku.

Přijetí nové právní úpravy I.CA vítá, považuje ji za krok správným směrem pro dosažení

- přeshraniční použitelnosti a uznávání jednotlivých služeb

- rozšíření portfolia služeb

- dosažení vyšší míry bezpečnosti.

Elektronická identifikace

Elektronická identifikace - nový pojem

– Používání osobních identifikačních údajů v elektronické podobě. V ČR zatím není používáno, v EU nebude povinné.

– Obdoba české služby „moje ID“.

– Není „klasickou“ součástí certifikačních služeb. Řešení bude patrně navázáno na základní registry.

Elektronický dokument

Nařízení se omezuje pouze na stručnou úpravu, žádné další požadavky neobsahuje (čl. 25):

(1)„Elektronickému dokumentu nesmějí být upírányprávní účinky a nesmí být odmítán jako důkaz v soudníma správním řízení pouze z toho důvodu, že máelektronickou podobu.“

Elektronický dokument

(2)„Kvalifikovaný elektronický podpis má právní účinekrovnocenný vlastnoručnímu podpisu.“

(3)„Kvalifikovaný elektronický podpis založený nakvalifikovaném certifikátu vydaném v jednom členskémstátě se uznává jako kvalifikovaný elektronický podpis vevšech ostatních členských státech.“

Elektronický dokument

Návrh doprovodného zákona (§5):(5) Osoba uvedená v odstavci 1 písm. a) až c), která podepsala elektronickýdokument, jehož prostřednictví činí úkon, způsobem podle odstavce 3 aosoba uvedená v odstavci 1 písm. d) a e), která podepsala elektronickýdokument, jehož prostřednictvím činí úkon týkající se její působnostiv oblasti veřejné správy, způsobem podle odstavce 3, postupujípodle odstavce 4 obdobně. Tyto osoby dále opatří podepsaný elektronickýdokument kvalifikovaným elektronickým časovým razítkem.

Tj. volně: k jakékoli úkonu orgánu veřejné moci lze použít pouze kvalifikovaný elektronickýpodpis a je nutné připojit kvalifikované elektronické časové razítko.

Služby vytvářející důvěru - oblasti

• Elektronický podpis – vydávání certifikátů a bezpečných prostředků pro vytváření podpisů, ověřování platnosti podpisů, uchovávání podpisů, vytváření e-podpisu na dálku, podpis v mobilních zařízeních

• Elektronická pečeť – obdobné služby jako u elektronického podpisu; obdoba české elektronické značky

• Časové razítko – v ČR běžně používáno

• Služba elektronického doporučeného doručování - systém podobný datovým schránkám

• Kvalifikované certifikáty pro autentizaci internetových stránek – snaha EU nahradit produkty Verisign, Thawte, Symantec a jiných mimoevropských firem.

Elektronická pečeť

Z hlediska účelu obdoba elektronické značky upravené v českém zákonu o e-podpisu.

ALE – elektronická pečeť podle eIDAS vykazuje několik odlišností, takže nelze stávající e-značky jednoduše „překlopit“ do režimu e-pečetí.

U řady klientů - včetně veřejné správy - si vyžádá úpravy systémů a tedy i odpovídající investiční prostředky.

Návrhy na zachování elektronických značek, ovšem uznatelných pouze v ČR, I.CA nepodporuje, neboť jdou proti smyslu eIDAS –přeshraniční uznatelnost elektronické komunikace.

Služby vytvářející důvěru

• Služby vytvářející důvěru – může poskytovat kdokoliv, kdo splní základní podmínky eIDAS.

• Kvalifikované služby vytvářející důvěru – může poskytovat kdokoliv, kdo

– splní podmínky eIDAS pro „kvalifikované“

– projde vstupním a následnými audity

– bude uveden v seznamech EU

– bude pod trvalým dohledem státu (MV).

• eIDAS – pamatuje na zachování kontinuity

– platnosti certifikátů (nebudou s účinností nové legislativy zneplatňovány)

– poskytování služeb akreditovaných (kvalifikovaných) poskytovatelů –1 rok jim zůstává stávající statut. Pro poskytovatele poměrně náročný úkol, z hlediska klientů ovšem nezbytné.

eIDAS – koho se týká

eIDAS, včetně služeb vytvářejících důvěru, se týká všech agend komerční sféry a veřejné správy, které jsou zajišťovány elektronicky, například z nejznámějších jmenujme:

- Informační systém datových schránek a Czech POINTy

- komunikace v oblasti daní, cel, sociálního zabezpečení atd.

- správní řízení

- elektronické bankovnictví

- služby ve zdravotnictví – zdravotnická dokumentace, eRecept.

Priority I.CA podle požadavků zákazníků

I.CA bude na základě dosavadních zkušeností s požadavky zákazníků rozvíjet zejména následující služby:

– Ověřování elektronických podpisů

– Čipové karty

– MobileSign

– LTV podpisy

– Vytváření elektronického podpisu na dálku

– Mandátní certifikáty

Zachovány zůstanou „tradiční“ služby – vydávání různých typů certifikátů, časových razítek, tvorba aplikací podle požadavků zákazníků aj.

Ověřování elektronických podpisů

Princip: Bez této služby musí každý příjemce ověřovat sám každý jednotlivý podpis – je otázka, jak kvalitně ověření probíhá (a zda vůbec). Nesprávné ověření může mít velmi nepříjemné důsledky (např. zpochybnění transakce).

Výstupem služby je:

Stav ověření (platný/neplatný podpis, nelze ověřit, důvod,proč nelze ověřit), čas, ke kterému se ověřovalo, zdroj času(čas obdržení požadavku, časové razítko, parametr zadanýuživatelem, data, na základě kterých bylo ověření provedeno –číslo CRL), hash ověřovaných dat.

Formu výstupu lze volit (např. protokol).

Čipové karty

• Princip: Bezpečnost elektronického podpisu je závislá na bezpečném uložení podepisovacího (soukromého) klíče. Klíč uložený v paměti PC je chráněný minimálně, klíč uložený na externím nosiči výrazně lépe. Nejbezpečnějším nosičem je kvalifikovaný prostředek pro vytváření elektronických podpisů, se kterým se vytváří kvalifikovaný elektronický podpis. I.CA je jediným poskytovatelem v ČR.

Čipová karta Starcos 3.0 a 3.2,

Kvalifikovaný prostředek

pro vytváření e-podpisů

Čipové karty – pokračování

eIDAS: „Kvalifikovaný elektronický podpis má právní účinek

rovnocenný vlastnoručnímu podpisu.“

Nejedná se o novinku, vyplývá to už ze směrnice z roku 1999.

Řada členských států stanovila povinné používání kvalifikovaných prostředků, někdy ve spojení s elektronickým OP. Povinné je například i na Slovensku.

V ČR není eOP kvalifikovaným prostředkem; slouží pro ukládání soukromého klíče a kvalifikovaného certifikátu (v návrhu i komerční certifikát pro autentizaci) – I.CA jako jeden z poskytovatelů také zajišťuje.

Česká republika při přípravě adaptačního zákona opět zvažuje obejití tohoto principu, nebo alespoň několikaletý odklad. Ocitáme se tak mezi státy s velmi nízkou úrovní bezpečnosti elektronické komunikace.

MobileSign

Princip: K vytvoření elektronického podpisu není třeba PC nebo notebook, postačí mobilní telefon. Oceňují manažeři.

• Řešení elektronického podpisu transakcí na smartphone (iOS, Android). Lze využít také jako náhradu OTP a SMS autorizace.

• I.CA MobileSign poskytuje velký prostor pro customizaci a parametrizaci dle individuálních požadavků.

• Klient pouze kontroluje pokyn a schválí zadáním PIN, což snižuje chybovost při autorizaci transakce a představuje výraznou úsporu nákladů.

• Uplatnění zejména v bankovnictví.

• EU řadí „podepisování prostřednictvím mobilních zařízení“ k inovačním řešením a shledává jej velmi perspektivním.

LTV podpisy

Princip: Platnost elektronického podpisu lze běžnými prostředkyověřit pouze po určitou dobu. Proto se zavádějí LTV signatures(long term validation). Přestože EU normy nemají definitivnípodobu, I.CA již vyvíjí a úspěšně testuje:

• Automatické vkládání následných časových razítek avalidačních dat do vnitřní struktury dokumentu.

• Umožnění přímého ověřování dokumentů v reálném čase.

• Uchovávání dokumentů po požadovanou dobu (10, 20 avíce let). Zajištění plné ověřitelnosti dokumentu v průběhucelého období uložení.

• Zpřístupňování dokumentů on-line.

Vytváření e-podpisu na dálku

Princip: Podepisující osoba má možnost svěřit kvalifikované prostředky pro vytváření elektronických podpisů (včetně podepisovacího, tj. soukromého klíče) do péče třetí straně –kvalifikovanému poskytovateli.

Předpoklad: Jsou zavedeny odpovídající mechanismy a postupy, které zajišťují, že podepisující osoba má výhradní kontrolu nad používáním svých podepisovacích dat a použitím tohoto prostředku jsou splněny požadavky na kvalifikovaný elektronický podpis. Bezpečnostně velmi náročné.

EU předpokládá prudký rozvoj - ekonomická výhodnost pro uživatele, vyšší bezpečnost (největší riziko představuje uživatel).

Mandátní certifikáty

Princip: Mandátním certifikátem prokazuje fyzická osoba –mandatář svoje oprávnění

• jednat jménem mandanta,

• jednat jako orgán veřejné moci

• oprávnění vykonávat činnost nebo funkci.

Na Slovensku může být mandátní certifikát vydaný jen pro taková oprávnění, která jsou evidovaná a publikovaná NBÚ SR v Seznamu oprávnění. V ČR nemá obdobu.

Závěr

Děkuji za pozornost.

bosakova@ica.cz