Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Jak akceptować dokumenty podpisane elektronicznie

13-11-2020 Autor: Michał Tabor

Dokument elektroniczny wypiera ten papierowy, a podpis elektroniczny jest naturalnym następcą podpisów własnoręcznych. Warunkiem bezpiecznego posługiwania się podpisanymi dokumentami elektronicznymi jest rozpoznanie rodzaju podpisu elektronicznego oraz jego weryfikacja.

 

Przepisy nie wymagają dla wszystkich dokumentów, aby były sporządzane w formie pisemnej oraz opatrywane własnoręcznymi podpisami. W wielu sprawach wystarczy zastosowanie prostszej formy dokumentowej. W każdej organizacji warto dokonać analizy prawnej i bezpieczeństwa oraz ustalić odpowiednią formę oświadczeń woli, która będzie dostosowana do odpowiednich typów dokumentów. Dla dokumentów, które wymagają formy pisemnej w postaci elektronicznej, wymagane jest zastosowanie kwalifikowanego podpisu elektronicznego, natomiast pozostałe dokumenty mogą być opatrywane zwykłymi i zaawansowanymi podpisami elektronicznymi.


Podstawą do stosowania podpisów elektronicznych jest unijne rozporządzenie eIDAS, które zapewnia jednolite w całej Unii zasady stosowania i rozpoznawania podpisów elektronicznych. Zastosowanie podpisów prostszych niż kwalifikowane ma często uzasadnienie biznesowe, związane z łatwością jego uzyskania. W artykule skupimy się głównie na rozpoznawaniu podpisów kwalifikowanych, udzielimy też kilku wskazówek dotyczących pozostałych podpisów elektronicznych (patrz: tabela).


Różne formaty podpisów elektronicznych


Podpis elektroniczny może mieć różną strukturę danych, a podstawą jej rozpoznania jest posiadanie odpowiedniego oprogramowania do weryfikacji podpisu. Najczęściej stosowane i obowiązkowo rozpoznawane przez podmioty publiczne są następujące formaty określone szczegółowo europejskimi normami:

  • PAdES – służący do podpisywania dokumentów PDF;
  • XAdES – tworzony w strukturze XML pozwala podpisać każdy plik;
  • CAdES – binarny format podpisu – pozwala podpisać każdy plik;
  • ASiC – format do zabezpieczenia paczek ZIP.

W niniejszym opracowaniu skupimy się na przykładach związanych z formatem PAdES.


Aplikacja do weryfikacji podpisów elektronicznych


Weryfikacja podpisów elektronicznych wymaga posiadania aplikacji do weryfikacji podpisów, która zapewni zgodność z formatami podpisów, które będziemy przyjmować i weryfikować. Aplikacja ta powinna posiadać deklarację producenta zgodności z wymaganiami rozporządzenia eIDAS. Powinna w szczególności rozpoznawać kwalifikowane podpisy elektroniczne oparte na certyfikatach polskich, ale także pochodzących z innych krajów UE.


Nie ma obowiązku ani konieczności weryfikowania podpisów na podstawie aplikacji dostarczonej przez wystawcę certyfikatu. Do weryfikacji podpisów składanych w PDF w formacie PAdES ma zastosowanie aplikacja Adobe Acrobat, która prawidłowo rozpoznaje kwalifikowane podpisy z całej UE.


Kwalifikowany podpis elektroniczny


W celu potwierdzenia, że mamy do czynienia z kwalifikowanym podpisem elektronicznym, aplikacja do weryfikacji podpisów powinna potwierdzić 6 następujących cech kwalifikowanego podpisu elektronicznego wynikających bezpośrednio z rozporządzenia eIDAS oraz z europejskiej normy ETSI EN 319 102-1:

 

  1. Format podpisu został prawidłowo rozpoznany.
  2. Integralność wszystkich elementów podpisu została potwierdzona:
    • wszystkie podpisane elementy są dostępne i można je zweryfikować;
    • wszystkie funkcje skrótu zostały policzone prawidłowo;
    • wszystkie podpisy kryptograficznie weryfikuje się na podstawie danych do weryfikacji podpisu zawartych w certyfikacie.
  3. Certyfikat towarzyszący podpisowi jest kwalifikowanym certyfikatem:
    • wydanym przez kwalifikowanego dostawcę usługi zaufania;
    • oznaczonym jako kwalifikowany certyfikat podpisu elektronicznego.
  4. Certyfikat towarzyszący podpisowi był ważny w momencie składania podpisu:
    • jest ważny cały czas w momencie weryfikacji;
    • można na podstawie znacznika czasu i ewentualnych danych dodatkowych potwierdzić, że był ważny w momencie znakowania czasem.
  5. Certyfikat towarzyszący podpisowi można zweryfikować, opierając się na ścieżce zaufania prowadzącej do zaufanej listy.
  6. Certyfikat pozwala na potwierdzenie, że do złożenia podpisu użyto kwalifikowanego urządzenia do składania podpisu elektronicznego.

Jeżeli aplikacja potwierdzi wymienione cechy, weryfikowany podpis jest kwalifikowanym podpisem elektronicznym. Aplikacja w przypadku naruszenia kryptograficznego stwierdzi nieprawidłowość podpisu, a jeżeli z powodu braku pewnych danych weryfikacja nie jest możliwa – poda wynik nieokreślony.

 

[...]

 

Autor jest partnerem w firmie Obserwatorium.biz, ekspertem ds. podpisu elektronicznego PIIT, rzeczoznawcą PTI, a także członkiem i ekspertem Komitetu Technicznego ETSI, który definiuje normy techniczne dla funkcjonowania podpisu elektronicznego w Europie.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.