Ikona telefonu +48 536 456 661 Ikona emaila kontakt@podpisujzdalnie.pl
Podpis kwalifikowany

Czym są usługi zaufania? Podstawa prawna i najważniejsze pojęcia

Usługi zaufania to usługi elektroniczne świadczone na terenie krajów Unii Europejskiej i obejmujące. Wprowadzono je do zawierania bezpiecznych transakcji drogą elektroniczna. W ich skład wchodzi:

  • podpis elektroniczny - usługa umożliwiający opatrywanie dokumentów danymi osoby fizycznej. Zawiera imię, nazwisko, obywatelstwo, identyfikator np. PESEL i kraj wydania identyfikatora. 
  • pieczęć elektroniczna - usługa umożliwiająca sygnowanie dokumentów elektronicznych danymi osoby prawnej. Znajduje swoje zastosowanie w prowadzeniu cyfrowego archiwum dokumentów i masowej wysyłki plików elektronicznych.
  • elektroniczny znacznik czasu - usługa pozwalająca sygnować dokumenty czasem z kwalifikowanego centrum znakowania czasem, celem niepodważalnego potwierdzenia istnienia dokumentu w danym momencie. Często wykorzystywana z podpisami i pieczęciami elektronicznymi.
  • konserwacja elektroniczna - usługa cyklicznego dodawania kwalifikowanego znacznika czasu do podpisanych dokumentów celem poświadczenia ważności podpisu lub pieczęci na moment znakowania czasem. Przydatna w kontekście prowadzenia elektronicznego archiwum i zawierania umów długoterminowych
  • walidacja elektroniczna - weryfikacja podpisów, pieczęci i znaczników czasu pod kątem wymagań technicznych przyjętych w ustawach i normach. Kwalifikowana stanowi niepodważalny dowód w postępowaniach sądowych
  • uwierzytelnianie witryn internetowych - usługa polegająca na zabezpieczaniu stron internetowych i szyfrowania danych użytkowników dokonujących transakcji płatniczych lub informacji odnośnie rachunku bankowego. Stworzona na potrzeby dyrektywy PSD2
  • rejestrowane doręczenie elektroniczne - usługa dostarczania pism urzędowych i innych dokumentów z niepodważalnym potwierdzeniem odbioru, równoważnym do listu poleconego ZPO

eIDAS - podstawa prawna usług zaufania

Europejskie rozporządzenie mające na celu standaryzację świadczenia usług zaufania we wszystkich krajach Unii Europejskiej. Wprowadzenie eIDAS usprawnia identyfikację elektroniczną i świadczenie usług między państwami członkowskimi. Zawarto w niej informacje odnośnie skutków prawnych użycia podpisów i pieczęci elektronicznych.

Usługi zaufania - definicja eIDAS

Świadczone za wynagrodzeniem usługi elektroniczne obejmujące:

  • tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych, znaczników czasu, usług rejestrowanego doręczenia elektronicznego;
  • tworzenie, weryfikację i walidację do uwierzytelniania witryn internetowych;
  • konserwację elektronicznych podpisów, pieczęci lub certyfikatów.

Trzy stopnie usług zaufania

Usługi zaufania mogą być świadczone na trzech poziomach. Najniższe rangą są niekwalifikowane usługi zaufania. Mogą być świadczone przez niekwalifikowane i kwalifikowane centra certyfikacji. Zwykłe podpisy elektroniczne znajdują swoje zastosowanie w prowadzeniu komunikacji wewnątrzfirmowej (certyfikaty email, certyfikaty węzła krajowego), ale poza strukturami przedsiębiorstwa nie mają dużego zastosowania. Podobnie jak większość usług niekwalifikowanych nie niosą skutku prawnego niepodważalnego wyrażenia woli czynności prawnych. 

Drugie w kolejności są zaawansowane usługi zaufania. Certyfikaty zaawansowane z dużą dozą pewności można powiązać z właścicielem i podmiotem. Podobnie jak niekwalifikowane usługi nie niosą skutku prawnego, ale nie można im odmówić mocy dowodowej tylko z powodu tego, że są zaawansowane. Zaawansowane usługi zaufania znajdują szerokie zastosowanie w prowadzeniu korespondencji wewnątrzfirmowej lub między kontrahentami, na mocy lokalnych porozumień. 

Najwyższe rangą są kwalifikowane usługi zaufania. Jako jedyne niosą niepodważalny skutek prawny i pozwalają na jednoznaczną identyfikację osoby lub podmiotu. Usługi te świadczą wyłącznie kwalifikowani dostawcy usług, mający charakter zaufanej trzeciej strony. Ich praca podlega szeregu restrykcjom, zgodnym z najwyższymi standardami technicznymi. Najważniejszą usługą jest kwalifikowany podpis elektroniczny.

Dlaczego kwalifikowane usługi zaufania mają tak dużą moc prawną?

  1. Skomplikowany proces uzyskania statusu kwalifikowanego dostawcy. Przedsiębiorstwo starające się o certyfikację musi spełnić szereg wymogów technicznych, prawnych zgodnych z najwyższymi standardami ETSI i ISO. Proces jest kosztowny i wymaga stałej współpracy z polskim regulatorem. To wszystko powoduje, że Polska ma tylko 5 dostawców, którzy spełniają wyśrubowane wymagania.
  2. Regularne audyty wewnętrzne i zewnętrzne. Regulator narzuca kwalifikowanym dostawcom dokonania rzetelnej analizy świadczonych usług przynajmniej raz na 24 miesiące. Audytu dokonuje certyfikowany podmiot z zewnątrz. Ponadto na kwalifikowanym dostawcy ciąży obowiązek wprowadzania kolejnych regulacji i standardów bezpieczeństwa. Przedsiębiorstwo posiada status zaufanej trzeciej strony, a co za tym idzie usługi przez nich wydane mają niezbitą moc dowodową w postępowaniu sądowym.

eIDAS w Polsce - prawo, a rzeczywistość

W myśl rozporządzenia usługi zaufania mają taką samą moc prawną we wszystkich krajach członkowskich UE. W rzeczywistości występują liczne problemy z zaakceptowaniem kwalifikowanych podpisów elektronicznych. Na przeszkodzie stoją krajowe ustawy, które uniemożliwiają wykorzystanie usług zaufania. Kilka przykładów:

  • Na zachodzie występują kwalifikowane podpisy elektroniczne z ukrytym numerem PESEL. Taki podpis jest zgodny z eIDAS, ale nie spełnia wymogów polskiego kodeksu cywilnego.
  • Mimo standaryzacji usług zaufania każdy kraj stosuje swoje techniki wydawania certyfikatów i ich walidacji. Jeżeli korzystamy z usługi wydanej w innym kraju to nie będzie ona spełniała krajowych warunków z powodu technicznych niuansów.
  • Podpis kwalifikowany niezawierający numeru PESEL powinien być zaakceptowanych w krajowych systemach, ale techniczne wymagania platform rządowych to uniemożliwiają i odrzucają dokumenty podpisane zagranicznym podpisem.

Ustawa o usługach zaufania oraz identyfikacji elektronicznej

Polski akt prawny regulujący działanie kwalifikowanych usług zaufania, w szczególności podpisów elektronicznych. Zastąpiła ona Ustawę o podpisie elektronicznym z 2001. Zawiera informację o skutkach prawnych użycia usług zaufania w Polsce i konsekwencjach w przypadku nieuprawnionego użycia. Dodatkowo określa obowiązki dostawców usług zaufania.

ETSI - techniczna podstawa prawna usług zaufania

Szereg norm stanowiące podstawę europejskiego rynku telekomunikacyjnego. W odróżnieniu od rozporządzenia eIDAS i polskiej ustawy nie zawiera aspektów prawnych, a specyficzne wymagania techniczne dla każdej z siedmiu usług. Stanowi bazę dla działów IT wdrażających w firmach kwalifikowane usług. Na ETSI bazują także zewnętrzni audytorzy weryfikujący przynajmniej raz na 24 miesiące kwalifikowanych dostawców. Normy odnoszą się do całego sektora ICT, nie tylko dla wąskiej grupy usług zaufania. ETSI to techniczna podstawa prawna elektronicznego obiegu dokumentów.

Organy nadzorujące świadczenie usług zaufania w Polsce

Kontrolę i bezpieczeństwo nad świadczeniem kwalifikowanych i niekwalifikowanych usług zaufania zgodnie z Ustawą o usługach Zaufania oraz identyfikacji elektronicznej sprawują dwa podmioty

  • Narodowe Centrum Certyfikacji – podmiot podlegający pod Narodowy Bank Polski odpowiedzialny za wydawanie certyfikatów kwalifikowanym dostawcom usług zaufania. Ponadto zobowiązany jest do publikacji listy wydanych i unieważnionych certyfikatów. Na stronie Narodowego Centrum Certyfikacji umieszczona jest lista kwalifikowanych i niekwalifikowanych dostawców usług zaufania, która na bieżąco podmiot reguluje.
  • Kancelaria Prezesa Rady Ministrów – podmiot, który zastąpił Ministerstwo Cyfryzacji w działaniach związanych z informatyzacją publicznych jednostek administracji. Współpracuje ściśle z Narodowym Centrum Certyfikacji w nadawaniu statusu kwalifikowanych i niekwalifikowanych dostawców. Narzuca obowiązek dokonywania audytu zewnętrznego. Do niego zgłaszane są chęci wdrożenia nowych usług zaufania. Na prośbę kwalifikowanego dostawcy organ weryfikuje prawidłowość implementacji nowych rozwiązań i przedstawionej dokumentacji.

Usługi zaufania - inne ważne pojęcia

CRL - lista certyfikatów, które wygasły lub zostały unieważnione przez dostawcę usług zaufania. Unieważnienie może nastąpić na wniosek właściciela certyfikatu (z powodu kradzieży lub zgubienia). Certyfikatom użytym od momentu wpisania na CRL nie należy ufać i nie niosą skutku prawnego.

PKI - infrastruktura klucza publicznego. Zbiór polityk i procedur niezbędnych do zapewnienia właściwego świadczenia usług zaufania m.in. szyfrowania, zachowania integralności, niezaprzeczalności, za pośrednictwem kryptografii klucza publicznego, prywatnego i certyfikatów elektronicznych.

Oferta usług zaufania Podpisuj Zdalnie

Podpisuj Zdalnie dostarcza niekwalifikowane i kwalifikowane usługi zaufania zgodne z wymogami przewidzianymi w ustawie o usługach zaufania oraz identyfikacji elektronicznej i rozporządzeniu eIDAS.

Masz pytania? Chętnie na nie odpowiemy!

+48 536 456 661 | kontakt@podpisujzdalnie.pl

autor: Damian Nowak
CMS

Newsletter

Chcesz na bieżąco otrzymywać wiadomości
o pojawiających się publikacjach?

Zapisz się do bazy mailingowej

Dziękujemy!

Twoje zgłoszenie zostało pomyślnie zapisane