Unijne rozporządzenie eIDAS pomogło otworzyć nowy rozdział w rozwoju podpisu elektronicznego dla przedsiębiorstw działających w całej Europie. E-podpis stanowi szybką, bezpieczną, skuteczną i efektywną pod względem kosztów alternatywę dla podpisu składanego na dokumentach papierowych. Dzięki tej regulacji i wprowadzanym przez nią zunifikowanym wymogom dla podstawowych, zaawansowanych i kwalifikowanych podpisów elektronicznych ich prawna moc wiążąca jest jednakowa w całej UE.
Kwalifikowane podpisy elektroniczne zapewniają najwyższy poziom pewności i niezaprzeczalności. Aby spełnić wymogi rozporządzenia dotyczącego identyfikacji elektronicznej (eIDAS) odnoszące się do kwalifikowanych podpisów elektronicznych, e-podpis musi:
- Być w unikatowy sposób powiązany z podpisującym
- Identyfikować podpisującego
- Być składany pod jego wyłączną kontrolą
- Dawać możliwość wykrycia wszelkich późniejszych zmian w podpisywanych danych
- Mieć certyfikat cyfrowy wydany przez zaufaną, kwalifikowaną instytucję certyfikującą
- Używać klucza podpisu przechowywanego w zaufanym urządzeniu do składania kwalifikowanego podpisu (Qualified Signature Creation Device, QSCD)
Wymogi te ujednolicają identyfikację elektroniczną w operacjach dokonywanych między różnymi krajami i tworzą takie same ramy prawne dla dokumentów podpisywanych przy użyciu kwalifikowanych podpisów elektronicznych w całej UE.
Postęp w zdalnym podpisywaniu
Wraz z wdrożeniem rozporządzenia eIDAS za podpisami elektronicznymi podążyły technologia podpisu zdalnego. Do niedawna wiele branż wymagających wysokiego poziomu bezpieczeństwa operacji stosowało rozwiązania do lokalnego podpisywania dokumentów elektronicznych.
Podpisywanie lokalne wymaga jednak lokalnego utrzymywania sprzętu, takiego jak karta elektroniczna lub token i specjalistycznego oprogramowanie do zatwierdzania podpisów elektronicznych. Główną wadą podpisu lokalnego jest to, że wymaga on od podpisującego noszenia przy sobie sprzętu do podpisywania. Staje się to szczególnie uciążliwe, jeśli podpisujący jest akurat w drodze, a złożenie podpisu jest pilną potrzebą.
Podpisywanie zdalne wykorzystuje natomiast połączone urządzenia mobilne, co pozwala na autoryzację podpisu z dowolnego miejsca. Indywidualne klucze do podpisywania są przechowywane w systemach serwerowych lub dzięki usłudze chmury – w kryptograficznym module bezpieczeństwa (HSM) – CryptoServer CP5 Utimaco, certyfikowany na zgodność z Common Criteria (CC) EAL4+, zgodnie z profilem ochrony eIDAS EN 419 221-5.
Rozporządzenie eIDAS uznaje technologię zdalnego podpisywania i wspiera jej wykorzystanie do tworzenia zdalnego podpisu kwalifikowanego – czyli podpisu o najwyższym poziomie zaufania w Europie.
Aby zapewnić zgodność z przepisami eIDAS dotyczącymi kwalifikowanych podpisów zdalnych, trzeba móc udowodnić, że klucze do podpisywania znajdowały się zawsze pod wyłączną kontrolą użytkownika i są przechowywane się w przestrzeni należącej do kwalifikowanego dostawcy usług zaufania (Qualified Trust Service Provider, QTSP). Utimaco CryptoServer CP5 jest urządzeniem zabezpieczonym przed manipulacją, które razem z odpowiednim SAM (Signature Activation Module) uwierzytelnia podpisującego i wymaga formalnej autoryzacji użycia jego klucza podpisu.