kybernetické hrozby
3 min

Audit poskytovateľov dôveryhodných služieb podľa eIDAS

TÜV SÜD Journal

Date: 18 Dec 2019

Ak máme začať využívať online služby vo všetkých členských štátoch Európskej únie, musíme si byť istí, že naša elektronická identita bude ochránená a nikto ju nedokáže zneužiť. Spoločný digitálny trh EÚ je realitou už vyše pol roka, no len málokto dnes tuší, čo vlastne nová eurosmernica eIDAS a adaptačné, respektíve doplňujúce národné zákony zmenili.

Eidas - elektronická identifikácia a elektronický podpis

Názov eIDAS vznikol zo skratky eID a eSignature, teda elektronická identifikácia a elektronický podpis. Predkladatelia označujú túto európsku reguláciu za prelomovú. Má odstrániť cezhraničné bariéry, umožniť úplné elektronické podania v iných členských štátoch a riešiť bežné obchodné a právne úkony na diaľku.

Čo prináša digitálny trh EÚ

Nová regulácia Európanom umožňuje  vykonávať bezpečné cezhraničné elektronické transakcie a plne využívať svoje práva v celej EÚ vo vzťahu k verejnej správe, od zápisu na zahraničnej univerzite až po prístup k elektronickým zdravotným záznamom. Rovnako zjednoduší vybavenie potrebných formalít pri zmene pobytu v rámci členských štátov EÚ. Pre spoločnosti nastane zásadná zmena v cezhraničnom podnikaní, predovšetkým v skrátení obchodných procesov. Napríklad v Estónsku trvá založenie spoločnosti s ručením obmedzeným 18 minút. Obchodné spoločnosti sa budú môcť zároveň oveľa ľahšie zúčastňovať na verejných tendroch v iných štátoch EÚ, a to bez nutnosti zaoberať sa akýmikoľvek papierovými dokumentmi.

Papierová vs. online identita

Za najdôležitejšiu otázku v tejto oblasti považujem bezpečnosť overenia identity používateľa na diaľku a vzájomné uznávanie si overení identity medzi jednotlivými členskými štátmi. Takýto systém musí byť garantovaný štátom, aby sa zachovala dôveryhodnosť a ochrana osobných údajov. Nová legislatíva eIDAS a národné zákony ukladajú jednotlivým krajinám povinnosť bezpečne identifikovať fyzickú alebo právnickú osobu, prípadne jeho zástupcu. Požaduje vytvoriť národný identifikačný systém, ktorý bude schopný umožniť bezpečné a najmä ľahké preukázanie totožnosti pri využívaní online služieb. Pre systémy elektronickej identifikácie je nutné využívať takzvané bezpečné prostriedky.

Doteraz sme sa stretávali najmä s pojmom zaručený elektronický podpis. eIDAS mu dal prívlastok  kvalifikovaný, ktorý je právne rovnako záväzný, ako váš vlastnoručný podpis. Tento kvalifikovaný digitálny podpis elektronického dokumentu zabezpečuje autenticitu, teda možnosť jednoznačne overiť identitu podpisujúceho; ďalej integritu, teda nezmeniteľnosť dokumentu po jeho podpísaní a do tretice nepopierateľnosť, teda autor nemôže tvrdiť, že dokument nepodpísal. Vďaka týmto trom atribútom možno kvalifikovaný elektronický podpis prehlásiť za bezpečnejší, než ten papierový. A to pre obe strany. Určite ste sa už stretli s tým, že ste do mailu dostali odfotenú objednávku na vašu službu. A mohli ste len dôverovať, že podpis na objednávke naozaj patrí objednávateľovi.  Kvalifikovaný elektronický podpis však v sebe skrýva jednoznačnú identifikáciu a rozpoznateľnosť podpisujúceho – obrazne teda každý dokument podpísaný kvalifikovaným elektronickým podpisom považujeme za právne relevantný dokument.

Kvalifikované elektronické podpisy môžu využívať iba fyzické osoby, ktoré sú jediné schopné prejaviť svoju vôľu. Pre právnické osoby zaviedla EÚ nový inštitút – elektronickú pečať. Vo všeobecnosti slúžia ako dôkaz, že dokument vydala právnická osoba a dávajú istotu o pôvode a integrite dokumentu.

Komu zveriť svoju digitálnu identitu?

Služby, ktoré zabezpečujú vyhotovovanie, overovanie a validáciu elektronických podpisov a elektronických pečatí nazývame dôveryhodné služby. Ako si vybrať, kto vám ich poskytne? Najvyššiu bezpečnosť podľa nových pravidiel musí zaručiť kvalifikovaný poskytovateľ dôveryhodných služieb. Súčasní poskytovatelia dôveryhodných služieb získali podľa zákona štatút „kvalifikovaného poskytovateľa“ QTSP (Qualif trasted service provider) len dočasne, a to do 1. júla tohto roka. Dovtedy ho musia aj „obhájiť“ podľa nových požiadaviek, inak oň prídu.

Postup získania štatútu kvalifikovaného poskytovateľa dôveryhodných služieb:

  • Poskytovateľ dôveryhodných služieb podá žiadosť na Národný bezpečnostný úrad (NBÚ), že má záujem sa stať QTSP pre konkrétnu dôveryhodnú službu (existuje 9 druhov týchto služieb).
  • Pre každú žiadanú službu už v čase žiadosti musí mať vydaný certifikát zhody, teda musí prejsť auditom, že dokáže zabezpečiť najvyššiu úroveň ochrany.
    NBÚ posúdi žiadosť a rozhodne.
  • NBÚ oznámi stanovisko žiadateľovi a doplní žiadateľa na Trasted List, teda na dôveryhodný zoznam, ktorý je verejne prístupný.
  • Na základe zverejnenia už môže vystupovať žiadateľ ako QTSP.
  • QTSP má povinnosť okrem iného sa podrobiť reauditu minimálne raz za 24 mesiacov a výsledok zaslať NBÚ. 

TÜV SÜD Slovakia zatiaľ ako prvá firma na Slovensku získala v apríli 2017 akreditáciu na vykonávanie takýchto auditov a vydávanie Certifikátov. To znamená, že aktuálne iba TÜV SÜD Slovakia dokáže poskytovateľom dôveryhodných služieb vykonať audit pred žiadosťou o pridelenie štatútu kvalifikovaného poskytovateľa.


Získajte viac

Vybrať lokalitu