Coraz więcej osób używa elektronicznego podpisu kwalifikowanego, który zdefiniowany jest w tzw. rozporządzeniu eIDAS. To na pewno dobra wiadomość. Należy jednak pamiętać, że podpis kwalifikowany jest tylko jedną z kilku kwalifikowanych usług zaufania zdefiniowanych we wspomnianym dokumencie . Z praktycznego punktu widzenia kwalifikowany e-podpis jest pierwszym krokiem elektronizacji procesów biznesowych.
Co z innymi usługami zaufania?
Podpisane elektronicznie dokumenty, jako samoistne byty prawne, mogą stanowić dowód w spornych sprawach sądowych, dlatego też niezmiernie istotne jest to, aby podpisany dokument mógł być zweryfikowany w długim okresie. Do takiej weryfikacji służy usługa walidacji, która zgodnie z eIDAS polega na potwierdzaniu ważności podpisu elektronicznego lub pieczęci elektronicznej (wydawanej dla osoby prawnej w odróżnieniu od podpisu kwalifikowanego, który dotyczy osób fizycznych).
Omawiając zagadnienie walidacji, należy zdać sobie sprawę, że uregulowany rynek kwalifikowanych usług zaufania to cała Unia Europejska, dlatego promowana transgraniczna elektronizacja procesów jest bardzo szerokim zagadnieniem.
Jak możemy przeczytać w artykule „Jak elektronicznie podpisać ofertę w zamówieniach” na rynku jest wiele aplikacji do weryfikacji podpisu elektronicznego, najczęściej dostarczanych przez wystawców certyfikatów. Co więcej, na rynku wszyscy dostawcy kwalifikowanych certyfikatów udostępniają publiczną i dostępną on-line usługę, pozwalającą na weryfikację ważności wydawanych przez siebie certyfikatów. Niestety, często brakuje informacji o zgodności tych narzędzi z normami ETSI w zakresie prawidłowości weryfikacji i obsługiwanych formatów danych.
Kwalifikowana walidacja
Jakość i bezpieczeństwo weryfikacji realizowanej za pomocą poszczególnych aplikacji mogą się różnić. Jest to uzależnione gwarancjami jakościowymi oraz zgodnością z normami zapewnionymi przez ich dostawców.
W całej UE mamy ponad 160 dostawców kwalifikowanych certyfikatów oraz różne formaty podpisu (PAdES, XAdES, PAdES, ASiC). To powoduje, że nie wystarczą proste mechanizmy weryfikacji, gdyż nie dają one żadnej gwarancji prawnej przeprowadzonego przy ich użyciu procesu.
Z pomocą przychodzi usługa kwalifikowanej walidacji, która realizowana jest według wcześniej określonej
i zaakceptowanej polityki takiej usługi przez uczestników takiego procesu.
Usługa walidacji została precyzyjnie opisana w raporcie: Biznes bez papieru. eID i usługi zaufania w Polsce
i Europie.
Czytamy w nim mi.in. że w przypadku usługi kwalifikowanej proces walidacji zakończony jest wydaniem poświadczenia zrealizowanej usługi walidacji, które posiada wartość dowodową i może być wykorzystywane przy rozstrzyganiu sporów sadowych.
Usługa kwalifikowanej walidacji przenosi odpowiedzialność za proces weryfikacji podpisu lub pieczęci na dostawcę takiej usługi (jedynym polskim podmiotem świadczącym kwalifikowaną walidację jest Asseco Data Systems) i daje gwarancję, że została wykonana prawidłowo, a wydane poświadczenie ma ustawowo uznaną moc dowodową.
Jest to szczególnie istotne wszędzie tam, gdzie ryzyko niepoprawnej weryfikacji może naruszyć bezpieczeństwo transakcji biznesowej – np. przy wartościowych umowach, długoterminowych zobowiązaniach czy postępowaniach przetargowych, gdzie podmiot akceptujący podpisane dokumenty musi mieć pewność, co do ich poprawności.
Asseco Data Systems dostarcza swoją usługę za pomocą różnych interfejsów. Jest dostępna zarówno z poziomu przeglądarki www, jak też przez integrację API z systemami klienta.
Kwalifikowana walidacji jest uzupełnieniem tzw. cyklu życia dokumentu elektronicznego. Jest to jedyny sposób na potwierdzenie prawne poprawności i autentyczności złożonego podpisu kwalifikowanego pod danym dokumentem, zarówno w momencie jego akceptacji jak i później, w przypadku jakichkolwiek wątpliwości.
Artur Miękina, Dyrektor Sprzedaży Projektów Kluczowych Asseco Data Systems
Wypowiedź ukazała się na: portalpzp.pl, 6.05.2020