Pieczęć elektroniczna

1642

Pieczęć elektroniczna jest nowym rozwiązaniem przeznaczonym dla osób prawnych, wprowadzonym do porządku prawnego Unii Europejskiej Rozporządzeniem eIDAS. Zastosowanie pieczęci w celu zabezpieczenia dowodów z transakcji elektronicznych może znacząco ułatwić realizację usług elektronicznych dla osób fizycznych, ograniczając konieczność posługiwania się przez nie podpisem elektronicznym.

Pieczęć elektroniczna służy zapewnieniu integralności i autentyczności dokumentów nią opatrzonych. Certyfikat pieczęci zawiera informację pozwalającą określić co oznacza „autentyczność” dokumentu nią opatrzonego. „Autentyczność” w szczególności może oznaczać, że dokument opatrzony pieczęcią został wytworzony lub przetworzony zgodnie z wymienionymi w zasadach używania pieczęci regułami.

Pieczęć elektroniczna działa zasadniczo tak samo jak podpis elektroniczny, przy czym:

  • składającym pieczęć jest podmiot prawny, firma, urząd lub organizacja,
  • pieczęć nie jest podpisem organizacji, czyli nie jest związana z reprezentacją i nie służy do składania oświadczeń woli w imieniu organizacji,
  • potwierdza autentyczność dokumentu – dokument nią opatrzony został wystawiony przez daną organizację,
  • potwierdza integralność dokumentu – że nie została zmieniona jego treść,
  • pieczęć tak jak podpis może być zaawansowana – zapewniając jednoznaczne wskazanie pieczętującego i to że klucz do pieczęci jest pod jego wyłączną kontrolą,
  • pieczęć może być kwalifikowana, zapewniając jej skuteczność w postępowaniach dowodowych.

Pieczęć elektroniczna pozwala na automatyzację procesów elektronicznych, w szczególności opatrywanie nią:

  • dokumentów bankowych i potwierdzeń zawarcia transakcji,
  • faktur elektronicznych,
  • automatycznych potwierdzeń zawarcia transakcji w usługach online,
  • automatycznego wydawania zaświadczeń urzędowych,
  • potwierdzenia pochodzącego z aparatury badawczej,
  • potwierdzenia obserwacji, faktów i działania urządzeń,
  • zabezpieczenia dokumentacji podpisanej w systemie teleinformatycznym – np. potwierdzania podpisu złożonego za pomocą profilu zaufanego,
  • wydawanie biletów elektronicznych, które mogą zostać zweryfikowane pod względem autentyczności przez każdego.

Rozporządzenie eIDAS określiło, że podmiotem składającym pieczęć będą tylko osoby prawne. Samo złożenie pieczęci elektronicznej przez podmiot prawny jest gwarancją autentyczności dokumentu, którą gwarantuje „składający pieczęć” zgodnie z warunkami używania danej pieczęci elektronicznej, co jest określane w certyfikacie lub polityce certyfikacji.

Zaawansowana pieczęć elektroniczna (definicja z Rozporządzenia eIDAS) jest składana za pomocą danych będących pod kontrolą podmiotu składającego tę pieczęć, przy czym w przepisie nie określono jak ta kontrola powinna być realizowana. Przepisy rozporządzenia eIDAS w tym zakresie pozostawiają pewną dowolność, pozwalając podmiotowi na ustalenie zasad kontroli nad danymi służącymi do składania pieczęci.

Gwarantowanie autentyczności i integralności dokumentów może mieć bardzo duże znaczenie dla ułatwienia realizacji szeregu usług elektronicznych, gwarantując cechy bezpieczeństwa niezbędne dla konkretnego procesu biznesowego. Gwarantem integralności i autentyczności jest podmiot składający pieczęć, a środowisko i warunki, w których pieczęć jest tworzona pozostają pod kontrolą tego podmiotu.

Opisany powyżej schemat umożliwia tworzenie takich rozwiązań technicznych, w których mechanizm pieczęci będzie „zaszyty” w urządzeniach dostarczanych bądź autoryzowanych przez „składającego pieczęć”. Urządzenia te opatrują pieczęcią elektroniczną przetwarzane przez siebie dane, zawierając w pieczęci informację dotyczącą np. warunków i sposobu przetworzenia. Urządzenia takie mogą być użytkowane przez osoby fizyczne lub prawne do konkretnych czynności, do których zostały dedykowane, a materiał dowodowy przez nie przygotowany stanowić może zabezpieczenie procesu biznesowego lub innych świadczonych usług zaufania.

Przykład wykorzystania pieczęci elektronicznej

Przykładem wykorzystania pieczęci elektronicznej zgodnie z opisanym schematem jest aparat fotograficzny, który każde zrobione zdjęcie opatruje pieczęcią elektroniczną wraz informacjami o czasie i miejscu pobranymi z wiarygodnego systemu GPS. Pieczęć taka gwarantuje autentyczność pochodzenia zdjęcia z konkretnego modelu aparatu, którym zdjęcie zostało wykonane, a także koordynaty miejsca wykonania zdjęcia i czas. Podmiotem składającym tę pieczęć jest producent (lub gwarant) aparatu. Producent aparatu w ten sposób gwarantuje, że tylko zdjęcia wykonane tym aparatem, opatrzone danymi pochodzącymi z GPS, będą taką pieczęć posiadały.

Innym przykładem zastosowania pieczęci jest skaner dokumentów papierowych zapewniający autentyczność i integralność zeskanowanych dokumentów. Producent skanera gwarantuje pieczęcią, że każdy dokument nią opatrzony pochodzi ze skanowania dokumentu w określonym urządzeniu, natomiast żaden dokument, który nie został zeskanowany konkretnym urządzeniem, nie może zostać potwierdzony analogiczną pieczęcią.

Stosowanie pieczęci elektronicznej wystawcy urządzenia daje możliwość dostarczenia urządzeń realizujących różne funkcje i schematy przetwarzania danych, oraz umożliwia dostarczenie materiału dowodowego, którego autentyczność i integralność jest gwarantowana przez producenta lub gwaranta urządzenia. Mogą to być urządzenia przetwarzające samą treść dokumentów elektronicznych (np. opatrywanie pieczęcią otrzymanych lub wysyłanych wiadomości), a także dołączające dodatkowe treści tj. obraz, ruch, dźwięk, czas i miejsce (np. aparaty, dyktafony, kamery, fotoradary i czytniki biometryczne).

Dokumenty opatrzone w ten sposób pieczęcią elektroniczną mogą być dalej przetwarzane w chmurze lub wykorzystane jako materiał dowodowy dla innych usług zaufania, co umożliwia zbudowanie wielu nowych usług biznesowych, których bezpieczeństwo jest gwarantowane przez zastosowaną pieczęć elektroniczną. Stosowanie pieczęci elektronicznej zgodnie z opisanym w artykule schemacie otwiera możliwość uproszczenia sposobu korzystania przez osoby fizyczne z usług i dokumentów elektronicznych bez konieczności stosowania przez nie własnego podpisu elektronicznego.