Bezpieczeństwo transakcji elektronicznych, a ocena dostawców usług zaufania

Usługi zaufania to usługi elektroniczne, świadczone na terenie krajów Unii Europejskiej, które zostały wprowadzone do zawierania bezpiecznych transakcji drogą elektroniczną. Dostawcy usług zaufania (trust service provider – TSP), stawiając czoła współczesnym wyzwaniom, oferują coraz szerszy wachlarz takich usług. Dzięki wykorzystaniu usług zaufania przez konsumentów, przedsiębiorców i administrację publiczną możliwe jest przeniesienie wielu czynności na poziom cyfrowy przy zachowaniu istotnych standardów. Istnieje jednak obawa, czy na pewno TSP, owe standardy utrzymują. W tym obszarze zastosowanie znajduje ocena zgodności dostawców usług zaufania, która w połowie bieżącego roku dostępna będzie w ofercie Centrum Certyfikacji Jakości (CCJ).

Stosowanie usług zaufania uregulowane jest ustawodawstwem Parlamentu Europejskiego oraz krajowego. Najistotniejszym aktem prawnym jest europejskie rozporządzenie eIDAS, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania, w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE oraz polska Ustawa o usługach zaufania oraz identyfikacji elektronicznej. Dzięki przyjęciu rozporządzenia eIDAS we wszystkich państwach UE ujednolicono nazewnictwo oraz zasady nadzoru nad dostawcami usług zaufania.

Przepisy eIDAS

Celem przepisów jest zapewnienie bezpieczeństwa w zawieraniu umów na odległość z wykorzystaniem nowych technologii, jak również zwiększenie zaufania do takich usług przez obywateli UE.

Przepisy eIDAS mają ogromne znaczenie dla firm, funkcjonujących w Europie. Upraszczają one i standaryzują system identyfikatorów cyfrowych , przyczyniając się do powstania spójnego rynku cyfrowego. Dzięki usługom zaufania, przedsiębiorcy i ich klienci mogą o wiele łatwiej realizować bezpieczne transakcje cyfrowe – zarówno lokalnie, jak i pomiędzy różnymi krajami Unii Europejskiej. Dostawcy świadczący usług zaufania stosują się także do norm opracowanych przez Europejski Instytut Norm Telekomunikacyjnych (European Telcommunications Standards Institute – ETSI). Zawierają one zbiór wytycznych dla branży telekomunikacyjnej, w których zebrane są techniczne wymagania dotyczące świadczenia usług zaufania.

Nad bezpieczeństwem działalności dostawców usług zaufania w Polsce czuwa minister właściwy do spraw informatyzacji, natomiast za działania związane z informatyzacją polskiej administracji publicznej odpowiada Kancelaria Prezesa Rady Ministrów. Przepisy nakładają na dostawców obowiązek poddania się audytom w zakresie świadczonych usług, przynajmniej raz na 24 miesiące oraz w przypadku chęci wprowadzenia nowych rodzajów usług zaufania do swojego portfolio. Organ nadzorujący weryfikuje ich rzetelność i wymaga przedłożenia ściśle określonej dokumentacji kontrolnej. Audyty takie przeprowadza akredytowana jednostka certyfikująca, oceniająca zgodność, jaką niebawem stanie się CCJ, będące komórką organizacyjną ulokowaną w strukturze Wydziału Bezpieczeństwa, Logistyki i Zarządzania Wojskowej Akademii Technicznej.

Usługi zaufania

Do podstawowych rodzajów usług zaufania zalicza się podpis elektroniczny, pieczęć elektroniczną, elektroniczny znacznik czasu, rejestrowane doręczenia elektroniczne oraz uwierzytelnianie witryn internetowych.

Podpis elektroniczny stanowi zbiór elektronicznych danych definiujących np. imię czy nazwisko, które są świadomie używane jako podpis przez osobę fizyczną. Pozwala on na elektroniczne złożenie oświadczenia oraz umożliwia potwierdzanie dokumentów.

Pieczęć elektroniczna w odróżnieniu od podpisu jest swoistym potwierdzeniem, że dany dokument elektroniczny pochodzi od konkretnej osoby prawnej i może być wykorzystywana tylko przez nią. Stanowi dowód, że dokumenty nie uległy zmianie i potwierdza ich autentyczność. Na rynku e-usług możemy spotkać także elektroniczny znacznik czasu, który zapewnia bezpieczeństwo elektronicznych dokumentów poprzez powiązanie ich z konkretnym czasem. Ponadto dostawcy oferują usługę walidacji, która dostarcza dowody ważności podpisu elektronicznego i pieczęci elektronicznej oraz konserwacji zapewniającą przedłużenie technicznych możliwości weryfikacji podpisu elektronicznego i pieczęci elektronicznej.

Kolejną usługą jest rejestrowane doręczenie elektroniczne. Umożliwia ono przesyłanie elektronicznych danych oraz służy jako dowód posługiwania się tymi danymi, zabezpiecza je przed kradzieżą, uszkodzeniem lub nieautoryzowaną zmianą.

Usługi zaufania obejmują również uwierzytelnianie witryn internetowych, które uwiarygadnia strony internetowe, poprzez przypisanie ich do konkretnego wystawcy. Plany rozwojowe Centrum Certyfikacji Jakości ukierunkowane są na prowadzenie ocen TSP we wszystkich wspomnianych powyżej obszarach.

Usługi zaufania mogą być świadczone na trzech poziomach. Najniższe rangą są niekwalifikowane usługi zaufania, które mogą być świadczone przez niekwalifikowanych i kwalifikowanych dostawców. Usługi takie znajdują swoje zastosowanie w komunikacji wewnątrzfirmowej, natomiast nie mają dużego zastosowania poza strukturami przedsiębiorstwa.

Usługi zaawansowane natomiast można powiązać z właścicielem i podmiotem. Podobnie jak niekwalifikowane usługi nie niosą skutku prawnego, ale nie można im odmówić mocy dowodowej. Zaawansowane usługi zaufania wykorzystywane są w prowadzeniu korespondencji wewnątrzfirmowej lub między kontrahentami, na mocy porozumień bilateralnych.

Najwyższy poziom bezpieczeństwa gwarantują kwalifikowane usługi zaufania, świadczone wyłącznie przez kwalifikowanych dostawców, którzy poddali się restrykcyjnej ocenie zgodności z obowiązującymi wymaganiami. Usługi kwalifikowane pozwalają na jednoznaczną identyfikację osoby lub podmiotu i jako jedyne niosą niepodważalny skutek prawny. Droga do uzyskania statusu kwalifikowanego dostawcy to ściśle uregulowany proces. Przedsiębiorstwo musi spełnić szereg wymogów formalnych, prawnych oraz technicznych, zgodnych z najwyższymi standardami. Ustawodawca narzuca kwalifikowanym dostawcom obowiązek dokonywania cyklicznej oceny świadczonych usług. Oferta Centrum Certyfikacji Jakości obejmująca ocenę kwalifikowanych dostawców usług zaufania oraz świadczonych przez nich kwalifikowanych usług zaufania dedykowana będzie dla takich właśnie podmiotów.

W czerwcu 2021 r. pojawił się projekt zmian rozporządzenia eIDAS dla transakcji elektronicznych na jednolitym rynku europejskim. Jak wynika z tekstu projektu, dokument umożliwi dostęp do bezpiecznych i wiarygodnych rozwiązań w zakresie tożsamości elektronicznej. Ponadto usługi publiczne i prywatne będą mogły opierać się na zaufanych i bezpiecznych rozwiązaniach w zakresie tożsamości cyfrowej. Osoby fizyczne i prawne będą uprawnione do korzystania z rozwiązań w zakresie tożsamości cyfrowej. Rozwiązania te będą powiązane z różnymi atrybutami i umożliwią ukierunkowane udostępnianie danych dotyczących tożsamości ograniczone do potrzeb konkretnej żądanej usługi. Zmiany uwzględnią także akceptację kwalifikowanych usług zaufania w UE i równych warunków ich świadczenia.

Europejski Portfel Tożsamości Cyfrowej - korzyści

Kolejnym istotnym zagadnieniem aktu wykonawczego jest projekt przewidujący wdrożenie tzw. European Digital Identity Wallet, czyli Europejskiego Portfela Tożsamości Cyfrowej. Procedura wydawania e-portfeli ma zostać zapewniona przez państwa UE, aby umożliwić obywatelom dostęp zarówno do usług publicznych, jak i prywatnych. W dobie pandemii COVID-19 zaobserwować można wzrost oczekiwań społeczeństwa wobec podmiotów publicznych i prywatnych w zakresie świadczenia usług elektronicznych. Obywatele UE oczekują nie tylko wysokiego poziomu bezpieczeństwa, ale również sprawnej komunikacji z administracjami krajowymi, również w przypadkach, gdy wymagana jest formalna identyfikacja. Europejskie portfele tożsamości cyfrowej umożliwią przechowywanie i wykorzystywanie danych dotyczących wszelkiego rodzaju usług, od odprawy na lotnisku przez wynajem samochodu, ubieganie się o przyjęcie na studia wyższe, przedstawienia dokumentu potwierdzającego wiek po otwarcie rachunku bankowego. Ideą przyświecającą tej koncepcji jest zapewnienie konsumentom możliwości wyboru. Przedsiębiorstwa również skorzystają z tożsamości cyfrowej, oferując szeroki zakres nowych usług. Nowelizacja rozporządzenia eIDAS jest efektem obserwowanego rosnącego popytu w zakresie dostępu do rozwiązań w zakresie tożsamości elektronicznej.

Łatwo zatem zaobserwować, że zainteresowanie usługami cyfrowymi i ich dostępność stale rośnie. Bezpieczeństwo produktów oferowanych przez ich dostawców jest więc kluczowym elementem z punktu widzenia szerokiego grona odbiorców. Najskuteczniejszym narzędziem w rękach organów, zajmujących się nadzorem jest właściwie przeprowadzona ocena kwalifikowanych dostawców usług zaufania oraz świadczonych przez nich kwalifikowanych usług zaufania. To na jej podstawie między innymi podejmowana jest decyzja, czy organizacja uzyska status dostawcy kwalifikowanego.

Odpowiedzialność za przeprowadzenie rzetelnej oceny spoczywa na jednostce akredytowanej, jaką jest właśnie CCJ. Usługi świadczone przez Centrum Certyfikacji Jakości realizowane są z zachowaniem zasad bezstronności, obiektywności, zaufania oraz bezpieczeństwa informacji. Ocena zgodności dostawcy i jego usług z wymaganiami jest warunkiem koniecznym ale i zasadnym. Jest dowodem wysokich kwalifikacji oraz zmienia postrzeganie dostawcy i zwiększa zaufanie odbiorców w zakresie oferowanych produktów.

Informacje dotyczące oferowanej certyfikacji znajdują się na stronie www.ccj.wat.edu.pl lub bezpośrednio zainteresowani mogą kontaktować się z Zespołem ds. Badań i Certyfikacji Wyrobów Centrum Certyfikacji Jakości.

Artykuł powstał we współpracy z Centrum Certyfikacji Jakości WLO WAT.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.