Bezpieczne urządzenie do składania podpisów
Bezpieczne urządzenie do tworzenia podpisów ( SSCD ) to określony typ sprzętu komputerowego lub oprogramowania, który jest używany do tworzenia podpisu elektronicznego . Aby urządzenie mogło zostać oddane do użytku jako bezpieczne urządzenie do składania podpisu, musi spełniać rygorystyczne wymagania określone w załączniku II do rozporządzenia ( UE) nr 910/2014 (eIDAS) , gdzie określane jest jako kwalifikowane (elektroniczne) urządzenie do składania podpisu urządzenie (QSCD). procesów biznesowych online które oszczędzają czas i pieniądze dzięki transakcjom dokonywanym w sektorze publicznym i prywatnym .
Opis
Minimalne wymagania, które muszą być spełnione, aby urządzenie do składania podpisu elektronicznego podniosło się do poziomu bezpiecznego urządzenia do składania podpisu, określa Załącznik II do eIDAS. Poprzez odpowiednie środki proceduralne i techniczne urządzenie musi w rozsądny sposób zapewniać poufność danych służących do składania podpisu elektronicznego. Ponadto musi zapewnić, że dane użyte do stworzenia podpisu elektronicznego są niepowtarzalne i użyte tylko raz. Wreszcie zezwala jedynie kwalifikowanemu dostawcy usług zaufania lub organowi certyfikacji na tworzenie danych podpisu elektronicznego lub zarządzanie nimi .
Aby zapewnić bezpieczeństwo, dane służące do tworzenia podpisu używane przez SSCD do tworzenia podpisu elektronicznego muszą zapewniać odpowiednią ochronę za pomocą obecnej technologii, aby zapobiec fałszerstwu lub powielaniu podpisu. Dane o stworzeniu muszą pozostawać pod wyłączną kontrolą sygnatariusza, aby zapobiec nieautoryzowanemu użyciu. Sam SSCD nie może zmieniać danych towarzyszących podpisowi.
Gdy dostawca usług zaufania lub urząd certyfikacji oddaje dysk SSCD do użytku, musi on bezpiecznie przygotować urządzenie zgodnie z załącznikiem II do eIDAS, w pełnej zgodności z następującymi trzema warunkami:
- Podczas użytkowania lub przechowywania dysk SSCD musi pozostać bezpieczny.
- Ponadto reaktywacja i dezaktywacja SSCD musi odbywać się w bezpiecznych warunkach.
- Wszelkie dane aktywacyjne użytkownika, w tym kody PIN, należy dostarczyć oddzielnie od dysku SSCD po bezpiecznym przygotowaniu.
Międzynarodowe wymogi zapewnienia bezpieczeństwa dla dysków SSCD
Bezpieczne urządzenie do składania podpisu musi również spełniać międzynarodowy standard certyfikacji bezpieczeństwa komputerowego, określany jako Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408). Ten standard daje użytkownikom systemu komputerowego możliwość określenia wymagań bezpieczeństwa za pomocą profili ochrony (PPs) dla wymagań funkcjonalnych bezpieczeństwa (SFR) i wymagań zapewnienia bezpieczeństwa (SAR). Dostawca usług zaufania lub urząd certyfikacji jest zobowiązany do wdrożenia określonych wymagań i poświadczenia atrybutów bezpieczeństwa swojego produktu. Następnie niezależne laboratorium testujące ocenia urządzenie, aby upewnić się, że poziom bezpieczeństwa jest zgodny z deklaracją dostawcy.
Centralna usługa uwierzytelniania
Gdy bezpieczne urządzenie do tworzenia podpisów jest używane jako część centralnej usługi uwierzytelniania (CAS), może działać jako serwer CAS w scenariuszach uwierzytelniania wielowarstwowego. Protokół oprogramowania CAS umożliwia uwierzytelnianie użytkowników podczas logowania do aplikacji internetowej.
Typowy schemat protokołu CAS obejmuje przeglądarkę internetową klienta, aplikację żądającą uwierzytelnienia oraz serwer CAS. Gdy wymagane jest uwierzytelnienie, aplikacja wyśle żądanie do serwera CAS. Następnie serwer porówna poświadczenia użytkownika ze swoją bazą danych. Jeśli informacje się zgadzają, CAS odpowie, że użytkownik został uwierzytelniony.
Implikacje prawne dotyczące bezpiecznych urządzeń do składania podpisów
eIDAS zapewnia wielopoziomowe podejście do określania skutków prawnych podpisów elektronicznych. Uznaje się, że podpis złożony za pomocą bezpiecznego urządzenia do składania podpisów ma największą wartość dowodową . Dokument lub wiadomość podpisana za pomocą takiego urządzenia jest nierzetelna , co oznacza, że sygnatariusz nie może zaprzeczyć, że jest odpowiedzialny za stworzenie podpisu.
Rozporządzenie (UE) nr 910/2014 (eIDAS) wywodzi się z dyrektywy 1999/93/WE, dyrektywy w sprawie podpisów elektronicznych . Intencją dyrektywy było nałożenie na państwa członkowskie UE odpowiedzialności za stworzenie ustawodawstwa, które umożliwiłoby stworzenie systemu podpisu elektronicznego Unii Europejskiej. Rozporządzenie eIDAS zobowiązało wszystkie państwa członkowskie do przestrzegania jego specyfikacji dotyczących podpisów elektronicznych przed wejściem w życie 1 lipca 2016 r.