ELEKTRONICKÉ PODPISY, PEČETĚ A ČASOVÁ RAZÍTKA JEDNODUŠEJI A LEVNĚJI
Klienti společnosti Gordic se díky certifikovanému partnerství se Software602 obejdou při kvalifikovaném elektronickém podepisování bez tokenů nebo čipových karet. Uživatelé informačního systému GINIS nyní mohou podepisovat a pečetit jednodušeji a levněji.
Pokud jste někdy vyřizovali právní záležitost za úřad elektronicky, patrně již víte, že vám k tomu nestačí zaručený elektronický podpis. Zákonem č. 297/2016 Sb. je při podepisování dokumentů, vzniklých v prostředí tzv. „veřejnoprávního podepisujícího[1]“ nutný kvalifikovaný elektronický podpis, k němuž je ale třeba nejprve získat osobní kvalifikovaný certifikát. Ten vydává kvalifikovaná certifikační autorita, u nás např. PostSignum od České pošty. Tento kvalifikovaný certifikát se ovšem musí vygenerovat a uložit na tzv. kvalifikovaný prostředek, což je například token nebo čipová karta. Bez nich pak nelze dokumenty kvalifikovaně elektronicky podepisovat, ovšem má to dost praktických nevýhod.
Předně nejde o nic levného, pro organizaci či úřad to znamená další vyřizování a token nebo čipová karta se mohou ztratit. V takovém případě je nutné předčasně zneplatnit certifikát na ztraceném prostředku, koupit nový token nebo čipovou kartu a na ně pak pořídit nový certifikát. Ale nemusí jít hned o ztrátu, stačí kvalifikovaný prostředek zapomenout doma nebo v kanceláři a rázem není možné kvalifikovaně elektronicky podepisovat. Token a čipová karta mají navíc obslužný software často pouze pro Windows, a to ještě jen pro konkrétní verze, takže například na operačních systémech Android, iOS, iPadOS, macOS a Linux se s nimi obvykle dokument kvalifikovaně elektronicky podepsat nedá.
Opravdu nepříjemná je nemožnost okamžitého „odstřihnutí“ tokenu či karty pro podepisování ve chvíli, kdy je jejich držitel postaven mimo službu nebo propuštěn ze zaměstnání. Stejně tak není fakticky možné kontrolovat, jaké dokumenty byly držitelem certifikátu podepsány. Existuje tedy reálné riziko zneužití zaměstnaneckého certifikátu. A především: firma či organizace nemá v reálném čase fakticky pod kontrolou správu všech certifikátů, protože jsou rozesety po tokenech a kartách.
Řešením je vzdálená správa certifikátů
Co s tím? Všechny certifikáty vašich zaměstnanců můžete umístit na spolehlivý kvalifikovaný prostředek HSM. Jedná se o modul provozovaný v bezpečném datacentru s certifikací TIER III, který splňuje veškeré požadavky evropského nařízení eIDAS. A nyní se dostáváme k praktickému příkladu, jak může toto řešení pomoci uživatelům informačního systému GINIS. Z něj se totiž uživatel důvěryhodně autentizuje k HSM ze svého počítače, tabletu nebo mobilního telefonu zabezpečeným spojením přes internet a poté může podepsat jakýkoliv dokument, aniž by k tomu potřeboval token nebo čipovou kartu. Podepisovaný dokument navíc neputuje internetem a je stále bezpečně uložen v prostředí systému, ve kterém byl vytvořen a schválen – tedy v elektronické spisové službě. A to i v případě, kdy jej podepisujete během služební cesty stovky kilometrů od své kanceláře. Na rozdíl od obvyklých forem elektronického podepisování je tak minimalizováno riziko, že se k obsahu dokumentu dostane někdo nepovolaný. Nasazení této formy elektronického podepisování tak mimo jiné výrazně zvyšuje reálnou míru ochrany osobních údajů.
Rázem odpadají náklady na pořizování tokenů či karet, na jejich zabezpečení a řešení problémů s jejich ztrátou nebo zapomínáním. Veškerou odpovědnost za zabezpečení vašich certifikátů nese dodavatel služby SecuSign, v tomto případě společnost Software602. Vy nemusíte řešit nic, prostě se jen přihlásíte, autentizujete se a můžete kvalifikovaně vzdáleně podepisovat. Zprovoznění je otázkou okamžiku, nároky na uživatele jsou minimální a zabezpečení certifikátů naopak maximální. Navíc máte neustále plnou kontrolu nad tím, co se ve vašem úřadu elektronicky podepíše.
Obr. 1: Princip vzdáleného podepisování
Nejde však jen o podepisování
Od 1. února 2022 navíc vejde v účinnost § 5 odst. 2 zákona č. 12/2020 Sb. o právu na digitální služby, kdy bude nutné mimo stávající případy opatřovat kvalifikovanou pečetí a časovým razítkem i tzv. „Osvědčení o digitálním úkonu“, což je dokument PDF/A, který musí být automatizovaně vystaven na každý úspěšně realizovaný digitální úkon. Toto sebou přinese enormní nárůst spotřeby těchto pečetí a razítek. Abyste je nemuseli draze nakupovat, v rámci služby SecuSign v informačním systému GINIS můžete i pečeti čerpat neomezeně za zvýhodněnou cenu podle velikosti vaší organizace.
Díky službě SecuSign tedy můžete podepisovat a pečetit bezpečně a jednoduše. Máte neustálou kontrolu nad všemi operacemi v rámci vaší organizace, můžete okamžitě přidělovat a odebírat práva pro využívání zaměstnaneckých certifikátů a nepotřebujete k tomu nic jiného než váš počítač, notebook, tablet nebo i pouhý telefon. Pokud vás tato nová služba zaujala, obraťte se na svého distributora GINIS.
Co říká zákon
Centrální správa a evidence všech certifikátů je upravena vyhláškou č. 259/2012 Sb. v § 17 odst. 4), následovně: „Původce vede evidenci kvalifikovaných certifikátů vydaných akreditovanými poskytovateli certifikačních služeb, jichž je držitelem a na nichž jsou založeny jím užívané uznávané elektronické podpisy, a kvalifikovaných systémových certifikátů, jichž je držitelem a na nichž jsou založeny jím užívané uznávané elektronické značky, vydaných akreditovaným poskytovatelem certifikačních služeb.“. Díky vzdálenému podepisování je i tato povinnost splněna.
Když se nemusí podepisovat, pečetí se
Nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí. Jedná se o případ, kdy automatizovaně vytváříte dokumenty jako je například transakční protokol či potvrzení doručení datové zprávy elektronickou podatelnou. NSeSSS ve svém požadavku č. 5.3.3 dokonce stanovuje povinnost transakční protokol označit kvalifikovanou pečetí (nebo podpisem, to ovšem znamená každý den protokol včetně víkendů a svátků ručně podepisovat) a časovým razítkem.
Obr. 2: Bezpečná dvoufaktorová autentizace prostřednictvím 602®Key na Google Play / App Store
Vít Cvrček
Autor článku je produktovým manažerem společnosti Gordic.