smooth business flow Elektronický podpis a jeho implementace v nákupním systému con4pas, s.r.o. Novodvorská 1010/14A, 140 00 Praha 4 tel.: +420 261 393 211, fax: +420 261 393 212 www.con4pas.cz
Obsah Elektronický podpis definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu 24.9.2015 2
Elektronický podpis - účel Autenticita Lze ověřit identitu subjektu, kterému patří elektronický podpis. Integrita Lze prokázat, že od vytvoření elektronického podpisu nedošlo k žádné změně v podepsaném dokumentu, tj. že dokument není úmyslně či neúmyslně poškozen. Nepopiratelnost Autor nemůže tvrdit, že elektronický podpis příslušný k dokumentu nevytvořil. Důvodem je fakt, že pro vytvoření elektronického podpisu je potřeba privátní klíč, který je těsně svázán s veřejným klíčem. Časové ukotvení Časové razítko, které prokazuje datum a čas podepsání dokumentu. Časové razítko vydává důvěryhodná třetí strana, a protože je součástí elektronického podpisu, lze ji ověřit stejným postupem, jako elektronický podepsaný dokument. 24.9.2015 3
Elektronický podpis obecný proces 24.9.2015 4
Výklad pojmů Zákon 227/2000 Sb. zaručený/uznávaný elektronický podpis vs. elektronická značka, podepsání vs. označení, kvalifikované časové razítko a archivní kvalifikované časové razítko, kvalifikovaný certifikát vs. kvalifikovaný systémový certifikát. 24.9.2015 5
Zaručený vs. uznávaný el. podpis/značka Zaručený elektronický podpis (ZEP) resp. elektronická značka (EZN): je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě (prostřednictvím kvalifikovaného systémového podpisu EZN), byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Uznávaný elektronický podpis (UEP): zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby. 24.9.2015 6
Podepsání vs. označení Podepsání : manuální připojení EPO k datové zprávě, držitel OS-CERT potvrzuje (např. stisknutím klávesy), že je seznámen s obsahem zprávy. Označení : automatické připojení EZN k datové zprávě držitel SYS-CERT projevil vůli k podpisu nastavením automatických pravidel pro označení. 24.9.2015 7
Časové razítko Kvalifikované časové razítko obsahuje unikátní číslo kvalifikovaného časového razítka, označení pravidel, podle kterých bylo časové razítko vydáno, v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát. hodnotu času, která odpovídá koordinovanému světovému času při vytváření. data v elektronické podobě, pro která bylo kvalifikované časové razítko vydáno, elektronickou značku kvalifikovaného poskytovatele certifikačních služeb. Archivní kvalifikované časové razítko : nástroj pro zajištění důvěryhodnosti dokumentu po dobu delší než 3 roky jedná se o tzv. přerazítkování Č-RA po vypršení jeho platnosti 24.9.2015 8
Kvalifikovaný certifikát Kvalifikovaný certifikát obsahuje resp. splňuje: označení, že je vydán jako kvalifikovaný certifikát podle zákona č. 227/2000 Sb., obchodní firmu/název resp. jméno, příjmení a stát poskytovatele, jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym, zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, data pro ověřování podpisu jsou pod kontrolou podepisující osoby, el. značku založenou na kvalifikovaném systémovém certifikátu poskytovatele, číslo kvalifikovaného certifikátu unikátní u daného poskytovatele, počátek, konec a příp. omezení platnosti kvalifikovaného certifikátu, Kvalifikovaný systémový certifikát viz výše s tím, že místo EPO pracuje s elektronickou značkou. 24.9.2015 9
Akceptace elektronických dokumentů Zákonná úprava EPO zrovnoprávňuje písemnou a elektronickou formu komunikace stejné právní účinky: Pro komunikaci s veřejnou správou je vyžadován UEP. Pro soukromé subjekty je nutné písemnost označit minimálně ZEP. 24.9.2015 10
Obsah Elektronický podpis definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu 24.9.2015 11
Nařízení eidas důvody přijetí Cílem Nařízení EU 910/2014 eidas (o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu) je mj: zvýšení důvěryhodnosti elektronických transakcí na vnitřním trhu tím, že poskytne společný základ pro bezpečnou elektronickou komunikaci mezi občany, podniky, orgány veřejné moci, čímž posílí efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v Unii. Nařízení je platné od 28.8. 2014, dosud není účinné (viz dále). 24.9.2015 12
Nařízení eidas rozsah stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace jiného členského státu, stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí, stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek. 24.9.2015 13
Nařízení eidas důsledky a účinnost Důsledkem přijetí Nařízení EU 910/2014 eidas (o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a zrušení směrnice 1999/93/ES k 30.6. 2016. zrušení zákona 227/2000 Sb. a jeho nahrazení prováděcím zákonem (30.6.2016). změny dalších zákonů (až 120), např. 300/2008 Sb. o datových schránkách, v letech 2016-18. Ustanovení k elektronickému podpisu mají účinnost od 1.7.2016. Ustanovení k elektronické identifikaci je povinné od 2018. Prováděcí vyhlášky EU byly vydány 18.9. 2015. 24.9.2015 14
Nové pojmy (1/3) Elektronická pečeť Data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu. Nahrazuje pojem Elektronická značka. Pečetící osoba resp. Podepisující osoba Právnická osoba, která vytváří elektronickou pečeť resp. fyzická osoba, která vytváří elektronický podpis. Kvalifikovaný elektronický podpis Zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy. Nahrazuje pojem Uznávaný elektronický podpis. 24.9.2015 15
Nové pojmy (2/3) Služba vytvářející důvěru (e-trust service) je elektronická služba, která je zpravidla poskytována za úplatu a spočívá: ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami. 24.9.2015 16
Nové pojmy (3/3) Služba elektronického doporučeného doručování služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty,. u dat odeslaných a přijatých prostřednictvím kvalifikované služby EED platí domněnka integrity dat, odeslání těchto dat identifikovaným odesílatelem, jejich přijetí identifikovaným příjemcem a správnosti data a času odeslání a přijetí, jež jsou u kvalifikované služby elektronického doporučeného doručování Elektronický dokument jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka Pozn. jedná se o odlišnou definici od pojmu Datová zpráva v 227/2000 Sb. Certifikát pro autentizaci internetových stránek potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán. 24.9.2015 17
Elektronický podpis právní účinky Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech. 24.9.2015 18
Elektronická pečeť právní účinky Elektronické pečeti nesmějí být upírány právní účinky a nesmí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické pečetě. U kvalifikované elektronické pečeti platí domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena. Kvalifikovaná elektronická pečeť založená na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaná elektronická pečeť ve všech ostatních členských státech. 24.9.2015 19
Elektronické časové razítko právní účinky Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko. U kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny. Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech. 24.9.2015 20
Obsah Elektronický podpis definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu 24.9.2015 21
Implementace EPO Implementační projekt EPO musí zahrnovat: Rozhodnutí o způsobu podpisu výstupních dokumentů: elektronický podpis vs. elektronická značka. Rozhodnutí o označování elektronických dokumentů elektronickým razítkem pro prokázání času odeslání a doručení dokumentu: dle druhu dokumentu nebo potencionálního problému pro případné soudní prokazování. Rozhodnutí o způsobu přerazítkování dokumentů: vybudování vlastní infrastruktury vs. využití placené služby certifikační autority (současně s využitím elektronického razítka). Vytvoření interních služeb pro validaci elektronického podpisu (značky), označení dokumentu elektronickou značkou (příp. podepsání dokumentu), komunikaci s certifikační autoritou. Výběr obecného formátu pro výměnu dokumentů: XML, PDF. 24.9.2015 22
Změna procesů v důsledku implementace EPO Výstupní dokumenty: Bez vizuální změny v případě použití označování dokumentů elektronickou značkou. Označení proběhne na pozadí a uživatel (správce systému) se dozví pouze o případných problémech s označením, např. vypršení platnosti SYS- CERT. V případě elektronického podpisu je nutné zvolit okamžik před výstupem dokumentu tak, aby jej odpovědný uživatel, vlastnící osobní certifikát, mohl elektronicky podepsat. Vstupní dokumenty: Ověření platnosti elektronického podpisu (značky) proběhne na vstupu dokumentu do systému, v případě nevalidního podpisu je proces zastaven. Pro kompletní ověření podpisu včetně jeho odvolání je v závislosti na certifikační autoritě potřeba několik hodin (max. cca 24), zde je nutné rozhodnout, zda dokument má být zpracován po prvém ověření (integrita) nebo až po úplném ověření (včetně odvolání). 24.9.2015 23
Procesní model s implementací EPO odchozí email Stávající proces tvorby obj. SAP SRM/SAP MM Výstup objednávky Tvorba PDF Vložení příloh Označení PDF Odeslání EML Archivace EML Archivace PDF RFC: Synchronní ADS služba pro vložení příloh do PDF dokumentu Synch. služba pro doplnění pole podpisu a podepsání QSC Synchronní služba pro odeslání e-mailu. Vrací sestavený a označený e-mail ADS Přílohy Označení PDF Konverze PAdES-A Sestavení SMIME SAP PI Označení EML Odeslání EML Synch. služba pro dopl. pole podpisu a označení QSC Konverze PDF do archivního formátu PAdES-A Synchronní služba pro označení QSC Odeslání emailu Označení PDF Konverze PAdES-A Služby EPO Označení EML SMTP Odeslání Ověření podpisu/značky a označení časovým razítkem Certifikační autorita Časové razítko 24.09.2015 24
Dopady na technickou architekturu Vytvoření služeb pro práci s EPO: Využití tzv. HSM (Hardware Security Modul) boxů vs. systémové úložiště pro uložení SYST-CERT. Služby pro označení dokumentu elektronickou pečetí. Služby pro označení dokumentu elektronickým razítkem. Služby pro validaci elektronického podpisu, pečeti a razítka. Služby pro přerazítkování možnost využití služeb certifikační autority. 24.9.2015 25
SAP Portál - PT Firewall Firewall Příklad architektury po implementaci EPO RFC RFC SAP SRM SRM-SUS https ERP-1 SAP ADS SAP TREX RFC XML SRM-SUS Dodav. portál LAC https ERP-2 XML SAP PI XML Integrovaný dodavatel RFC SAP BW java SAP BW ABAP Služby EPO Certifikační autorita 26
Prostor pro dotazy 24.9.2015 27
Děkujeme Jméno Příjmení Role jmeno.prijmeni@con4pas.cz Michal Rosenbaum Michal Rosenbaum Projektový manažer Projektový michal.rosenbaum@con4pas.com manažer michal.rosenbaum@con4pas.com Jméno Příjmení Role jmeno.prijmeni@con4pas.cz 24.9.2015 28
Další program: Elektronizací nákupu k vyšší efektivitě a transparentnosti [ 30 min. ] Elektronický podpis a jeho implementace Zámek Štiřín, 24. září 2015 24.09.2015 29