PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA Charakterystyka działań z obszaru e gospodarki i e –administracji podejmowanych na regionalnym poziomie PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA Maciej Domagalski Krajowa Izba Rozliczeniowa SA Regionalne Centrum Sprzedaży w Poznaniu Poznań 22.11.2010

Plan prezentacji 1. Podstawowe definicje 2. Rodzaje podpisu elektronicznego 3. Funkcje podpisu elektronicznego 4. Aspekty prawne 5. Zastosowania 6. Podpisywanie i weryfikacja dokumentów elektronicznych w praktyce

Krajowa Izba Rozliczeniowa S.A. KIR SA działa od 1992 roku Spółka akcyjna 12 banków założycieli oraz Narodowego Banku Polskiego i Związku Banków Polskich Założona by świadczyć usługi rozliczeniowe, każdego dnia poprzez system ELIXIR® pośredniczy w realizacji ok. 4 mln zleceń płatniczych na kwotę ponad 9 miliardów złotych Do zabezpieczania transakcji w systemie ELIXIR® od 1994 roku wykorzystujemy podpis elektroniczny i certyfikaty klucza publicznego generowane przez System Zarządzania Certyfikatami SZAFIR, Status „Instytucji zaufania publicznego”

Czym jest podpis elektroniczny? – podstawowe definicje Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację osoby fizycznej składającej ten podpis, Bezpieczny podpis elektroniczny - podpis elektroniczny, który jest: przyporządkowany wyłącznie do jednej osoby, sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń i danych służących do składania podpisu elektronicznego, powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna

Podpis elektroniczny – podstawowe definicje Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby, Kwalifikowany certyfikat - certyfikat spełniający warunki określone w ustawie o podpisie elektronicznym, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne Kwalifikowany podmiot świadczący usługi certyfikacyjne - podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne

Podpis kwalifikowany a niekwalifikowany Podpis niekwalifikowany Jest składany z użyciem klucza przypisanego do certyfikatu kwalifikowanego Jest weryfikowany certyfikatem zwykłym, tzw. powszechnym Certyfikaty kwalifikowane wydają centra certyfikacji wpisane do rejestru prowadzonego przez Narodowe Centrum Certyfikacji (dawniej CENTRAST S.A.) Certyfikat zwykły może wydać każdy podmiot świadczący usługi certyfikacyjne. Jest składany za pomocą bezpiecznego urządzenia Nie zostały określone specjalne wymagania Jest przypisany do osoby fizycznej Nie jest przypisany do konkretnej osoby Stosuje się do podpisywania dokumentów mających moc prawną w postaci elektronicznej Służy głównie do zabezpieczenia poczty elektronicznej i sygnowania treści dokumentów elektronicznych Skutki prawne są identyczne jak przy podpisie odręcznym Nie wywołuje skutków prawnych równorzędnych podpisowi własnoręcznemu, chyba że strony umówią się inaczej

Funkcje podpisu elektronicznego Podpis elektroniczny realizuje następujące funkcje: niezaprzeczalność – niemożność zaprzeczenia autorstwu wiadomości integralność (spójność) – możliwość stwierdzenia, że wiadomość nie została zmieniona po jej podpisaniu przez autora. unikalność – każdy dokument elektroniczny posiada unikalny podpis elektroniczny ściśle związany z danym dokumentem

Podpisany dokument elektroniczny Podpisany dokument elektroniczny Lista CRL Ośrodek Certyfikacji Użytkownik Odbiorca Podpisany dokument elektroniczny Podpisany dokument elektroniczny

System certyfikacji kluczy NADAWCA ODBIORCA Klucz tajny nadawcy Klucz publiczny nadawcy Podpis elektroniczny to bezpieczne przechowywanie danych w niebezpiecznym środowisku Podpis elektroniczny to bezpieczne przechowywanie danych w niebezpiecznym środowisku S%Q##Jna6!~`Po=<RsopT@*10Rasc29hfI))Dewk$8SY3$@Lad8*#&%1*b Podpisywanie dokumentów Weryfikacja podpisu

Lista unieważnionych i zawieszonych certyfikatów Informacja o unieważnieniu i zawieszeniu certyfikatów Numer seryjny certyfikatu Data i godzina zawieszenia/ unieważnienia Powód zawieszenia/ unieważnienia

Co to jest i do czego służy znakowanie czasem? Znakowanie czasem - usługa polegająca na dołączaniu do danych w postaci elektronicznej oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę. Czas, którym znakowany jest dokument nie jest związany z czasem systemowym (stacji roboczej, serwera), lecz pochodzi z niezależnego źródła, jakim jest zaufana trzecia strona (Time Stamping Authority). Oznaczenie czasem dokumentu potwierdza istnienie dokumentu w określonej postaci w określonym czasie - nie pozwala natomiast na określenie daty utworzenia dokumentu ani też daty jego modyfikacji.

Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Aspekty prawne Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym Art. 5 ust. 2. Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Uniwersalność zastosowania podpisu elektronicznego

Moc dowodowa e-podpisu Art. 6 ust. 1 Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód, że został złożony przez osobę określoną w tym certyfikacie, jako osoba składająca podpis elektroniczny – niezaprzeczalność autorstwa Moc dowodowa znacznika czasu Art. 7 ust. 2 Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.

Zastosowania podpisu elektronicznego Deklaracje ZUS (obowiązkowo od 21 lipca 2008r) e-Deklaracje do Urzędu Skarbowego Podania i wnioski administracyjne (od 1 maja 2008) Faktury VAT (e-faktury) Oferty i umowy, w tym zawierane na odległość Aukcje elektroniczne Krajowy Rejestr Sądowy - KRS Dane do Generalnego Inspektora Informacji Finansowej (GIIF) Dokumenty wewnętrzne, np. wnioski urlopowe Dokumentacja medyczna Elektroniczna Legitymacja Studencka (ELS) – podpisywanie danych

Zastosowania podpisu elektronicznego Sprawozdania o odpadach Sprawozdania o ilości i masie sprzętu wprowadzonego do obrotu na terytorium kraju Sprawozdania o wysokości należnej opłaty produktowej dla sprzętu Sprawozdania o wysokości pobranej opłaty depozytowej i przekazanej nieodebranej opłaty depozytowej Wnioski o wpis do rejestru dla wprowadzającego baterie lub akumulatory oraz dla prowadzącego zakład przetwarzania zużytych baterii lub akumulatorów Deklaracje dot. podatku od środków transportowych

Zastosowania podpisu elektronicznego Wnioski zakładów ubezpieczeń do Polskiej Izby Ubezpieczeń o udostępnienie informacji z rejestru Dokumenty związane z zawieraniem i wykonywaniem umów ubezpieczenia Skonsolidowane bilanse jednostek samorządu terytorialnego Wniosek o wpis do rejestru zastawów Powiadomienia do Głównego Inspektora Sanitarnego Zgłoszenia celne

Wyposażenie użytkownika bezpiecznego podpisu elektronicznego Aby składać bezpieczne podpisy elektroniczne należy posiadać: kwalifikowany certyfikat klucza publicznego, kartę kryptograficzną, czytAnik kart kryptograficznych, oprogramowanie. Aby weryfikować bezpieczne podpisy elektroniczne wystarczy samo oprogramowanie.

Certyfikat klucza publicznego Certyfikat to dane podpisane cyfrowo przez stronę, której ufamy (Certificate Authority). Certyfikat zawiera: dane subskrybenta, klucz publiczny subskrybenta, Zadaniem certyfikatu jest potwierdzenie tożsamości właściciela klucza publicznego. dane wystawcy certyfikatu, podpis cyfrowy wystawcy certyfikatu.

Karta kryptograficzna Karta posiada certyfikat bezpieczeństwa: ITSEC E3 high, jako jeden spośród trzech dopuszczonych przez ustawę o podpisie elektronicznym.

Czytnik kart Standardowo czytniki są podłączane do komputera przez port USB, Czytnik pośredniczy w przekazywaniu danych pomiędzy kartą, a oprogramowaniem.

Oprogramowanie Aplikacja SZAFIR - aplikacja do składania i weryfikacji bezpiecznych podpisów (część bezpiecznego urządzenia do składania i weryfikacji podpisów) Prezentuje podpisywany dokument Prezentuje zawartość certyfikatu użytkownika i odbiorcy Sprawdza ważność certyfikatu na listach unieważnionych i zawieszonych certyfikatów Posiada deklarację zgodności zgodną z normą PN-EN 45014

Realizowane formaty podpisu Możliwość składania podpisu elektronicznego w jednym z dwóch formatów dopuszczonych przez ustawę o podpisie elektronicznym. Są to formaty: XAdES (w wariantach XAdES-BES, XAdES-T, XAdES-C) z opcją kontrasygnaty PKCS#7 (z możliwością znakowania czasem i podpisu wielokrotnego) Możliwość składania podpisu: zwykłego, wbudowanego (kontrasygnaty). Weryfikowanie zwykłych oraz bezpiecznych podpisów elektronicznych we wszystkich wymienionych wyżej formatach:

XAdES XAdES (XML Advanced Electronic Signatures) Zgodny z wymaganiami prawnymi dla zaawansowanych podpisów cyfrowych określonych w dyrektywie europejskiej "Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures” komponenty SZAFIR SDK wspierają 3 najczęściej stosowane formy XAdES: XAdES-BES, XAdES-T oraz XAdES-C

Formy podpisu XAdES XAdES-BES (XAdES Basic Electronic Signature) podstawowa forma podpisu XAdES); XAdES-T (XAdES with Time-Stamp) podpis XAdES oznakowany czasem XAdES-C (XAdES with complete validation data) podpis XAdES oznakowany czasem, z dołączonymi informacjami – listami CRL oraz certyfikatami – zapewniającymi długotrwałą ważność dowodową podpisu

Dziękuję za uwagę www.kir.com.pl