Help Center

Was bedeutet die Fehlermeldung: “Serial Number Mismatch. We strongly advise to go through the Pre-Signing Process in order to retrieve the actual StepUp SerialNumber“. Diese Fehlermeldung deutet darauf hin, dass bei einem PWD/OTP Prozess das Passwort zurückgesetzt und neu gewählt wurde ohne eine neue Identifikation mit entsprechendem Step-up Process gemäss Reference Guide durchzuführen. Häufig passiert dieser Fehler, wenn die SIM Karte gewechselt wird oder auf Mobile ID App gewechselt wird. Es ist sehr wichtig, dass bei einer Aktivierung einer neuen SIM Karte oder der Aktivierung der Mobile ID App (sofern man vorher Mobile ID genutzt hat) die Wiederherstellungsoption gewählt wird (mobileid.ch).

Ich habe korrekt mich mit PWD/OTP, Mobile ID oder Mobile ID App authentifiziert – dennoch funktionierte die Signatur nicht … was kann die Ursache sein?

Ursachen sind:

• Sie haben beim PWD/OTP Verfahren ein neues Passwort gesetzt. Das darf nur in Ausnahmesituationen bei einer internen Registrierungsstelle durchgeführt werden und muss sonst immer im Rahmen einer Neuidentifikation stattfinden.
• Sie hatten bisher mit PWD/OTP authentifiziert und haben nun mit einer Schweizer Mobilfunknummer ihre Mobile ID oder international die Mobile ID App freigeschaltet. In diesem Fall muss auch eine Neuidentifikation stattfinden, da sich das zur Identität gehörende Authentifizierungsmittel geändert hat.
• Sie haben die SIM gewechselt, bzw. den Mobilfunkprovider. Dadurch hat sich bei einem MobileID Einsatz die MobileID Authentifizierung geändert. Hierfür ist ebenfalls eine Neuidentifikation notwendig
• Liegt keiner dieser Ursachen vor, sollten Sie ein Ticket eröffnen.

Häufig beziehen sich die Meldungen auf die fehlende Integrität, d.h. das Dokument weist Änderungen nach Setzen der Signatur auf. Z.B. wurden Elemente aus dem Netz nachträglich noch eingesetzt. Das kann vermieden werden, indem konsequent der PDF/A Standard PADES in letzter Ausprägung zur Signatur verwendet wird. Hinweise zur korrekten Bildung eines PADES Dokumentes finden Sie hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

“Unterschrift ist gültig jedoch konnte die Sperrung der Identität des Unterzeichners nicht überprüft werden” lautet die Aussage von Adobe, wenn kein LTV Format verwendet wurde. Hintergrund ist, dass dann Adobe bei einem 10 Minuten Zertifikat noch versucht die Gültigkeit zu prüfen. Wurde kein Langzeitvalidierungsformat verwendet, welches die Gültigkeitsinformationen zum Zeitpunkt der Signatur abspeichert, kann auf diese nach einiger Zeit nicht mehr zugegriffen werden. Daher sind Signaturen mit Kurzzeitzertifikaten (aber auch langzeitbeweisbare Signaturen) immer im LTV Format abzuspeichern. Hinweise finden Sie unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Diese Nachricht wird in zwei Fällen ausgelöst:

a) wenn Sie gerade mit der Swisscom RA App identifiziert wurden und vorgängig bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In diesem Fall ist alles OK und Sie können weiter wie gewohnt bis zu stufe qualifiziert signieren. Sie müssen nichts tun.

b) wenn neue Nutzungsbestimmungen zur Verfügung stehen, die akzeptiert werden müssen und seit der letzten erfolgreichen Signatur bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In dem Fall müssen Sie zwingend neu identifiziert werden um Qualifiziert signieren zu können.

Der verify Call zur Überprüfung, ob eine Person dem RA-Service bekannt ist, gibt folgende Fehlermeldung zurück:

{

“statusCode”: 404,

“message”: “Cannot check jurisdiction of unknown user with msisdn XXXXXXXXX”,

“exceptionClass”: “EvidenceVerificationException”

}

Das ist ein Zeichen, dass diese Person dem RA-Service nicht bekannt ist. Es kann sein, dass sie zwar identifiziert wurde, aber die per SMS zugesandten Nutzungsbedingungen nicht akzeptiert hat. Dann wird die Person nach kurzer Zeit (ca. 2 Wochen) gelöscht.

Auf dieser Signatur Check Seite können Sie jederzeit prüfen, ob Sie elektronisch signieren können oder Sie eine neue Registrierung benötigen:

https://check-signature.scapp.swisscom.com/

Bei einem positiven Ergebnis wird Ihnen angezeigt, mit welcher Signaturart (QES, FES) und in welchem Rechtsraum (EU, Schweiz) Sie elektronisch signieren können.

Bei einem negativen Ergebnis wird Ihnen der Grund für eine erneute Registrierung und Identifikation für die elektronische Signatur angezeigt.

Swisscom baut sein Netz an Swisscom Shops kontinuierlich aus, in denen Sie sich identifizieren lassen können. Wir werden auf dem Webauftritt laufend informieren. Im Ausland wird es Identifikationen nur über Partner geben, die das anbieten. Mittelfristig sucht Swisscom die Anbindung an bestehende Identitäten (z.B. Identitätsfeststellung online durch eine Bank oder eine staatliche eID).

Bei der Identifizierung wird das Authentisierungsmittel (z.B. konkret die Mobilfunknummer) abgefragt. Mit dieser wird bereits eine erste Signatur durchgeführt, typischerweise die Signatur der Nutzungsbestimmungen, die akzeptiert wurden (step-up Authentication). Diese Signatur wird zum All-in Signing Service übertragen. Damit kennt das All-in Signing System genau das Authentisierungsmittel.

Eine RA-Agentur erhält einen Speicherbereich (einen sogenannten “Tenant”), in dem nur die Personen verwaltet werden, die vom RA-Master Agenten oder anderen RA-Agenten seiner Agentur identifiziert wurden. Die identifizierten Personen in diesem Tenant kann der RA-Master Agent auch verwalten und z.B. als RA-Agent benennen.
Hat sich nun eine Person durch ein anderes Verfahren des Smart Registration Service identifiziert (z.B. Videoidentifikation in der EU), so kann der RA-Master Agent diese Person nicht zum RA-Agenten ernennen, sie ist einem anderen Tenant zugeordnet. Sie muss durch ihn neu identifiziert werden.
Die einzige Ausnahme ist der allererste RA-Master Agent: Dieser wird sowieso durch eine Person von Swisscom oder z.B. eine Videoidentifizierung identifiziert und landet damit standardmässig im “falschen” Tenant. Bei der Einrichtung der Agentur wird der benannte RA-Master Agent gesucht und dann in den korrekten neuen Tenant der RA-Agentur verschoben. Weitere Verschiebungen sind aber nicht möglich.

Auf dieser Signatur Check Seite können Sie jederzeit prüfen, ob Sie elektronisch signieren können oder Sie eine neue Registrierung benötigen:

https://check-signing.trustservices.swisscom.com/

Bei einem positiven Ergebnis wird Ihnen angezeigt, mit welcher Signaturart (QES, FES) und in welchem Rechtsraum (EU, Schweiz) Sie elektronisch signieren können.

Bei einem negativen Ergebnis wird Ihnen der Grund für eine erneute Registrierung und Identifikation für die elektronische Signatur angezeigt.

Indirekt geschieht das. Praktisch ist der Ablauf folgender: Die RA Agentur ernennt zuerst einen RA-Master Agenten. Dieser wird von Swisscom oder einem Swisscom Partner identifiziert und durchläuft eine Schulung. Anschliessend erhält er eine Bedienoberfläche mit der er weitere alleinig von ihm identifizierte Personen zu RA-Agenten oder RA-Master Agenten machen kann. Diese müssen aber ebenfalls eine automatisiert ausgelöste e-Learning Schulung durchlaufen.

Grundsätzlich muss Swisscom die Daten bei geleisteter Signatur sehr lange (11 Jahre in der Schweiz oder 35 Jahre in der EU) behalten. Aber Personen können vom RA-Master Agenten oder von der Swisscom inaktiv gesetzt werden, so dass diese nicht mehr signieren können.

Im Durchschnitt wird eine Identifizierung binnen 2 Minuten abgeschlossen.

Halten Sie die Kamera so hoch, dass das komplette Ausweisdokument vom Ausschnitt (ggfs. noch unscharf) erfasst wird. Führen Sie die Kamera langsam an den Ausweis näher, er fängt dann wieder an zu fokussieren.

Aus Datenschutzgründen schliessen wir derzeit keinen RA-Agenturvertrag mit Firmen ausserhalb der genannten Rechtsgebiete und lehnen auch eine Verarbeitung durch RA-Agenten von Personen mit Wohnsitz in diesen Ländern ab

Eine spezielle Anleitung ist nicht nötig, denn der Ablauf ist genau gleiche wie bei einer „scharfen“ Identifikation mit der RA App. Der Demo Mode ist im Basis Training für RA Agenten beschrieben.

In den Demo-Mode der RA App gelangen Sie, indem Sie sich mit folgenden Angaben einloggst:

• Handynummer:                +41123456789
• Firmenbezeichnung:      demo

Das ist korrekt. Wenn eine Person keinen maschinen-lesbaren Ausweis/ID oder Reisepass besitzt, kann sie nicht mit der RA App für die elektronische Signatur identifiziert werden und kann somit den Signing Service nicht nutzen.

Nein. Es ist untersagt, kopierte ID Dokumente mit der RA App zu erfassen. Der Grund ist, dass bei einer Kopie die Sicherheitsmerkmale nicht überprüft werden können.

Nein, das ist nicht zulässig. Die RA App wurde für die Face-to-Face Identifikation zertifiziert und darf entsprechend auch nur im persönlichen Kontakt angewendet werden.

Da Mobile ID eine persönliche Authentisierungsmethode ist, muss der Benutzer sie selbst aktivieren. Der Nutzer sollte die Mobile ID immer vor der Identifikation mit der RA App oder Smart Registration Service aktivieren, damit dieser Mobile ID als Authentisierungsmethode zur Signatur nutzen kann. Der Benutzer soll bitte den Anweisungen auf www.mobileid.ch folgen, Menüpunkt „MY MOBILE ID“. Auf dieser Webseite ist auch ein FAQ mit ausführlichen Informationen für Benutzer verfügbar.

Grundsätzlich wird alle 3 Tage 5 mal versucht, die SMS zuzustellen. Erst wenn alle Versuche scheitern ist eine Neuidentifikation notwendig.

Sofern Sie die Nutzungsbestimmungen noch nicht akzeptiert haben, können Sie diese ablehnen. Sofern Sie diese bereits akzeptiert haben und unseren Service genutzt haben, sind wir verpflichtet, Ihre Daten gesetzlich für 35 Jahre in der EU bzw. 11 Jahre in der Schweiz aufzuheben. Sie müssen einfach den Signaturservice nicht weiter in Anspruch nehmen

Beim Passwort/SMS-Code Verfahren gibt es leider keine Möglichkeit der Wiederherstellung, ein User muss auf jedem Fall neu identifiziert werden, nachdem er sein Passwort geändert hat.

Nein. Sie haben damit ein neues Authentifizierungsmittel, welches initial nicht mit der Identifikation erfasst wurde. D.h. Sie müssen sich neu identifizieren lassen unter Nutzung der MobileID.

Für die qualifizierte Signatur ist eine 2-Faktor Authentisierung vorgeschrieben: “Besitz” und “Wissen”, d.h. nur der Besitz (SMS) reicht nicht.

Nein, für fortgeschrittene Signatur reicht OTP.

Im Passwort/Einmalcodeverfahren bilden das Passwort und der Einmalcode die zwei Faktoren, die notwendig sind für die Ausstellung einer qualifizierten Signatur. Sobald ein Faktor nicht mehr vorhanden ist, ist die zwei-Faktoren Authentisierung nicht mehr gegeben und damit muss das neue Authentisierungsverfahren an eine neue Registrierung gebunden werden.

Mit einem Faktor (Einmalcode) ist aber eine fortgeschrittene Signatur weiterhin möglich.

In den Anfängen der Signatur gab es lokale Registrierungsstellen, die dann das neue Passwort wieder an die Registrierung knüpfen konnten – diese Projekte laufen nun aus und das Verfahren des Passwort Rücksetzens wird in Q1/2022 auch entsprechend entfernt.

Bereits im Popup Bildschirm nach Betätigen der Taste zum Passwort Rücksetzen wird angezeigt, dass eine neue Registrierung mit dem Rücksetzen des Passwortes verbunden ist, d.h. sobald Sie das Passwort zurücksetzen, müssen Sie bestätigen, dass Sie sich neu registrieren lassen.

Da beide Methoden sowohl neben dem Besitz der Rufnummer auch die Eingabe ein Geheimnis verlangen, kann nach Übernahme der Rufnummer keine Signatur für die vorgängig bestehende digitale Identität ausgelöst werden. D.h. die Person muss neu identifiziert werden.

Da eine Festnetznummer praktisch nicht einer Person zugeordnet werden kann, ist das nicht möglich. Mit der SMS soll ja sichergestellt werden, etwas zu erreichen, was alleinig und ohne Ausnahme der signierenden Person zugeordnet ist.

Moderne Geräte verfügen über WIFIcalling. Mit diesen kann auch in einer WIFI Zone signiert werden. Ohne Internet ist hingegen keine Fernsignatur möglich.

Im Falle einer MobileID können Sie mit einem Wiederherstellungscode die MobileID auf die neue SIM übertragen (https://www.mobileid.ch/de/login). Im Falle von PWD/OTP und gleicher Rufnummer bleibt ebenfalls Ihre Möglichkeit zur Authentifikation bestehen.

Im Standardfall erhält der Kunde nach der Identifikation zunächst die Nutzungsbestimmungen zum Signaturservice der Swisscom. Diese bestätigt er und löst damit eine erstmalige Signatur dieser Bedingungen aus, in dessen Kontext er auch erstmalig das Passwort festlegen kann. Sogenannte “step-up” Authentisierung.

Standardmässig werden von Seiten Swisscom im Moment nur diese Methoden angeboten. Das Angebot wird aber in Zukunft ausgearbeitet, so dass – sofern die Zulassung vorliegt – auch biometrische Methoden möglich sein können. Des weiteren begleitet Swisscom optional auch den Kunden, falls dieser mit einer auditierten Lösung bei der Anerkennungsstelle eine weitere Signatur zulassen möchte. Hierbei fallen weitere Kosten an.

Basis der 2-Faktor Authentisierung ist die Tatsache, dass beide Faktoren im Zusammenhang mit der Authentisierung erfasst werden müssen, d.h. es darf dann kein Passwort gewählt werden, welches nur die Teilnehmerapplikation kennt, der Teilnehmer selber wurde aber mit RA-App identifiziert. D.h. so ein Ausnahmetatbestand könnte man sich höchstens vorstellen, wenn der Teilnehmer selber eine freigegebene Identifikation per RA-Delegation durchführt und darüber hinaus das Authentisierungsverfahren so gestaltet, dass in einer kurzen Session beide Faktoren (Login, SMS-Freigabe) durchgeführt werden. Sowohl das eigene Identifikationsverfahren als auch dieser Session Ablauf ist in einem Umsetzungskonzept detailliert zu beschreiben und benötigt eine Freigabe. Es fallen hier zusätzliche Kosten an.

Sofern Sie identifiziert wurden und bisher PWD/OTP genutzt haben:

• Wenn Sie die Mobile ID App nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren
• Wenn Sie Mobile ID (Schweizer Mobilnummer) nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren

Sofern Sie identifiziert wurden und bisher die Mobile ID genutzt haben:

• Wenn Sie jetzt die Mobile ID App nutzen wollen (das wird nur möglich sein auf einer SIM Karte, die nicht Mobile ID unterstützt) und dabei den Recovery Code der Mobile ID nutzen, können Sie weiter signieren
• Sofern Sie die App aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lassen

Sofern Sie identifiziert wurden und bisher die Mobile ID App genutzt haben:

• Wenn Sie jetzt die Mobile ID der SIM Karte nutzen wollen (das wird nur möglich sein auf einer Schweizer SIM Karte) und dabei den Recovery Code der Mobile ID App nutzen, können Sie weiter signieren
• Sofern Sie die Mobile ID der SIM Karte aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lasse

D.h. Mobile ID und Mobile ID App sind aufeinander abgestimmte Authentisierungsverfahren, PWD/OTP ist ein komplett anderes Authentisierungsverfahren. Die Fernsignatur verlangt immer, dass während der Registrierung (also während der Identifikation) auch das Authentisierungsmittel aufgenommen wird. Daher wird in manchen Fällen eine neue Identifizierung notwendig sein.

Als RA-Agent sollten Sie über die Support Seite Swisscom informieren, sofern das Gerät nicht korrekt gegen Zugriff geschützt war (8-stelliges Passwort etc.) oder Sie noch eingeloggt in der RA-App waren, da hier auch datenschutzrechtliche Probleme entstehen. Für Signaturen müssen Sie die SIM Karte sperren lassen, ihre Zugangsdaten ggfs. Ändern und bis zur Ausstellung einer neuen SIM Karte die Signatur unterlassen.

Swisscom kann die Zustellqualität der SMS nur ungenügend beeinflussen: der einzige Faktor, den Swisscom beeinflussen kann, ist dass die SMS abgesetzt wurde. Ob aber die Empfangsvoraussetzungen vor Ort ausreichend sind oder der binnenländische oder ausländische Roamingpartner die Zustellung durchgeführt hat, kann nur unzureichend garantiert warden und richtet sich nach den nationalen und internationalen Zusammenarbeit der Telekommunikationsfirmen.

Eine Nutzung des Absenders “Swisscom” oder eines anderen kurzen Absenders wäre sicherlich hilfreich. Wir haben allerdings festgestellt, dass solche SMS häufig als SPAM eingestuft werden.

Ab dem Start des Signaturvorgangs, haben Sie insgesamt 15 Minuten Zeit, um ihr sicheres Passwort und den einmaligen SMS Code in den Webbrowser einzugeben.

Ja nach 5 Jahren müssen auch für fortgeschrittene Signaturen identifizierte Personen neu identifiziert werden. Allerdings reicht es bei fortgeschrittenen Signaturen aus, wenn zum Zeitpunkt der Antragstellung der Ausweis gültig war. Läuft dieser binnen der 5 Jahre ab, ist keine Neuidentifizierung notwendig. Bei qualifizierten Signaturen ist eine Identifizierung hingegen längstens so lange gültig, wie der Ausweis gültig war oder bis maximal 5 Jahre nach dieser Identifizierung. Bei bestimmten Verfahren (z.B. Bankidentifikation) können auch kürzere Gültigkeiten regulatorisch notwendig sein.

Ja, das ist alleinige Aufgabe der Teilnehmerapplikation, die dann immer wieder den Hash mit dem Signaturwunsch zum All-in Signing Service sendet. Es können damit beliebig viele Signaturen für das digitale Dokument erzeugt werden.

Ja, aber das verlangt 2 Kommunikationskanäle und Setups, d.h. die Signatur muss zunächst authentisiert durch den Signierenden über den einen Kanal personensigniert werden (on Demand) und dann geschützt durch ein SSL Authentisierungszertifikat über einen zweiten Kanal organisationssignert (mit zuvor angelegtem statischen Zertifikat).

Ja, mit einer Freigabe können mehrere Dokumente signiert werden. Maximal ca. 250.

Mit Siegeln können XML Signaturen nach dem XADES Standard durchgeführt werden. Clientseitig muss der XADES Standard vorbereitet werden. Hierzu ist in der Implementierung der Aufruf der “plain signature” zu  beachten. Personensignaturen nach dem XML Standard sind vorerst (noch) nicht möglich.

Für Signaturen im Rechtsraum Schweiz: www.validator.ch (Achtung, der Validator entspricht nicht immer dem neuesten Stand). Für Signaturen im Rechtsraum EU: https://www.signatur.rtr.at/de/vd/Pruefung.html

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

Nur QES Signaturen können validiert werden. FES kann nicht validiert werden.

Ja, z.B.:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

Viele Beispiele finden sich auch auf unseren Partnerseiten: https://trustservices.swisscom.com/partner

Grundsätzlich wird bei einem Zeitstempel die Zone mitgespeichert (das Offset). Insofern werden alle lokale Programme die tatsächliche Ortszeit anzeigen.

Grundsätzlich liefert Swisscom einen signierten Hash und unterstützt damit PADES (PDF) Formate und bei Organisationszertifikaten auch XADES (XML) Formate. Worddateien werden nicht signiert, sind aber auch gesetzlich hierfür nicht vorgesehen.

Nein.

Nein, derzeit gibt es nur einen gemeinsamen Zeitstempel.

Ja, auf dem Markt sind verschiedene Libraries vorhanden, die eine schnelle Implementierung einer Teilnehmerapplikation ermöglichen. Alle haben speziell auch für den Swisscom Service einen besonderen Support:

• Intarsys, Deutschland: stellt verschiedene Lösungen zur Verfügung zum Handling und Einbindung von Signaturen: https://www.intarsys.de/produkte/fernsignatur

Intarsys ist Premium-Partner der Swisscom und kennt technisch den AIS Service sehr gut und kann hier im Consulting unterstützen.

• PDF-Tools, Schweiz: 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Belgien: https://itextpdf.com/de/products/product-tour. Swisscom nutzt in seinen Beispielen iText, allerdings sind die Beispiele “out of date”, d.h. einige Funktionalitäten haben sich geändert. Aber das prinzipielle Handling ist dort ersichtlich: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Deutschland: Einige Kunden setzen SetaPDF ein, welche spezielle Lösung auch für den Swisscom Service bietet: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Schweiz (Skribble.com): https://api.skribble.com/swagger-ui.html

Grundsätzlich lehnt Swisscom jegliche Verantwortung für das Funktionieren dieser Libraries ab. Diese können Fehler enthalten und bedürfen besonderes Wissen und Fachkenntnisse. Die Verwendung geschieht auf eigene Verantwortung durch den Teilnehmer.

Nein. Swisscom hat sogar die Auflage, bei der Einbindung des PWD/OTP Screens als “iFrame” eine Möglichkeit zu geben, dass eine externe Person prüfen kann, dass diese von Swisscom stammt. Hier können z.B. die Standard Browser Funktionen genutzt werden, die Swisscom unter seinem Webseitenlink gemäss Kapitel 4 der Nutzungsbestimmungen publiziert. Weitere Informationen auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide 

Nein, siehe Anleitung unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Ja. Allerdings nur als iFrame, siehe Anleitung unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Ja. Im Rahmen des Protokolls kann, wie im Reference Guide (www.swisscom.com/signing-service ) unter “Step-Up Methode” beschrieben, im “Message” Feld der Textblock mit der Überschrift zur Nachricht für die Willensbekundung und mit “Language” die Spracheinstellung konfiguriert werden. Für das SMS Eingabefenster kann ebenfalls die Sprache mit dem “Language” Parameter eingestellt werden.

Grundsätzlich dient der verifyCall dazu, zu prüfen, ob ein Signierender bereits registriert ist. Wählt man im verify call das Pseudonym, so reicht die Angabe von Land und Mobilnummer.

https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

Screen Scrapping wird als Interface nicht unterstützt. Entwickler müssen damit rechnen, dass die Screens verändert werden. Zudem widerspricht es dem “Sole Control” Gedanken des direkten Zugriffs des Signierenden auf das Unterschriftenzertifikat. Weitere Informationen zur Einbettung eines iFrames auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Im Prinzip ja. Sofern im Signaturzertifikat genau der Name erscheinen soll, wie im Ausweisdokument, muss auch die Anfrage den genauen Namen mit allen Zunamen wie im amtlichen Dokument enthalten. Wenn das zu aufwändig ist, kann das “Template” Feature genutzt werden (https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes). Es ermöglicht die exakte Übernahme des Namens, Vornamens etc. so wie dieser im RA-Service (SRS) abgespeichert wurde.

Swisscom kann den Dienst aber auch so konfigurieren, dass anstelle des Namens im Zertifikat die Mobilnummer als Pseudonym genommen wird. Es steht dann weiterhin dem Anwender frei im “Common Name” (CN) den gewöhnlichen Vor- und Zunamen (unabhängig vom Ausweisdokument) zu nutzen. Der RA-Service VerifyCall verifiziert in diesem Falle nur die Mobilnummer, die während der Identifikation angegeben wurde und das Heimatland gemäss Ausweisdokument. Die Nutzung des Pseudonyms im VerifyCall ist unabhängig davon, ob das Pseudonym auch im Signing Request genutzt wurde.

Das Zugangszertifikat kann ein selbst signiertes Zertifikat sein. Beispielweise mit openssl Software.

Anforderungen an den Distinguished Name:

• CN=<URL des Teilnehmersystems, welches die Kommunikation mit AIS durchführt oder andere eindeutige Identifikation des Teilnehmersystems>
• O=<Name der Organisation>
• Email=<E-Mail Adresse für Informationen am Ende des Gültigkeitszeitraumes>
• C=<Land der Organisation>

Folgende weitere Anforderungen sind bei der Erstellung des Zertifikates zu berücksichtigen:

• Maximale Laufzeit 3 Jahre
• Hashalgorithmus minimum SHA-256
• Key length minimum 3072 bit

Für Zugangszertifikate im Rahmen der geregelten (ZertES) oder qualifizierten (eIDAS) Siegelerstellung gelten noch besondere Bedingungen: Der private Schlüssel des Zugangszertifikates muss in einer gemeinsamen Zeremonie eines Registrierungsstellenvertreters von Swisscom auf einem kryptographischen Modul erstellt werden. Dieses Modul muss den Anforderungen an FIPS 140-2 level 2 entsprechen oder ähnlichen Sicherheitsstufen, z.B. Yubikey, Feitan Key oder Microsoft Key Vault. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Die Einbettung von signierten Hashes sollte man PDF Spezialisten oder entsprechenden Libraries überlassen. Der Platz für die Signatur muss vorausberechnet werden (siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4).

Eine folgende Lösung kann eine Lösung bieten. Diese stellen wir hier ohne Garantie vor, da Swisscom sich nur auf den Service und nicht auf die Signaturapplikation fokussiert:

• Erzeuge ein PDF mit leerem und vorausgefülltem Signaturfeld
• Der Byterange sollte mit Nullen bis zur erwarteten Grösse gefüllt werden
• Bilde den Hash des Dokumentes
• Signiere den Hash mit dem All-in Signing Service
• Fülle den signierten Hash in das leere Signaturfeld
• Iteriere bis zum leeren Signaturfeld
• Ermittele den Byte range des leeren Signaturfeldes
• Berechne den Offset des byte range
• Öffne das Dokument mit dem leeren Signaturfeld im read-write mode und suche den Offset, wo der Hash eingefügt wurde

Wichtig ist auch die Einhaltung des PADES Standards und der LTV Vorgaben. Siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gibt einen Test- und Demomode, mit dem man die App ausprobieren kann, bei der aber keine Daten übermittelt werden. Hierzu muss in der Anmeldung die Mobilfunknummer +41001234567 eingegeben werden und als Firmenbezeichnung “demo”.

In den zurückgegebenen Paramtern des Verify Call wird der sogenannte “Serial” mit zurückgegeben. Sollte dieser mit “SAS” beginnen (also SASxxxxxxx), so nutzt der Kunde das PWD/OTP Verfahren. Sollte dieser mit “MID” beginnen (also MIDxxxxxx), so nutzt der Kunde das Mobile ID Verfahren. Dabei kann aber nicht zwischen Mobile ID App und Mobile ID SIM Card unterschieden werden.

Dennoch können die Ergebnisse verwendet werden, um z.B. besondere Hilfetexte (z.B. bei vergessenem Passwort etc.) dem Kunden mitzugeben, oder bestimmt auf die Bestätigung auf dem Handy zu verweisen.

Voraussetzung für die Inbetriebnahme ist eine vom Kunden unterzeichnete und von der globalen Registrierungsstelle geprüften “Konfigurations- und Annahmeerklärung”. In dieser werden die Pflichten des Betreibers einer Signaturapplikation festgehalten (z.B. die Möglichkeit der vollständigen Anzeige des zu unterzeichnenden Dokuments, Absicherung des Zugangs zum Service), aber auch die Ausprägung des Service.

Weitere Voraussetzung ist ein Zugangszertifikat, welches die Kommunikation der Signaturapplikation zum Signaturservice absichert.

Nach der Prüfung des Dokumentes erhält unser Setup Service den Auftrag zur Aufschaltung des Service mit dem zugesendeten Zugangszertifikat und der gewählten Ausprägung in der Konfigurations- und Annahmeerklärung. Bei qualifizierter Signatur wird der Service zunächst immer nur auf dem Niveau “fortgeschritten” freigeschaltet. Anschliessend wird der in der Konfigurations- und Annahmeerklärung genannte Ansprechpartner um eine Beispielsignatur mit der fortgeschrittenen Signatur gebeten. Ist diese einwandfrei, wird der Service umgeschaltet auf das Niveau “qualifiziert”, sofern dieses verlangt wurde. Hierüber wird der Kunde ebenfalls benachrichtigt. Er hat nun 10 Tage Zeit etwaige Unregelmässigkeiten direkt an das Setup Team zurückzumelden. Sollten diese in dieser Zeit nicht aufgetreten sein, ist der Anschluss an der Service abgenommen. Weitere Incidents können dann über den 1st Level Support an Swisscom gemeldet werden im Falle eines Direktvertrages mit Swisscom, andernfalls an den Reselling Partner.

Im Falle eines Siegels benötigt es neben der Konfigurations-  und Annahmeerklärung durch den Betreiber der Signaturplattform noch einen Zertifikatsantrag für das Siegelzertifikat, ein Organisationszertifikat. Im Gegensatz zum Zertifikat für die Personensignatur wird das Siegelzertifikat für drei Jahre ausgestellt. Der Zertifikatsantrag muss unterzeichnet werden von berechtigten Personen der Organisation. Die Berechtigung kann sich aus dem Register ergeben (z.B. Prokura) oder auch eine eingeschränkte Handlungsvollmacht sein, die Prokurist z.B. für die Operatoren im Rechenzentrum ausgestellt hat. Hierbei müsste Swisscom dann einen Nachweis dieser Vollmacht erhalten. Diese Personen werden vorab auch noch durch einen Vertreter der Registrierungsstelle von Swisscom persönlich mit RA-App identifiziert. Das kann z.B. auch ein RA-Agent sein, der die persönliche Identifikation vorgenommen hat. Dadurch kann die Person den Antrag mittels elektronischer Unterschrift unterzeichnen. Der Antrag wird hierzu unsigniert an Swisscom zugesendet und Swisscom lädt die Personen zur elektronischen Signatur ein. Jetzt unterscheiden sich die weiteren Schritte je nach Art des Siegels:

Fortgeschrittene Signatur: Der Antragsteller sendet Swisscom ein SSL Zertifikat zu, welches er als Zugangszertifikat für die Schnittstelle zum Siegel verwenden will.

Qualifizierte/Geregelte Signatur: Der Antragsteller vereinbart mit Swisscom einen Termin für eine gemeinsame Erstellung eines privaten Schlüssels. Dieser muss auf einem kryptographischen Device der Qualifizierung FIPS 140-2 level 2 oder ähnlich erstellt werden (z.B. Yubikey, Feitan key, Key Vault HSM Microsoft, etc.) Basierend auf diesen Schlüssel wird dann ein Zugangszertifikat erstellt. D.h. für den Signaturvorgang muss der Zugang mittels diesem Zertifikat freigegeben werden. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Nein, nur PADES/CADES im Bereich von Siegeln und PADES für persönliche Signaturen.

Sie dient Swisscom als Unterstützung für die Namensfindung der ClaimedID, also des Zugangs zum Signing Service.

Sind optional immer möglich (einfach hierfür das Feld ankreuzen)

Im Moment sind wir dabei die Kapazitäten durch andere Algorithmen (Vorerzeugung von Schlüsseln) und HW Ausbau stark auszubauen. Da mehrere Kunden den Service nutzen gehen wir pro Kunde durchschnittlich von einer Maximallast von einer Anfrage pro Sekunde aus. Höhere Performance, d.h. besonders reservierte Kapazitäten sind optional möglich.

Ca. 250. Die Beschränkung ergibt sich weniger aus dem Service als aus den Security Systemen.

Bitte beachten Sie, dass wir eine WAF im Einsatz haben, um unseren Service vor Denial-of-Service Attacken zu schützen. Bitte kontaktieren Sie uns vor einem solchen Test.

Für die Signatur muss eine Willensbekundung (Authorisierung) mit Mobile ID (SIM/App) oder PWD/OTP abgegeben werden. Nach Anfrage hat der Nutzer in der Regel 80 Sekunden Zeit die Authorisierung einzugeben. Der Wert ist nicht einstellbar.

Jede Signatur wird einzeln berechnet, d.h. in diesem Beispiel werden 5 Signaturen abgerechnet.

Nein diese werden über zwei verschiedene ClaimedIDs angebunden und verrechnet.

Swisscom berechnet keine Kosten beim Versand der Mobile ID oder SMS. Allenfalls im Roaming können je nach Tarif des Roaming Partners ggfs. Kosten anfallen.

Hierbei müssen 2 Benutzeraccounts (ClaimedIdentity) eröffnet werden, jeder Account ist mit einer Abrechnungsmethode verbunden. Beide Accounts können über eine Schnittstelle, d.h. dem gleichen Endpunkt angesprochen werden. D.h. die Teilnehmerapplikation muss selber entscheiden, über welchen Account sie eine Signaturanfrage sendet. Pro Account fällt eine Servicegebühr an. Es werden am Monatsende 2 Rechnungen ausgestellt. Es fallen daher die Servicegebühren im Vertrag doppelt an.

Hier fallen keine Kosten an.

Ja, es wird unterschieden, ob die Signierenden zu den Nutzungsbedingungen der Schweiz oder der EU oder beiden zugestimmt haben. Alle Daten werden von der Swisscom (Schweiz) AG auch für die Swisscom IT Services Finance S.E. in Wien verarbeitet.

Der Distinguished Name enthält entweder den Vornamen, Nachnamen und das Geburts-/Registrierungs- oder Heimatland der Person oder ein Pseudonym mit einer Seriennummer, die sich durch die Registrierungsstelle eindeutig auf eine Person zurückführen lässt. Organisationsnamen werden nur in Sonderfällen zugelassen.

Die Schweiz ist nicht in der EU und hat somit national nicht die Gesetzgebung der EU, die sogenannte Datenschutz-Grundverordnung (DSGVO) eingeführt. Grundsätzlich ist die DSGVO auch dann anwendbar, wenn die Unternehmen ihren Sitz in der Schweiz haben und Dienstleistungen in der EU anbieten.

Somit gelten für Swisscom die gleichen Pflichten im Umgang mit den Daten wie für alle anderen Organisationen, die die DSGVO einhalten müssen:

• informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
• “Privacy by design” und “Privacy by default” garantieren
• einen Vertreter für Datenschutzfragen benennen
• ein Verzeichnis der Verarbeitungstätigkeiten erstellen
• Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
• eine Datenschutz-Folgenabschätzung durchführen

Alle Applikationen, die den Datenschutz betreffen und zur Datenverarbeitung eingesetzt werden, z.B. auch die RA-App müssen DSGVO konform sein. Swisscom gibt hierfür auf seinen Seiten:
Schweiz: www.swisscom.com/signing-service

Österreich: www.swisscom.at

Entsprechende Datenschutzerklärungen gemäss DSGVO ab.

Schweiz galt immer schon und gilt gemäss Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss) als sicheres Drittland, d.h. die üblichen Genehmigungen wie bei anderen Drittländern (z.B. USA) sind hier nicht notwendig. Die Schweiz verfügt dank ihres Datenschutzgesetzes und der laufenden Anpassung an die DSGVO über ein “angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten” nach EU-Kriterien, d.h. ist faktisch bei der Datenübertragung so wie ein EU Land zu behandeln:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Swisscom muss im Rahmen seiner fortlaufenden Auditierungen sowohl gegenüber der Anerkennungsstelle in der Schweiz als auch gegenüber der Konformitätsbewertungsstelle in Österreich, dass alle für die Ausstellung von digitalen Signaturen notwendigen strengen Datenschutzauflagen eingehalten werden. D.h. über einer Selbstdeklaration hinaus sind Vertrauensdienstanbieter und Zertifizierungsdienste durch die Gesetzgebung und den angewandten internationalen Normen, wie z.B. ETSI 319 401, verpflichtet einen angemessenen Datenschutz aller persönlichen Daten nachzuweisen und auditieren zu lassen.

Die nachzuweisenden und zu auditierenden Datenschutzanforderungen gelten auch für die Registrierungsstellentätigkeit – einer Aufgabe eines Vertrauensdienstanbieters und Anbieters von Zertifizierungsdiensten. Damit ist auch der Datenschutz auf der RA-App als Teil des Registrierungsprozesses gewährleistet. Die RA-App selber speichert keine persönlichen Daten permanent. Es können auch keine Daten exportiert werden. Sobald die Identifikation abgeschlossen wurde, werden die Daten vom RA-Agenten signiert übermittelt als sogenannte Evidenz. Diese Evidenzen werden bei Swisscom im RA-Service unter strengen Sicherheitsauflagen (z.B. 4-Augen Zugang) aufbewahrt. Nur wenige Personen haben Zugang zu diesen Daten und dürfen diese nur aufgrund eines richterlichen Beschlusses weitergeben oder in Bezug auf die Qualität der Identifikation prüfen. Swisscom haftet nach dem Gesetz für die ordnungsgemässe Durchführung der Signatur und damit auch der Identifikation unbegrenzt.

RA Master Agenten haben einen Webzugang auf ein Portal, in welchem sie alle von den RA-Agenten identifizierten Personen mit Namen, Vornamen, Ablaufdatum des ID Dokumentes und Mobilfunknummer einsehen können. Die Ausweisdokumente und Fotos (sogenannte “Evidenzen”) sind nicht zugreifbar oder exportierbar.

Swisscom ist gesetzlich verpflichtet, für die Signatur Personendaten aufzunehmen. Sie ist damit für diese Daten verantwortlich. Somit kann Swisscom auch nicht die Rolle eines Auftragsverarbeiters spielen, auch wenn es für die Signatur z.B. Mitarbeiterdaten eines Kundenunternehmens erhält. Ähnlich wie Telekom- oder Postdienstleister hat hier Swisscom einen gesetzlichen Auftrag. Swisscom hat wiederum mit den Nutzungsbestimmungen ein gesetzliches Vertragsverhältnis mit den Signierenden. Hierin akzeptiert der Signierende auch die Datenverwendung.

Mit der RA-App verlagert Swisscom die Aufnahme von Identitätsdaten an einen externen Dienstleister, der in den Verträgen “RA-Agentur” genannt wird. Hierfür sieht die Datenschutzgrundverordnung die Auftragsverarbeitung vor. Die RA-Agentur muss die Vorgaben der Auftragsdatenverarbeitung daher einhalten.

Auch in rein Schweizer Projekten wird die Einhaltung der DSGVO Auftragsdatenverarbeitung eingefordert. Das hat zwei Gründe:

• Einerseits kann selten garantiert werden, dass in der Schweiz identifizierte Personen nicht EU Bürger sind, die dem Marktprinzip der DSGVO unterliegen,
• Andererseits kann die RA-App nicht so eingesetzt werden, dass nur Personen für die Schweiz identifiziert werden, d.h. es findet immer eine Auftragsdatenverarbeitung auch für Swisscom IT Services Finance S.E. in Wien statt.

Es gibt Projekte, in denen Swisscom auf gesetzlich anerkannte Identifikationsverfahren bei Dritten aufsetzt und diese auch auditieren lässt. Typisches Beispiel ist hier eine Bank, die im Rahmen ihres KYC Prozesses eine Präsenzidentifikation einer Person durchführt. In diesem Falle erhält Swisscom eine Kopie dieser Daten für ihre eigene Geschäftszwecke (Signatur). Eine Auftragsdatenverarbeitung ist hier nicht notwendig, da zwei verantwortliche Parteien für die Daten vorhanden sind. Umgekehrt wird hierbei auch nicht das Joint Controllership Prinzip der DSGVO herangezogen, da die Aufnahme nicht einem gleichen Geschäftszweck dient und beide im Sinne des gemeinsamen Geschäftszwecks verantwortlich handeln. Die Bank handelt für ihren Geschäftszweck, z.B. Kontoeröffnung und Swisscom verfolgt seinen Geschäftszweck, die Ausstellung von Signaturen. Dennoch beinhalten unsere Verträge zur “Delegation der Registrierungsstellentätigkeit” in diesem Fall auch ein Minimum an Regelungen, wie in Bezug auf Datenschutz und DSGVO vorgegangen wird.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Unternehmenszertifikate für Siegel haben Gültigkeiten von bis zu 3 Jahren. Der private Schlüssel muss dabei laut Gesetz auf einer (qualifizierten) Signaturerstellungseinheit gespeichert werden. Der Speicher hierfür ist ein Gerät, welches hauptsächlich nur für die Schlüsselspeicherung konzipiert ist, das HSM (Hardware Security Modul). Es unterliegt einer strengen Regulierung, Auditierung, in Bezug auf Fähigkeiten und Zugang zu diesem Gerät. Für Signaturen in der EU und in der Schweiz gelten besonders hohe Fähigkeiten, die nur von wenigen HSM Herstellern weltweit zur Verfügung gestellt werden.

Regelung zur Löschung von Personendaten bei Zertifizierungs- und Vertrauensdiensten

Evidenzdaten von Personen, die noch nicht signiert haben, aber eine Registrierung durchgeführt haben, werden nach 15 Tagen Erinnerung per SMS gelöscht, wenn die Nutzungsbestimmungen der Swisscom noch nicht akzeptiert und signiert wurden.

Personen, die bereits signiert haben, unterliegen mit Ihren Daten für eine qualifizierte Signatur der Aufbewahrungspflicht des österreichischen Signaturgesetzes (SVG §10 (3)) von über 30 Jahren bzw. der Aufbewahrungspflicht des schweizerischen Signaturgesetzes (ZertES bzw. ausgeführt in der Verordnung zum Signaturgesetz VZertES, Art. 9 (3)) von über 10 Jahren.

Bei fortgeschrittenen Signaturen betragen die Aufbewahrungsfristen gemäss der auditierten Normen 7 Jahre.

Die Aufbewahrungsfristen werden jedem Signierenden in den Nutzungsbestimmungen Schweiz und EU (Kapitel 7.4) und Datenschutzerklärungen (Kapitel 5) angezeigt und vom Signierenden akzeptiert (DSGVO Art 6 (1) (a,b)). Gemäss Art 6 (1) (c) DSGVO ist der Vertrauensdienst darüber hinaus verpflichtet, die Einhaltung der rechtlichen Verpflichtung in der Aufbewahrung der Daten sicherzustellen sowie auch die automatische Löschung der Daten nach der Aufbewahrungszeit.

Vertrauensdienste sind verpflichtet, beim Logging und Archivierung der Daten die ETSI Vorschriften, insbesondere EN 319411-1 (6.4.6) einzuhalten und werden dementsprechend laufend von Konformitätsbewertungsstellen auditiert und den Aufsichtsstellen überwacht. Das Audit wird bei Swisscom von der KPMG ausgeführt. In Österreich untersteht der Vertrauensdienst Swisscom IT Services und Finance S.E. der Kontrolle der RTR GmbH als Aufsichtsstelle, in der Schweiz untersteht Swisscom (Schweiz) AG als Zertifizierungsdienst der Kontrolle des BaKOM.

Hintergrund der Vorschriften liegt in der notwendigen Beweisführung, die ein Zertifizierungs- bzw. Vertrauensdienst ermöglichen muss, falls die Gültigkeit einer Signatur vor Gericht angezweifelt wird.

Beides sollten Personen aus der IT sein, die die Applikation kennen. Es muss nicht eine Person mit der offiziellen Rolle “Datenschutz” sein. Swisscom will hier einfach das 4-Augen Prinzip beibehalten. Die Rollen sind: Auskünfte geben können über die Administration der Benutzerapplikation (wer hat Zugang, was könnte ein Administrator manipulieren, wo hakt es ggfs., SSL Connection zu Swisscom) und beim Sicherheitsverantwortlichen Themen wie Virenschutz, Zugangskontrolle allgemein, etc.

Zum einen kann eine interne Gesellschaft bei entsprechendem Volumen “Reselling Partner” von Swisscom werden für andere Gesellschaften. Dann geht der Zahlungsfluss direkt nur über diese einzelne Gesellschaft. Es kann auch eine Gesellschaft die komplette Verantwortung für den Betrieb der Teilnehmerapplikation übernehmen. Auch dann gehen Rechnungen nur über diese Gesellschaft. Sie kann dann Mitarbeiter der anderen Gesellschaften identifizieren.

Sofern alle Gesellschaften unabhängig die Teilnehmerapplikation betreiben wollen (mit jeweils eigener Haftung und Verantwortung) und auch selber RA-Agenten stellen wollen, bedarf es für jede Gesellschaft einen eigenen Vertrag.

Swisscom investiert jährlich hohe Summen in die fortwährenden Audits. Um dennoch das Angebot eines Trust Service Providers am Markt preisgünstig platzieren zu können, wird dieser Service in einer standardisierten Form angeboten. Es findet pro Kunde kein “Projekt” statt, sondern Signaturen werden als Plattformgeschäft verkauft. Das heisst insbesondere:

• Es ist der Standardprozess der Bestellung mit den durch die Auditoren mitgeprüften Vertragstexten einzuhalten.
• Weitere Assessments durch Teilnehmer und die Prüfung und Annahme eigener Vertragstexte sind im Angebot nicht inbegriffen.

Viele Aspekte des Trust Service Providers unterliegen nicht nur Auflagen in der Ausführung des Services sondern auch in der Festschreibung wichtiger Pflichten, Haftungsregelungen und Mitwirkungsleistungen in den Vertragsunterlagen. Daher unterliegen diese Vertragsunterlagen auch der Auditierung bzw. werden auch den staatlichen Konformitätsbewertungsstellen vorgelegt. Daher können weder Änderungen des Rechtssystems akzeptiert werden, noch vertragliche Beilagen des Teilnehmers insbesondere, wenn diese fremden, anwendbaren Recht unterliegen.

Ist es dennoch notwendig, vertragliche Texte anzupassen, vertragliche Regelungen hinzuzufügen (z.B. eigene Code of Conducts, Data Protection Declaration etc.), besondere Assessmentfragebögen zu bearbeiten oder haben Sie gar Fehler oder unklare Formulierungen entdeckt, so melden sie diese bitte an unser Produktmanagement.

Sofern allfällige Fehler oder Unklarheiten ersichtlich sind, wird ein entsprechender Change Prozess seitens Produktmanagement hierzu angestossen und schnell möglichst umgesetzt.

Für die Bewertung anderer Fragen wird ein Bearbeitungsteam gebildet, dass die entsprechenden Experten (z.B. Rechtsabteilung, Sicherheitsverantwortlicher, Compliance Officer, etc.) heranzieht und eine Bewertung der Anfrage durchführt. Hierfür wird eine Bearbeitungsgebühr von CHF 6’000 fällig. Sofern das Expertenteam nicht direkt eine Lösung erarbeiten konnte, wird dieses eine Antwort und Angebot erarbeiten, welche weiteren Schritte seitens Swisscom vorstellt und abschätzt.

Nein, nur für den Betrieb der Signaturapplikation benötigt es keine Zertifizierung und kein offizielles Audit mit Zertifikat. Der Kunde gibt im Rahmen einer “Konfigurations- und Annahmeerklärung” eine Selbstdeklaration ab, die Signaturapplikation ordnungsgemäss zu betreiben, d.h. z.B. den Hash eines Dokumentes nicht auszutauschen und dem Kunden das zu signierende Dokument auch tatsächlich anzuzeigen (WYSIWYS = “What you see is what you sign”). Auch der Datenverkehr sollte verschlüsselt zur Swisscom erfolgen und der Grundschutz in Bezug auf Viren und Angriffe sollte wie bei jedem anderen System gewährleistet sein. Nur eine eigene Identifikation insbesondere auch in Bezug mit einer eigenen Authentisierungsmethode kann ein Audit mit Zertifikat notwendig machen. In der Schweiz kann eine Identifikation mit Authentisierungsmethoden von Swisscom vereinfacht durch ein geeignetes vom Kunden vorgelegtes und von Swisscom abgenommenes “Umsetzungskonzept” abgehandelt werden, in der EU ist in der Regel ein Audit notwendig. Eine Authentisierungsmethode muss in der Regel immer zertifiziert werden, da hierdurch der “alleinige Zugriff” (im ETSI Kontext “Sole Control” genannt) sichergestellt werden sollte.

Grundsätzlich ist nach dem Gesetz Swisscom unbegrenzt haftbar für die Falschausstellung von qualifizierten Zertifikaten. Im Rahmen der fortgeschrittenen Zertifikate kann diese Haftung begrenzt werden. Swisscom schliesst hierfür auch entsprechende Pflichtversicherungen ab. Im Rahmen von Fehlern auf der Signaturapplikation (z.B. der Austausch eines Hashes eines Dokumentes) oder bei Fehlern bei der Identifikation durch dritte Registrierungsstellen, wird Swisscom seinerseits diese Dritte in Haftung nehmen. Um die Risiken einer Haftung zu vermeiden, werden an den Ausstellungs- und Vertragsprozess hohe Anforderungen gestellt und generell auch die Möglichkeit einer Auditierung der beteiligten Dritten gefordert.

Die schweizerische Gesetzgebung, d.h. das Schweizerische Bundesgesetz über die elektronische Signatur (ZertES), sieht die Einzelheiten vor, nachdem Unternehmer als Zertifizierungsdienst anerkannt sind. Die akkreditierte Anerkennungsstelle für die Anerkennung von Swisscom als Zertifizierungsdienst in der Schweiz ist die KPMG (Akkr. Nr. SCESm 0071). Sie stellt eine Konformitätsbewertungsbestätigung aus (zu finden unter www.swisscom.com/signing-service).  Die Schweizerische Akkreditierungsstelle SAS führt eine Liste der akkreditierten Zertifizierungsdiensten: Link

Mit dem Inkrafttreten der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union (eIDAS) wurde die Basis für eine europaweite, rechtsgültige elektronische Kommunikation und sichere elektronische Identifizierung geschaffen. Mit Hilfe der Vertrauensdienste, wie elektronischen Signaturen, Siegeln, Zeitstempeln, Zustelldiensten und Zertifikaten zur Authentifizierung, können Unternehmen, Verwaltungen und Privatpersonen digitale Dokumente wie Angebote, Bestellungen, Verträge u.v.m. innerhalb der Europäischen Union auf einer einheitlichen Rechtsbasis austauschen. Damit löst die neue EU Verordnung das nationale Signaturgesetz und Signaturverordnungen ab.

Nach dieser EU-Verordnung (EU) Nr. 910/2014/EU (eIDAS-Verordnung) haben sogenannte nationale Vertrauenslisten eine konstitutive Wirkung. Mit anderen Worten, ein Vertrauensdienst und die von ihm erbrachten Vertrauensdienstleistungen werden nur dann qualifiziert und überall in der EU als qualifiziert betrachtet, wenn sie in den sogenannten “Trusted Lists” erscheinen. Folglich profitieren die Nutzer (Bürger, Unternehmen oder öffentliche Verwaltungen) nur dann von der Rechtswirkung eines bestimmten qualifizierten Vertrauensdienstes, wenn dieser in den Vertrauenslisten als qualifiziert aufgeführt ist. Swisscom ist mit seiner Tochtergesellschaft in Österreich “Swisscom IT Services Finance S.E.”, Wien in dieser Vertrauensliste aufgenommen worden mit qualifizierten Zertifikaten und Siegeln:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance S.E. hat Swisscom (Schweiz) AG mit dem Betrieb des Vertrauensdienstes beauftragt und auch die Registrierungsstellentätigkeit an Swisscom (Schweiz) AG delegiert. Swisscom(Schweiz) AG bietet somit den Dienst am Markt an und nimmt auch vertragliche Dokumente im Auftrag der Swisscom IT Services Finance S.E. entgegen.

Swisscom kann grundsätzlich nur bestätigen, dass es nach der eIDAS Verordnung der EU und nach dem ZertES Gesetz der Schweiz in beiden Rechtssystemen qualifizierte Signaturen ausstellen kann. Hierbei werden die qualifizierten Schweizer Signaturen nur in der Schweiz qualifiziert anerkannt und die eIDAS qualifizierten Signaturen in der EU.

Ob die qualifizierte Signatur für einen beliebigen Vertrag zulässig ist, muss in jedem Falle von einem Juristen geprüft werden. Swisscom darf hierzu keinerlei Rechtsauskunft geben. Das hängt nicht nur mit der Signatur zusammen, sondern auch aufgrund ggfs. anderer Punkte, die in Verträgen vereinbart werden können. Beispielsweise kann die Forderung einer “Rücksendung per Einschreiben” dazu führen, dass eine elektronische Signatur gar nicht geleistet werden kann, da ein postalischer Papierweg vorgeschrieben ist.

Grundsätzlich gilt in beiden Rechtssystemen EU und Schweiz die Beweisumkehr (bzw. in Deutschland auch Anscheinsbeweis gegenüber dem Augenscheinsbeweis) in Bezug auf qualifizierte Signaturen. D.h. eine Gegenseite muss beweisen, dass die qualifizierte Signatur nicht ordnungsgemäss erfolgt ist, falls diese angefochten wird. Und natürlich kann Swisscom anhand der von KPMG testierten Überprüfungen nachweisen, dass die qualifizierte Signatur ordnungsgemäss erfolgt.

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen in der Schweiz 11 Jahre und in der EU 35 Jahre. Swisscom verwendet grundsätzlich den Langzeitvalidierungsstandard von ETSI (LTV).

Long Term Validation bedeutet eine Signatur so zu validieren, dass sie für lange Zeit valide bleibt. Die LTV Validierung lässt eine Validierung aber nur so lange zu, wie das Wurzelzertifikat für den Zeitstempel nicht abgelaufen ist. Es empfiehlt sich daher bei Langzeitbeweiserhaltung die Dokumente vor Ablauf nochmals mit einem Zeitstempel zu versehen, damit die Integrität und Aussagekraft des Signaturbeweises weiterhin gegeben ist.

Grundsätzlich sollten PDF Dokumente auch in sicheren Archiven verwaltet werden. Es kann eine Situation in 5, 10 oder 20 Jahren kommen, dass die Signaturalgorithmen “geknackt” werden, d.h. es könnte damit die Unversehrtheit oder Authentizität nicht mehr gewährleistet sein. Gute Archivsysteme sehen daher regelmässige Resignatur z.B. mit einem Zeitstempel vor, der immer den neuesten Algorithmus nutzt und damit die Integrität des Dokumentes sicherstellt.

Im WWW findet man hierzu verschiedene optimierte Verfahren, z.B. “Archisig”. Das deutsche BSI hat auch eine technische Richtlinie „Beweiswerterhaltung kryptographisch signierter Dokumente“ herausgebracht. Sie ist die Spezifikation sicherheitstechnischer Anforderungen für den langfristigen Beweiswerterhalt von kryptographisch signierten elektronischen Dokumenten und Daten nebst zugehörigen elektronischen Verwaltungsdaten (Metadaten).

Eine für diese Zwecke definierte Middleware (TR-ESOR-Middleware) im Sinn dieser Richtlinie umfasst alle diejenigen Module und Schnittstellen, die zur Sicherung und zum Erhalt der Authentizität und zum Nachweis der Integrität der aufbewahrten Dokumente und Daten eingesetzt werden.

Nein.

Mit der Vertragskündigung werden noch existierende, gültige Siegelzertifikate widerrufen (revoziert).

Gesetzlich ist geregelt, wie so ein “shutdown” Scenario abzulaufen hat: In der CP/CPS des Zertifizierungsdienstes bzw. Vertrauensdienstes sind die genauen Abläufe beschrieben. Es muss einen Shut-Down Plan geben und die benachrichtigte Aufsichtsstelle bzw. das BAKOM benennt dann in der Regel einen Nachfolger, der den Dienst für die Kunden anbieten könnte. Dieser Nachfolger erhält dann in der Regel auch die Certificate Revocation List und damit die Liste über die Gültigkeiten der Zertifikate, sofern Swisscom die nicht weiter noch selber publiziert. Die Liste wird weiterhin für Jahre betrieben, so dass die Gültigkeit von Unterschriften auch weiterhin geprüft werden kann. Die Evidenzen zu den Registrierungen für den Service müssen entsprechend den Aufbewahrungsfristen auch nach einer Beendigung über 11 oder sogar 35 Jahre aufbewahrt werden, Swisscom oder ein benannter Nachfolger müssen ein Archivierungssystem dafür erstellen, damit in juristischen Verhandlungen auch auf diese Information zurückgegriffen werden kann. Die geleisteten Identifikationen können bei einem eventuellen Nachfolger nicht mehr genutzt werden, d.h. neue Registrierungen sind in diesem Falle notwendig.

Elektronische Unterschriften können in einem Rechtsstreitverfahren als Beweismittel vorgelegt werden. In der Regel – mit Ausnahme der qualifizierten Signatur – unterliegen sie der freien Beweiswürdigung. Da “einfache” und “fortgeschrittene” elektronische Signaturen kaum oder nur sehr grob gesetzlich definiert sind, obliegt es dem Gericht, so eine Signatur zu akzeptieren oder nicht. Die Partei, die diese Signaturen als gültig vorweisen möchte, muss hierzu die entsprechenden Beweise herbeiführen. Im Falle von Swisscom ist es hilfreich, dass auch die fortgeschrittenen Signaturen einer sehr strengen Prüfung nach dem ETSI Standard für “NCP+” Signaturen unterliegen und somit solche Auditreports herangezogen werden können. Im Falle einer qualifizierten Signatur gilt die Beweisumkehr. Da diese genau gesetzlich bestimmt ist und z.B. sowohl die Schweiz als auch Österreich im Web Validatoren für die Gültigkeiten solcher Signaturen anbieten, werden diese Signaturen erstmal als gültig angesehen, bis eine Partei das Gegenteil beweist und damit auch beweist, dass die Aufsichtsstelle oder das BAKOM sowie die Auditoren ihren Pflichten nicht nachgekommen ist.  Nach 11 Jahren in der Schweiz oder 35 Jahren in Österreich kann eine Beweisführung auch im qualifizierten Bereich Schwierigkeiten machen, da die Unterlagen zur Registrierung vernichtet werden müssen. Dennoch ist die Unterschrift immer noch als “qualifiziert” ersichtlich.

Im Rahmen einer Beweisführung nach vielen Jahren sollte auch beachtet werden, dass elektronisch archivierte Dokumente von Zeit zu Zeit immer wieder mit Zeitstempel versehen werden sollten. Es kann passieren, dass Algorithmen entschlüsselt werden und nicht mehr so robust sind. Ein Zeitstempel versiegelt das Dokument wieder mit den neuesten Algorithmen und schützt damit die Integrität des Dokumentes inklusive der Unterschriften.

Qualifizierte eIDAS Signaturen gelten nur im EU (und EWR) Raum als “qualifiziert”, genauso gelten ZertES Signaturen auch nur im Schweizer Raum als qualifiziert. D.h. bei der Rechtswahl eines dritten Staates können diese Signaturen nicht mehr ihre “qualifizierte” Wirkung erzielen oder werden ggfs. sogar nicht anerkannt.

Schweiz (QES), ZertES:

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren seitens des Auditors keine 5 Jahre zulässt.

Die Aufbewahrungsfrist gemäss Art. 11. Abs. 1 VZertES (Tätigkeitsjournal) gilt: “Die anerkannten Anbieterinnen bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege während elf Jahren auf.” Swisscom versteht diese Frist auch als Aufbewahrungsfrist für die im ID-Prozess vorgelegten Unterlagen, insbesondere Ausweiskopie.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass Swisscom RA-Stellen die 11 Jahre anders berechnen könnten, wodurch Swisscom in Grenzfällen keine Dokumentation mehr hätte, wichtig insbesondere in Anwendung von Art. 17 ZertES (Unbeschränkte Haftung).

• So kommt man bei QES CH auf die 17 Jahre, welche in den Nutzungsbestimmungen  auch offengelegt werden.

Europa, (QES), eIDAS:

Gleiche Begründung und Herleitung wie bei der QES in der Schweiz nur mit dem Unterschied, dass in Österreich die gesetzliche Aufbewahrungsfrist 30 Jahre beträgt.  Der Artikel 10.1 aus dem SVG (Signatur- und Vertrauensdienstegesetz) lautet:

Zugangsrechte und Aufbewahrungsdauer

• 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.

(2) […].

(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.

• So kommt man bei einer QES in Österreich auf die 36 Jahre, welche in den eIDAS Nutzungsbestimmungen auch offengelegt werden.

Fortgeschrittene Signaturen (eIDAS, ZertES)

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren keine 5 Jahre zulässt.

Es gibt im Bereich FES keine gesetzliche Aufbewahrungsfristen, da die Aufbewahrungsfristen  nicht gesetzlich geregelt sind. Die ETSI-Normen sehen aber eine Frist von 7 Jahren vor. Diese Angabe ergibt sich aus der ETSI Richtlinie EN 319 411-01:

6.4.6 Records archival

The following particular requirements apply:

NOTE: ETSI TS 101 533-1 [i.13] suggests provisions on how to preserve digital data objects.

1. a) The TSP shall retain the following for at least seven years after any certificate based on these records ceases to be valid:
2. i) log of all events relating to the life cycle of keys managed by the CA, including any subject key pairs

generated by the CA (see clause 6.4.5, item g));

6. ii) documentation as identified in clause 6.3.4.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass die Swisscom RA-Stellen die 11 Jahre anders berechnen könnten.

• So kommt man bei FES auf die 13 Jahre, welche in den Nutzungsbestimmungen offengelegt werden.

1. Mündlicher Vertragsabschluss: Sehr schwierig zu beweisen (nur mit Zeugen)
2. Signiert mit einer einfachen Signatur, z.B. eingescanntes Signaturbild: Die Generierung dieser Signatur muss im Zweifelsfalle vor Gericht geprüft werden. Da das Verfahren sehr leicht gefälscht werden kann, kommt es auch hier auf andere Beweismittel an, z.B. Zeugen.
3. FES: Für eine endgültige Feststellung des Signaturbeweises müssen auch hier beide Parteien vor Gericht gehen. Das Gericht wird einen Spezialisten beauftragen, die fortgeschrittene elektronische Signatur von Swisscom zu untersuchen. Aufgrund der Audits auch im fortgeschrittenen Bereich, kann eine sehr gute Beweisführung gelingen. Dennoch ist eine FES in der Beweiskraft schlechter als eine QES, z.B. aufgrund der 1-Faktor Authentisierung bei der Signatur (ein gestohlenes Smartphone könnte ggfs. eine Signatur auslösen), der Art und Weise der Registrierung und die Archivzeiten der Evidenzen und Logs sind auf 7 Jahre begrenzt.
4. QES: Die Verifikation der Signatur kann direkt via https://validator.ch oder https://www.signatur.rtr.at/de/vd/Pruefung.html erfolgen. Die Parteien müssen dafür nicht vor Gericht gehen. Eine Beweisführung, dass diese Feststellung eine Fälschung ist, wird schwierig sein. QES Signaturbelege werden so lange aufbewahrt, wie es auch in den Geschäftsbüchern vorgesehen ist, mehr als 10 Jahre in der Schweiz und 35 Jahre in der EU.

Aufgrund der DSGVO Bestimmungen und der Tatsache, dass es dort kein Konzernprivileg gibt, muss es im Rahmen des RA-Agenturvertrages zwischen jeder Firma des Konzerns und Swisscom einen eigenen RA-Agenturvertrag geben.

Für die Langzeitvalidierung einer Signatur empfehlen wir unbedingt den PAdES LTA Standard (siehe ETSI TS 103 172). Weitere Hinweise dazu auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDFs selber sollten dem PDF/A Standard erfüllen.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Hiermit vermeiden wir die Meldung einer Kompromittierung des Zertifikates, d.h. ein Zertifikat kann nicht kompromittiert werden. Das Verfahren hat mehrere Vorteile:

Der Endnutzer muss nicht mit Swisscom Kontakt haben (z.B. ein Userkonto, um Zertifikate zu Revozieren)

Auf Seiten der Empfänger von signierten Dokumenten entfällt das Handling mit Sperrlisten und OCSP (online Überprüfung von Gültigkeit von Zertifikaten)

Security Probleme bei Applikationen, die nur auf regelmässigen Sperrlisten Update setzen, werden vermieden

OCSP Abfragen führen zu zeitlichen Verzögerungen beim Empfänger

Zudem liefert ein Kurzzeitzertifikat immer eine positive Antwort – eine OCSP Abfrage kann immer nur eine negative Antwort geben.

Wichtig, die Unterschrift welche mit der QES geleistet wurde ist natürlich weiterhin gültig, unabhängig vom Zertifikat.

Die Kurzzeitzertifikate werden aufgrund von Registrierungen des Registrierungsservice ausgestellt, d.h. sie basieren auf Registrierung und Authentisierungsmittel. Ein Kurzzeitzertifikat wird nur erzeugt, sofern eine Authentisierung (Freigabe) im 2FA Verfahren vorliegt.

Beispiel zur Analogie im Papierumfeld: Ich unterschreibe einen Vertrag mit einem Tintenschreiber. Die Tinte im Schreiber ist nach der Unterschrift leer. Der Vertag bleibt natürlich gültig.

Bei der Unterschrift mit einer QES gelten folgende Beweisfristen:

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen für EU Signaturen in Österreich (hier sind wir akkreditiert) 35 Jahre in der Schweiz 10 Jahre.

Durch die PAdES B LTA Norm können Signaturen aufgrund von Kurzzeitzertifikaten auch lange Zeit nach Ablauf validiert werden.

Die Algorithmen zur Hashbildung (Prüfsummenbildung) und Verschlüsselung des Hashes richten sich nach den Empfehlungen des ETSI Standards ETSI TS 119 312, die wiederum auch die NIS Standards befolgen. Diese Algorithmen haben bestimmte Annahmen über Zeiträume von 1->6 Jahren, in denen sie stabil sind. Entwicklungen (z.B. Cracken von Algorithmen) können hier aber schnell auch zu Änderungen führen. Swisscom Trust Services ändert z.B. jetzt wieder seine Wurzel CA, um den Anforderungen > 6 Jahren zu befolgen. Im Herbst dieses Jahres wird wiederum eine Neuauflage der Spezifikation erwartet.

Für eine Langzeitvalidierung ist es daher notwendig regelmässig die Integrität auf Basis neuester Algorithmen zu gewährleisten, z.B. jährliches Zeitstempeln aller Dokumente oder Verwendung entsprechender Archivierungslösungen. Stichwort «Beweiswerterhaltung» – siehe hierzu die DIN 31647:2015-05.

Swisscom Trust Services ist eine reine Plattformdienstleistung, die hoch standardisiert und reguliert anhand von Standardworkflows zur Abwicklung die gesetzlich vorgeschriebenen Signaturdienstleistungen allen Signierenden als Fernsignatur einer Vielzahl von Kunden in Europa zur Verfügung stellt. Das hierzu bereitgestellte Standardvertragswerk wurde bei den Aufsichtsbehörden eingereicht und/oder entsprechend auditiert. Swisscom Trust Services erbringt somit mit Ausnahme von gesondert beauftragten Beratungsleistungen im Vorfeld keine projektspezifischen Leistungen im Rahmen der Signatur oder der Registrierung oder Aufwände für Vertragsverfahren, die vom Standardvertragsworkflow abweichen.

Somit können wir allen Kunden und Partnern gleiche günstige Preise gemäss Leistungs- und Preisverzeichnis anbieten. Wir bitten um Verständnis.

Das betrifft insofern und inbesondere (aber nicht ausschliesslich) auch:

• Abschluss aller zusätzlichen Vereinbarungen und Verträge, z.B. Code of Conducts, Vereinbarungen zur Aufnahme im Lieferantenverzeichnis, Procurement Policies, Anti-Corrpution Directives, projekt- oder kundenspezifische AGBs, Datenschutzerklärungen, Datenschutzverarbeitungen, etc., da diese auch die standardisierten, regulierten Verträge aushebeln könnten.
• Änderungen an den Verträgen, insbesondere auch anwendbares Recht, abweichende Versicherungswünsche.
• Abweichungen von den Vertragsprozessen, z.B. Nutzung von weiteren Plattformen für Lieferantenregistrierung/Vertragsunterzeichnung
• Besondere Vereinbarungen zur Einsichtnahme in Architektur oder Offenlegung von Realisierungsdetails (z.B. Backupverfahren, Programmier- und Sicherheitsdetails wie Zugriffsschutz, zugänge, kryptographische Verfahren, Desaster Recovery etc.). Alle Hinweise zur Praxis der Dienstausübung veröffentlicht Swisscom in ihrer CP/CPS (https://trustservices.swisscom.com/repository ) und dem Basisdokument zur CP/CPS. Aus Sicherheitsgründen werden weitere Details keinem Kunden herausgegeben, so dass nicht ein Wissen aufgebaut werden kann, um ggfs. zielgerichtet Attacken zu entwerfen.
• Anfragen auf Anschlüsse an das betriebsinterne Monitoring, Swisscom veröffentlicht Störungen seines Service über die Web-seite https://trustservices.swisscom.com/status-service , die auch im Rahmen des RSS Protokolls abonniert wer-den kann. Darüberhinausgehende Eingriffe in das System zu Monitoringzwecken werden aus Sicherheitsgründen nicht zugelassen.

Die Zertifizierungs- und Vertrauensdienste müssen ihre Praktiken und Abläufe, wie sie einen Dienst ausführen, in einem sogenannten „CP/CPS“ (Certificate Policy/Certificate Practise Statement) Dokument beschreiben. Die Dienste werden nicht nur zu Beginn der Tätigkeit, sondern regelmässig durch staatlich anerkannte Auditoren auditiert und die Anerkennungsstelle (Schweiz) bzw. Aufsichtsstelle (EU) des Staates entscheiden anhand der Audits über die Zulassung, Weiterbetrieb oder Erweiterung der Zertifizierungsdienste und Vertrauensdienste und stellen damit den hohen Qualitätsstandard im Markt für alle Signierenden sicher. Neben den allgemeinen gesetzlichen Vorgaben müssen zahlreiche Normen der europäischen Standardisierungsstellen ETSI und CEN eingehalten werden.

Der Staat publiziert die Einhaltung der Normen und Auditstandards und damit auch die Zulassung als anerkannter Zertifizierungs- bzw. Vertrauensdienst auf seinen Webseiten:

• Schweiz:
• EU (Trust List):

Gemäß der eIDAS-Verordnung müssen die Vertrauensdiensteanbieter auf nationaler Ebene akkreditiert werden und die nationalen Gesetze, Regeln und Vorschriften der nationalen Aufsichtsbehörde befolgen, sofern nicht eine andere EU-weite Verordnung bestimmte Regeln festlegt, wie die Durchführungsbeschlüsse der EU-Kommission, z. B. für die ADES-Standards oder die Sicherheitsstufen der eID oder einige Regeln aus der eIDAS-Verordnung selbst. So hat jedes Land unterschiedliche nationale Standards für seine Vetrauensdiensteanbieter; in Deutschland muss zum Beispiel das BSI einige Aspekte genehmigen, in Frankreich das Institut ANSII. In einigen Ländern ist z.B. die Videoidentifikation vollständig erlaubt. In anderen ist sie verboten, und in Drittländern ist sie nur mit kurzfristigen Zertifikaten erlaubt.
Die EU-Verordnung eIDAS sieht jedoch vor, dass alle qualifizierten elektronischen Signaturen von einem national akkreditierten Vertrauensdiensteanbieter in einem beliebigen EU-Land von allen EU-Mitgliedern akzeptiert werden müssen. So kann ein in Frankreich akkreditierter Vertrauensdiensteanbieter seine QES, die auf den französischen Vorschriften basieren, in Deutschland verkaufen, und ein österreichischer Vertrauensdiensteanbieter, wie z.B. die Swisscom, muss nur die österreichischen Vorschriften befolgen und kann seine qualifizierten Signaturen in anderen EU-Ländern verkaufen. Die EU-Vertrauensliste ist der Standardanker und bestätigt, dass eine qualifizierte Signatur, die von einem der dort aufgeführten Vertrauensdiensteanbietern ausgestellt wurde, akzeptiert werden muss.
Mit der Version 2 der eIDAS-Verordnung werden die EU-Länder versuchen, die Teile der Akkreditierung, z.B. die Art und Weise, wie man sich für einen Dienst registrieren lassen kann, mehr und mehr zu harmonisieren, und sie wollen sogar eine EU-eWallet als Basis für die zukünftige Identifikation für jeden vertrauenswürdigen Dienst schaffen.

Auf der Website von Mobile ID finden Sie ein detailliertes FAQ für ihre Problembehandlung.

Bitte schauen Sie das FAQ von Mobile ID an, dort werden ganz viele Fragen zu Mobile ID beantwortet.

Neben einer Docusign Lizenz, muss von Docusign oder seinem Reseller das Produkt “Docusign Express SKU” erworben werden und ein Ticket für die Erstellung des Swisscom Pens (des Auswahlfeldes für die Swisscom Signatur) muss beim Docusign Support eingereicht werden. Bei Swisscom müssen Sie den Docusign Connector bestellen und einen Servicevertrag zur Signatur abschliessen.

You don’t have the correct assurance level to sign this document. Please contact the RA Agent of your company” wird als Fehlermeldung herausgegeben.

Die Gesamtprüfung im Validator zeigt die Nichtgültigkeit an, sofern eine Signatur nicht den Erfordernissen von eIDAS respektive ZertES entspricht. Da Docusign neben der QES von Swisscom ebenfalls noch ein eigenes Siegel der Firma Entrust hinzufügt, welches die Erfordernisse der Gesetzgebung nicht erfüllt wird neben der gültigen QES Signatur das Siegel moniert und führt insgesamt zu einer negativen Bewertung. Dennoch ist vor Gericht natürlich die QES gültig. Mit einem Ticket an den Docusign Support kann dieses Siegel auf Wunsch auch unterdrückt werden.

Der Docusign Validator wird selber derzeit nicht weiter gepflegt und akzeptiert keine Signaturen der Schweiz.

Bitte mit dem Docusign Support besprechen: Swisscom berechnet jeweils einen Connector pro “Docusign Customer Account ID”