Regulativa i usklađenost

Pomoć za regulativu i usklađenost

K | Zaštita podataka

U slučaju udaljenog potpisa, Swisscom čuva i upravlja ključevima potvrda o potpisima u povjerenju. U slučaju osobnog potpisa, potvrde o potpisu generiraju se samo za potpis i gube na snazi nakon približno 10 minuta. Potvrde tvrtke za pečate vrijede do 3 godine. Prema zakonu, privatni ključ mora biti pohranjen na (kvalificiranom) uređaju za stvaranje potpisa. Memorija za ovo je uređaj koji je uglavnom dizajniran za pohranu ključeva, HSM (Hardverski sigurnosni modul). Podložan je strogim propisima, reviziji, u smislu sigurnosnih standarda i pristupa ovom uređaju. Potpisi u EU i Švicarskoj podliježu posebno visokim sigurnosnim standardima, koji su dostupni samo od nekoliko proizvođača HSM-a širom svijeta.

Postoje projekti u kojima se Swisscom oslanja na zakonski priznate i revidirane postupke identifikacije s trećim stranama. Tipičan primjer je banka koja provodi identifikaciju prisutnosti osobe kao dio svog KYC postupka. U tom slučaju Swisscom dobiva kopiju podataka banke za vlastite poslovne svrhe (potpis). Obrada podataka o narudžbi ovdje nije potrebna, jer postoje dvije strane odgovorne za podatke. Suprotno tome, ni ovdje se ne primjenjuje načelo zajedničkog nadzora GDPR-a, jer odaziv podataka ne služi istoj poslovnoj svrsi i obje strane ne djeluju odgovorno u smislu zajedničke poslovne svrhe. Banka djeluje u svoju poslovnu svrhu, npr. Otvaranje računa, a Swisscom slijedi svoju poslovnu svrhu izdavanjem potpisa. Ipak, u ovom slučaju naši ugovori o „delegiranju aktivnosti registra“ također sadrže minimum odredbi o postupanju u vezi sa zaštitom podataka i GDPR-om.

Swisscom je zakonski obvezan bilježiti osobne podatke za potpis. Stoga je odgovorna za ove podatke. To znači da Swisscom ne može igrati ulogu obrađivača podataka, čak i ako prima npr. Podatke o zaposlenicima od tvrtke kupca na potpis. Swisscom ima pravni mandat poput telekoma ili pružatelja poštanskih usluga. Nadalje, Swisscom ima pravni ugovorni odnos s potpisnicima s uvjetima korištenja. U ovom sporazumu, potpisnik također prihvaća upotrebu podataka.

Uz RA aplikaciju, Swisscom prenosi snimanje podataka o identitetu vanjskom davatelju usluga, koji se u ugovorima naziva "agencija RA". GDPR u ovom slučaju zahtijeva ugovor o obradi naloga. Stoga agencija RA mora poštivati obveze obrade podataka o narudžbama.

Usklađenost s GDPR-om obrade podataka o narudžbi također je potrebna u čisto švicarskim projektima. Dva su razloga za to:

  • S jedne strane, rijetko se može zajamčiti da osobe identificirane u Švicarskoj nisu državljani EU-a koji podliježu tržišnom načelu GDPR-a,
  • S druge strane, aplikacija RA ne može se koristiti na način da se identificiraju samo osobe za Švicarsku, tj. Obrada podataka o narudžbama uvijek se odvija i za Swisscom IT Services Finance SE u Beču.

Zahtjevi zaštite podataka koji će se pokazati i revidirati također se primjenjuju na aktivnosti tijela za registraciju – zadatak davatelja usluga povjerenja i pružatelja usluga ovjere. Stoga aplikacija RA kao dio postupka registracije mora osigurati zaštitu podataka i privatnost. Sama aplikacija RA ne pohranjuje trajno nikakve osobne podatke. Ni podaci se ne mogu izvesti. Čim je identifikacija završena, podaci se prenose potpisani od strane agenta RA kao takozvani dokaz. Ti se dokazi pohranjuju u Swisscomovoj RA službi pod strogim sigurnosnim uvjetima (npr. Pristup s 4 oka). Samo nekoliko ljudi ima pristup tim podacima i može ih prosljeđivati samo na temelju sudskog naloga ili im je dopušteno provjeravati kvalitetu identifikacije. Prema zakonu, Swisscom ima neograničenu odgovornost za pravilno izvršenje potpisa, a time i za identifikaciju.

Glavni agenti RA imaju web pristup portalu na kojem mogu pregledavati sve osobe koje RA agenti identificiraju svojim prezimenom, imenom, datumom isteka osobnog dokumenta i brojem mobitela. Osobni dokumenti i fotografije (takozvani "dokazi") nisu dostupni niti se mogu izvesti.

Kao dio svojih tekućih revizija, Swisscom mora osigurati da se poštuju svi strogi zahtjevi zaštite podataka potrebni za izdavanje digitalnih potpisa, kako prema certifikacijskom tijelu u Švicarskoj, tako i prema tijelu za ocjenu sukladnosti u Austrija. To znači da su, uz samoizjavu, davatelji usluga povjerenja i usluge certificiranja obvezni prema zakonu i primjenjivanim međunarodnim standardima, poput ETSI 319 401, pokazati i izvršili reviziju odgovarajuće zaštite podataka za sve osobne podatke.

Švicarska nije u EU i stoga nije uvela zakonodavstvo EU, takozvanu Opću uredbu o zaštiti podataka (GDPR). U stvarnosti, GDPR je primjenjiv i ako tvrtke imaju sjedište u Švicarskoj i nude usluge u EU.

Stoga Swisscom podliježe istim obvezama rukovanja podacima kao i sve druge organizacije koje se moraju pridržavati GDPR-a:

  • dobiti suglasnost osobe čiji se podaci obrađuju
  • Jamstvo "Privatnost prema dizajnu" i "Privatnost prema zadanim postavkama"
  • imenovati predstavnika za zaštitu podataka
  • stvoriti popis aktivnosti obrade
  • prijaviti kršenje zaštite podataka nadzornom tijelu
  • provesti procjenu utjecaja na privatnost

Sve aplikacije koje se tiču zaštite podataka i koriste se za obradu podataka, npr. I RA-App moraju biti u skladu s GDPR-om. Informacije o tome Swisscom pruža na svojim stranicama:

Švicarska: www.swisscom.com/signing-service

Austrija: www.swisscom.at

s odgovarajućim izjavama o zaštiti podataka prema GDPR-u.

Švicarska je uvijek bila i smatra se sigurnom trećom zemljom u skladu s čl. 45 GDPR (prijenos podataka na temelju odluke o adekvatnosti), tj. Uobičajena odobrenja kao ni u drugim trećim zemljama (npr. SAD) nisu potrebna. Zahvaljujući Zakonu o zaštiti podataka i stalnoj prilagodbi GDPR-u, Švicarska ima „odgovarajuću razinu zaštite za prijenos osobnih podataka“ u skladu s kriterijima EU-a, tj. Ona se zapravo mora tretirati kao zemlja EU-a prilikom prijenosa podataka:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Istaknuto ime sadrži ili ime, prezime i državu rođenja / registracije ili matičnu zemlju osobe ili pseudonim sa serijskim brojem koji registar može jedinstveno pronaći do osobe. Nazivi organizacija dopušteni su samo u posebnim slučajevima

Da, pravi se razlika između toga jesu li se potpisnici složili s uvjetima korištenja Švicarske ili EU-a ili oboje. Sve podatke obrađuje i Swisscom (Schweiz) AG za Swisscom IT Services Finance SE u Beču.

L | Pravne i regulatorne teme

U slučaju osobnih certifikata, Swisscom izdaje samo kratkoročne certifikate (tzv. "One-shot" certifikate) koji imaju vijek trajanja 10 minuta i koriste se samo za jedan zahtjev za potpis. Vjerojatnost da je certifikat ugrožen tijekom ovih 10 minuta praktički ne postoji. Nakon toga certifikat je nevažeći i ne može se ugroziti. Zahvaljujući dugotrajnoj provjeri valjanosti, potpisi s ovom potvrdom ostaju valjani i mogu se validirati i vremenska razdoblja nakon isteka.

Ako je cijeli CA (tj. Korijenski certifikat) usluge certificiranja i povjerenja ugrožen, postoji postupak koji Swisscom opisuje u svom CP / CPS (vidi Područje preuzimanja – Repository).

Ako potpisnik izgubi svoj medij za ovjeru ili otkrije da je njegov identitet pogrešno utvrđen, naš tim za podršku mora biti odmah obaviješten. U ugovornom odnosu s jednim od naših partnera, kontaktirajte partnera s kojim ste dali svoj potpis ili identifikaciju. Zatim će poduzeti daljnje korake za blokiranje ove identifikacije. Ako je certifikat pečata ugrožen, upotrijebite podatke za kontakt na https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

Švicarska (QES), ZertES:

CP / CPS predviđa da se identifikacija i pohranjena dokumentacija mogu koristiti najviše 5 godina, kraće ako razdoblje valjanosti predočene osobne iskaznice / putovnice završi prije petogodišnjeg razdoblja ili ako postupak identifikacije od strane revizor ne dopušta 5 godina.

Primjenjuje se razdoblje zadržavanja u skladu s člankom 11. stavkom 1. Pravilnika o SigE / ZertES-u (dnevnik aktivnosti): „Priznati pružatelji usluga moraju držati registracije koje se odnose na njihove aktivnosti i prateću dokumentaciju koja se odnosi na njih jedanaest godina.“ Swisscom ovo razdoblje također razumije kao razdoblje čuvanja dokumenata predanih u postupku identifikacije, posebno kopije osobne isprave.

Rezerva od 1 godine dodana je kao „sigurnosni uložak“ kako bi se izbjeglo da Swisscom RA agencije mogu drugačije izračunati 11 godina, što bi značilo da Swisscom više neće imati dokumentaciju u određenim slučajevima, posebno u primjeni članka 17. Zakona SigE / ZertES (neograničena odgovornost).

  • Kao sažetak, arhivsko je vrijeme 17 godina, koje su također otkrivene u uvjetima korištenja.

Europa, (QES), eIDAS:

To je isto opravdanje i izvođenje kao u slučaju QES-a u Švicarskoj, samo s tom razlikom što u Austriji zakonsko razdoblje zadržavanja iznosi 30 godina. Članak 10.1 SVG-a (Zakon o potpisima i Trust Services) predviđa:

Prava pristupa i razdoblje zadržavanja

10. (1) Na zahtjev sudova ili drugih tijela, kvalificirani TSP odobrit će pristup dokumentaciji u skladu s člankom 24. stavkom 2. lit. h eIDAS-VO i njegova baza podataka o certifikatima.

(2) […].

(3) Dokumentaciju pruža kvalificirani TSP na 30 godina, računajući se od datuma kvalificiranog certifikata unesenog na kraju valjanosti ili, ako takvog nema, 30 godina od datuma kada su relevantne informacije o izdanim podacima i koje je kvalificirani VDA primio tijekom svojih aktivnosti.

  • Kao sažetak, arhivsko je vrijeme 36 godina, što je također objavljeno u Uvjetima korištenja eIDAS-a.

Napredni potpisi (eIDAS, ZertES)

CP / CPS predviđa da se identifikacija i arhivirana dokumentacija mogu koristiti najviše 5 godina, kraće ako razdoblje valjanosti dostavljene kartice završi prije petogodišnjeg razdoblja ili ako postupak identifikacije ne dopušta 5 godina.

Na području AES-a ne postoje zakonski rokovi čuvanja, jer rokovi čuvanja nisu regulirani zakonom. Međutim, ETSI standardi predviđaju razdoblje od 7 godina. Ove su informacije izvedene iz ETSI Direktive EN 319 411-01:

6.4.6 Arhiva zapisa

Primjenjuju se sljedeći posebni zahtjevi:

NAPOMENA: ETSI TS 101 533-1 [i.13] predlaže odredbe o načinu očuvanja digitalnih objekata podataka.

a) TSP će zadržati sljedeće najmanje sedam godina nakon što bilo koja potvrda temeljena na tim evidencijama prestane važiti:
i) zapisnik svih događaja koji se odnose na životni ciklus ključeva kojima upravlja CA, uključujući sve parove ključeva predmeta

generirano od strane CA (vidi točku 6.4.5, točka g));

ii) dokumentacija kako je utvrđena u odredbi 6.3.4.

Rezerva od 1 godine dodana je kao „sigurnosni uložak“ kako bi se izbjeglo da agencije Swisscom RA mogu 11 godina izračunati drugačije.

  • Kao sažetak, arhivsko je vrijeme 13 godina, što je također otkriveno u eIDAS-ovim Uvjetima korištenja.

Elektronički potpisi mogu se iznijeti kao dokaz u parnici. U pravilu su, s izuzetkom kvalificiranog potpisa, predmet besplatne procjene dokaza. Budući da su "jednostavni" i "napredni" elektronički potpisi teško ili su samo grubo definirani zakonom, odgovornost je suda prihvatiti takav potpis ili ne. Strana koja želi predstaviti ove potpise kao valjane mora dostaviti odgovarajuće dokaze. U slučaju Swisscoma, korisno je što napredni potpisi također podliježu vrlo strogoj reviziji prema ETSI standardu za potpise „NCP +“, pa se takva izvješća o reviziji mogu koristiti. U slučaju kvalificiranog potpisa, primjenjuje se poništavanje dokaza. Budući da je kvalificirani potpis precizno utvrđen zakonom i, na primjer, i Švicarska i Austrija nude validatore valjanosti takvih potpisa na webu, ti se potpisi smatraju valjanima sve dok stranka ne dokaže suprotno, a time također dokaže da nadzorno tijelo ili OFCOM kao i revizori nisu ispoštovali svoje obveze. Nakon 11 godina u Švicarskoj ili 35 godina u Austriji, dokazi također mogu uzrokovati poteškoće u kvalificiranom području, jer se dokumenti za registraciju moraju uništiti. Ipak, potpis je i dalje vidljiv kao "kvalificiran".

U kontekstu dokaza nakon mnogo godina, također treba napomenuti da se elektronički arhivirani dokumenti s vremena na vrijeme trebaju opetovano žigosati. Može se dogoditi da algoritmi više nisu toliko robusni. Oznaka vremena brtvi dokument najnovijim algoritmima, štiteći integritet dokumenta, uključujući potpise.

Kvalificirani eIDAS potpisi smatraju se „kvalificiranima“ samo na području EU (i EEA), a ZertES / SigE potpisi također se smatraju kvalificiranim samo u švicarskoj jurisdikciji. To znači da kad treća država odabere zakon, ti potpisi više ne mogu postići svoj „kvalificirani“ učinak ili, ako je potrebno, postati. ni prepoznati.

Način na koji se takav scenarij "isključenja" mora izvršiti reguliran je zakonom: CP / CPS službe za ovjeravanje ili usluge povjerenja opisuje točne postupke. Mora postojati plan ukidanja, a prijavljeno nadzorno tijelo ili OFCOM obično će imenovati nasljednika koji bi mogao ponuditi uslugu kupcima. Ovaj nasljednik obično će dobiti i Popis opoziva certifikata, a time i popis valjanosti certifikata, pod uvjetom da ih Swisscom ne objavi sam. Popis će nastaviti s radom godinama, tako da se valjanost potpisa može i dalje provjeravati. Dokazi o registracijama za uslugu moraju se čuvati u skladu s rokovima čuvanja čak i nakon prestanka tijekom 11 ili čak 35 godina, Swisscom ili imenovani nasljednik moraju uspostaviti sustav arhiviranja za to, tako da se ti podaci mogu koristiti i u pravnim pregovorima . Navedene identifikacije više se ne mogu koristiti s mogućim nasljednikom, tj. U ovom su slučaju potrebne nove registracije.

Nakon raskida ugovora, opozivat će se postojeće važeće potvrde o pečatu.

Ne.

Iskustvo je pokazalo da prijelazna razdoblja mogu trajati od 3 mjeseca do 2 godine.

Razdoblja zadržavanja za provjeru identiteta i dnevnika aktivnosti, a time i razdoblja dokazivanja su 11 godina u Švicarskoj i 35 godina u EU. Swisscom obično koristi dugoročni standard provjere valjanosti ETSI (LTV).

Dugotrajna provjera valjanosti znači potvrđivanje potpisa na takav način da ostaje valjan dulje vrijeme. LTV provjera valjanosti dopušta samo ako korijenski certifikat za vremensku oznaku nije istekao. Stoga je preporučljivo ponovo dokumente ovjeriti vremenom prije isteka ako se žele sačuvati dugoročni dokazi, kako bi se i dalje osiguravala cjelovitost i značajnost dokaza o potpisu.

U principu, PDF dokumentima također treba upravljati u sigurnim arhivama. Za 5, 10 ili 20 godina može se dogoditi situacija u kojoj su algoritmi potpisa "puknuti", tj. Cjelovitost ili autentičnost više nisu mogli biti zajamčeni. Dobri sustavi arhiviranja stoga omogućuju redovitu ostavku, npr. S vremenskom oznakom, koja uvijek koristi najnoviji algoritam i tako osigurava cjelovitost dokumenta.

Web nudi različite poveznice s optimiziranim postupcima za to, npr. "Archisig". Njemački BSI također je objavio tehničku smjernicu "Očuvanje dokazne vrijednosti kriptografski potpisanih dokumenata". To je specifikacija tehničkih sigurnosnih zahtjeva za dugoročno očuvanje dokazne vrijednosti kriptografski potpisanih elektroničkih dokumenata i podataka zajedno s pripadajućim elektroničkim administrativnim podacima (metapodacima).

Međuprogramski softver definiran za ove svrhe (TR-ESOR međuprogramski softver) u smislu ove smjernice obuhvaća sve one module i sučelja koji se koriste za zaštitu i održavanje autentičnosti i dokazivanje cjelovitosti pohranjenih dokumenata i podataka.

I u pravnom sustavu EU-a i Švicarske promjena tereta dokazivanja (au Njemačkoj i prima facie dokaza u odnosu na vizualne dokaze) načelno se odnosi na kvalificirane potpise. To znači da protivna stranka mora dokazati da kvalificirani potpis nije pravilno izvršen ako se osporava. I, naravno, Swisscom može pružiti verifikacije s KPMG certifikatom kako bi dokazao da je kvalificirani potpis uredno izvršen.

Swisscom može samo potvrditi da može izdavati kvalificirane potpise u oba pravna sustava u skladu s eIDAS Uredbom EU i ZertES Zakonom iz Švicarske. Kvalificirani švicarski potpisi priznaju se kvalificiranim samo u Švicarskoj, a eIDAS-ovi potpisi u EU.

Je li kvalificirani potpis u skladu s bilo kojim ugovorom, uvijek mora provjeriti odvjetnik. Swisscom u tom pogledu ne može pružiti nikakve pravne informacije. To se ne odnosi samo na potpis, već i na druge točke koje se mogu ugovoriti u ugovorima. Na primjer, zahtjev za "povrat preporučenom poštom" može značiti da se elektronički potpis uopće ne može izvršiti, jer je put poštanskog papira obavezan.

Stupanjem na snagu Uredbe o elektroničkoj identifikaciji i Trust Services za elektroničke transakcije na unutarnjem tržištu Europske unije (eIDAS) stvorena je osnova za pravno valjanu elektroničku komunikaciju i sigurnu elektroničku identifikaciju u cijeloj Europi. Uz pomoć trust services poput elektroničkih potpisa, pečata, vremenskih žigova, usluga dostave i potvrda za provjeru autentičnosti, tvrtke, uprave i privatne osobe mogu razmjenjivati digitalne dokumente poput ponuda, narudžbi, ugovora itd. Unutar Europske unije na jedinstvenoj pravnoj osnovi . Stoga nova uredba EU zamjenjuje nacionalni zakon o potpisima i propise o potpisima.

Prema ovoj Uredbi (EZ) br. 910/2014 / EU (Uredba o eIDAS-u) , nacionalni pouzdani popisi imaju konstitutivni učinak. Drugim riječima, davatelj usluga povjerenja i trust services koje pruža bit će kvalificirani samo ako se pojave na popisima pouzdanih. Slijedom toga, korisnici (građani, poduzeća ili javne uprave) će imati koristi od pravnog učinka povezanog s određenom kvalificiranom uslugom povjerenja samo ako je potonja navedena (kao kvalificirana) na popisima pouzdanih.

Podružnica Swisscoma u Austriji “Swisscom IT Services Finance SE”, Beč uvrštena je na ovaj popis povjerenja s kvalificiranim certifikatima i pečatima:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE dodijelio je tvrtki Swisscom (Švicarska) Ltd upravljanje uslugom povjerenja, a također je delegirao aktivnosti nadležnog tijela za registraciju na Swisscom (Švicarska) Ltd. Swisscom (Švicarska) Ltd. nudi uslugu tržištu i prihvaća ugovorne dokumente u ime Swisscom IT Services Finance SE.

Švicarsko zakonodavstvo, tj. švicarski savezni zakon o elektroničkom potpisu (ZertES/SCSE), predviđa zahtjeve koje organizacije moraju ispuniti kako bi bile priznate kao usluga certificiranja. Akreditirano akreditacijsko tijelo za akreditaciju Swisscoma kao usluge certificiranja u Švicarskoj je KPMG (Akreditacijski broj SCESm 0071). Izdaje potvrdu o ocjenjivanju sukladnosti (dostupno na www.swisscom.com/signing-service). Švicarska služba za akreditaciju SAS održava popis akreditiranih usluga certificiranja: Link

U načelu, Swisscom ima zakonsku neograničenu odgovornost za netočno izdavanje kvalificiranih certifikata. U slučaju naprednih certifikata, ova odgovornost može biti ograničena. U tu svrhu je i Swisscom obvezno osiguran. U slučaju pogrešaka u aplikaciji za potpisivanje (npr. Razmjena hasha dokumenta) ili pogrešaka u identifikaciji od strane registra trećih strana, Swisscom će zauzvrat smatrati te treće strane odgovornima. Kako bi se izbjegli rizici odgovornosti, postavljaju se visoki zahtjevi u postupku izdavanja i ugovaranja, a općenito se traži mogućnost revizije uključenih trećih strana.

U načelu, tvrtka mora imenovati predstavnike. Ti bi predstavnici trebali biti ili registrirani zastupnici prema trgovačkom ili poslovnom registru, ili zaposlenici s odgovarajućim punomoćima koje su potpisali registrirani zastupnici. U svakom slučaju, osobe moraju biti osobno identificirane s našom RA-aplikacijom. U Švicarskoj samo tvrtke registrirane u UID registru mogu naručiti pečate. S pečatom, potvrda o SSL pristupu između aplikacije za potpis kod kupca i Swisscom služi kao potvrda identiteta tvrtke. Potvrdu o pristupu stoga mora predati predstavnik organizacije. Uz naprednu brtvu dovoljna je jednostavna isporuka; kvalificiranim pečatom odvija se zajednička ceremonija primopredaje na kojoj se zajednički generira potvrda o pristupu. Privatni ključ mora biti pohranjen na kripto-uređaju (FIPS 140-2 razina 2 minimalno).

Ne, samo za rad aplikacije za potpis nije potrebno ovjeravanje i revizija. U okviru „izjave o konfiguraciji i prihvaćanju“, kupac daje samoizjavu kako bi pravilno radio aplikaciju za potpis, tj. Da ne bi razmijenio hash dokumenta i zapravo prikazao dokument koji treba potpisati kupcu (WYSIWYS = "Ono što vidite je ono što potpisujete"). Prijenos podataka između aplikacije za potpis i Swisscoma trebao bi biti šifriran, a osnovna zaštita od virusa i napada trebala bi biti zajamčena kao i kod bilo kojeg drugog sustava. Službena revizija s ovjerom može biti potrebna samo ako sustav ima vlastitu identifikaciju, posebno u odnosu na vlastiti način autentifikacije. U Švicarskoj se identifikacija s metodama provjere autentičnosti Swisscom može rješavati na pojednostavljen način pomoću prikladnog „koncepta provedbe” koji je dostavio kupac, a odobrio Swisscom; u EU je općenito potrebna službena revizija. U pravilu, metoda provjere autentičnosti mora uvijek biti certificirana, jer bi to trebalo osigurati "isključivu kontrolu" certifikata za potpisivanje (koja se u kontekstu ETSI-a naziva "isključiva kontrola").

Svake godine Swisscom ulaže velike svote u tekuće revizije. Međutim, da bi se ponuda pružatelja usluga povjerenja mogla staviti na tržište po razumnoj cijeni, ova se usluga nudi u standardiziranom obliku. To posebno znači:

  • Kupac se mora pridržavati standardnog postupka naručivanja sa standardnim ugovornim dokumentima koje su izdali revizori.
  • Daljnje procjene sudionika te ispitivanje i prihvaćanje vlastitih tekstova ugovora nisu uključeni u ponudu.

Mnogi aspekti pružatelja usluga povjerenja ne podliježu samo uvjetima u izvršenju usluge već i specifikaciji važnih obveza, propisa o odgovornosti i usluga suradnje u ugovornim dokumentima. Stoga su ovi ugovorni dokumenti također predmet revizije ili se također podnose državnim tijelima za ocjenu sukladnosti. Stoga se ne mogu prihvatiti nikakve promjene u pravnom sustavu, niti se mogu prihvatiti ugovorne priloge sudionika, posebno ako su podložne stranom, mjerodavnom zakonu.

Ako je ipak potrebno prilagoditi ugovorne tekstove, dodati ugovorne propise (npr. Vlastiti Kodeks ponašanja, Izjavu o zaštiti podataka, NDA, itd.), Obraditi posebne upitnike za procjenu ili ako ste čak otkrili pogreške ili nejasne formulacije, prijavite ih naše upravljanje proizvodima.

Ako su očite bilo kakve pogreške ili nejasnoće, upravljanje proizvodom pokreće odgovarajući postupak promjene i provodi ga što je brže moguće.

Za ocjenu ostalih pitanja formira se tim za obradu koji se oslanja na relevantne stručnjake (npr. Pravni odjel, službenik za sigurnost, službenik za usklađivanje itd.) I provodi ocjenu zahtjeva. Za to se plaća naknada za projekt u iznosu od 6000 CHF. Ako tim stručnjaka nije uspio izravno riješiti rješenje, pripremit će odgovor i ponudu koja će predstaviti i procijeniti daljnje korake Swisscoma.

S jedne strane, interna tvrtka može postati Swisscomov partner za preprodaju drugih tvrtki u slučaju da se planira velik opseg. U ovom slučaju, tok plaćanja ide izravno samo kroz ovu pojedinu tvrtku. Jedna tvrtka također može preuzeti potpunu odgovornost za rad pretplatničke aplikacije. Čak i tada, fakture će ići samo putem ove tvrtke. Tada može identificirati zaposlenike drugih tvrtki.

Ako sve tvrtke žele samostalno upravljati pretplatničkom aplikacijom (s vlastitom odgovornošću i odgovornošću), a žele i same osigurati RA agente, potreban je zaseban ugovor za svaku tvrtku.

Oboje bi trebali biti informatičari koji su upoznati s aplikacijom. To ne mora biti osoba sa službenom ulogom zamjenika za privatnost. Swisscom ovdje jednostavno želi zadržati princip 4 oka. Uloge su: Da bi se mogle pružiti informacije o administraciji korisničke aplikacije (tko ima pristup, čime administrator može manipulirati, gdje može postojati prepreka, SSL veza na Swisscom) i o temama kao što su zaštita od virusa, kontrola pristupa općenito itd. kod osobe odgovorne za sigurnost.

Adobe je američki američki dobavljač softvera koji može prikazati PDF dokumente. Najistaknutiji i najrasprostranjeniji proizvod je takozvani "Adobe Acrobat Reader". To omogućuje provjeru potpisa na temelju certifikata. Hoće li potpis biti valjan i hoće li se na taj način prikazati zelenom kvačicom ovisi o mnogim aspektima:

  • Adobe ima svoj vlastiti set pravila koji izdavanje CA od davatelja usluga povjerenja ili davatelja usluga certificiranja klasificira kao „pouzdane”. Oni su navedeni na takozvanom Adobe Trust Listu (AATL). Čak i ako nije uključen u opis usluge, Swisscom se uvijek trudi biti ovdje naveden. Uz to, navedena poduzeća moraju plaćati godišnje naknade za ovaj unos i podnijeti zahtjev za samoprocjenu. Prema Adobeu, pružatelji usluga eIDAS s povjerenjem smatraju se pouzdanima ako su također sklopili ugovor s Adobeom.
  • Adobe nudi razne postavke koje mogu dovesti do potpuno drugačije provjere valjanosti: na primjer, umjesto Adobe-ovog popisa pouzdanosti, može se koristiti i popis povjerenja Microsoft Windows-a, koji obično održava samo pružatelje usluga povjerenja koji također izdaju SSL ili e-mail certifikate . Međutim, provjera se također može temeljiti na vremenu koje zadaje računalni sat, a ne na vremenskoj oznaci u dokumentu.

To znači da se ne možete pouzdati u valjanost potpisa u Adobeu, ali dobivate informacije o tome jesu li u dokumentu izvršene promjene od postavljanja potpisa i kako izgleda potvrda o potpisu.

  1. Usmeno zaključen ugovor: Vrlo teško dokazljiv (samo sa svjedokom drugih osoba)
  2. Potpisano jednostavnim potpisom, npr. Skenirana slika potpisa: Isti problem. Proces generiranja ovog potpisa mora se analizirati na sudu, a zbog slabosti postupka svjedok drugih osoba ili drugi natuknici igrat će glavno pravilo za dokazivanje punomoći.
  3. AES: radi provjere valjanosti potpisa stranke moraju ponovno otići na sud. Sud će zatražiti od stručnjaka da istraži napredni elektronički potpis Swisscoma. Zbog revizija koje je proveo Swisscom stručnjaci mogu imati koristi od toga. Ipak, AES je slabiji kao QES, npr. U vezi s načinom identifikacije/registracije osoba, vremenom arhiviranja (samo 7 godina) i autentifikacijom potpisa s jednim faktorom za razliku od autentifikacije s 2 faktora (dakle ukradeni mobilni telefon pametni telefon se može koristiti za potpis)
  4. QES: provjera valjanosti potpisa može se izvršiti izravno putem https://validator.ch ili https://www.signatur.rtr.at/de/vd/Pruefung.html Stranke ne moraju ići na sud u slučaju sumnjati. Samo ako netko posumnja u općenito revidiranu uslugu povjerenja i to će biti čvrst dokaz…. Dokazi i evidencije potpisa QES -a pohranjivat će se onoliko dugo koliko je predviđeno za sve poslovne i porezne dokumente u poslovnoj evidenciji: više od 10 godina u Švicarskoj i 35 godina u EU -u.

Zbog GDPR propisa i činjenice da podružnice nisu automatski dio bilo kakvog ugovora o obradi podataka, moramo sa svakom podružnicom potpisati dodatni ugovor o agenciji RA.

Preporučujemo uporabu standarda PAdES LTA (vidi ETSI TS 103 172) u svrhu dugoročne provjere valjanosti. Više savjeta možete pronaći ovdje: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDF -ovi trebaju biti u skladu sa standardom PDF/A.

Algoritmi za raspršivanje (formiranje kontrolnog zbroja) i šifriranje raspršivanja slijede preporuke ETSI standarda ETSI TS 119 312, koji također slijede standarde NIS. Ovi algoritmi imaju određene pretpostavke o razdobljima od 1-> 6 godina u kojima su stabilni. Međutim, razvoj (npr. Pucanje algoritama) također može brzo dovesti do promjena ovdje. Swisscom Trust Services, na primjer, sada ponovno mijenja svoj korijenski CA kako bi zadovoljio zahtjeve> 6 godina. Novo izdanje specifikacije očekuje se ponovno ove jeseni.

Za dugoročnu provjeru valjanosti potrebno je stoga redovito osiguravati integritet na temelju najnovijih algoritama, npr. Godišnje označavanje vremena svih dokumenata ili korištenje odgovarajućih rješenja za arhiviranje. Ključna riječ „očuvanje dokazne vrijednosti”-vidi DIN 31647: 2015-05.

U slučaju daljinskog potpisa, Swisscom upravlja vašim ključevima za povjerljive certifikate potpisa. S osobnim potpisom, potvrde o potpisu generiraju se samo za potpis i gube valjanost nakon cca. 10 minuta. Ovime izbjegavamo obavijest o kompromisu certifikata od strane potpisnika, odnosno certifikat ne može biti ugrožen. Postupak ima nekoliko prednosti:

Krajnji korisnik ne mora kontaktirati Swisscom (npr. Korisnički račun za opoziv certifikata).

Primatelji potpisanih dokumenata ne moraju se baviti popisima opoziva i OCSP -om (internetska provjera valjanosti certifikata).

Izbjegavaju se sigurnosni problemi s aplikacijama koje se oslanjaju samo na redovito ažuriranje popisa opoziva.

OCSP upiti dovode do vremenskih kašnjenja primatelja.

Osim toga, kratkoročni certifikat uvijek daje pozitivan odgovor-OCSP upit može dati samo negativan odgovor.

 

Važno je da je potpis koji je napravljen s QES -om naravno još uvijek važeći, bez obzira na certifikat.

 

Kratkoročni certifikati izdaju se na temelju registracija službe za registraciju, odnosno temelje se na jakoj provjeri autentičnosti. Kratkoročni certifikat generira se samo ako postoji autentifikacija (izdanje) u postupku 2FA.

Primjer za analogiju u okruženju papira: potpisujem ugovor olovkom s tintom. Tinta u olovci je prazna nakon potpisa. Ugovor ostaje valjan, naravno.

 

Prilikom potpisivanja s QES -om primjenjuju se sljedeća razdoblja arhiviranja dokaza:

Razdoblja čuvanja identifikacijskih dokaza i dnevnika aktivnosti za potpise EU -a u Austriji (gdje smo akreditirani) su 35 godina i 10 godina u Švicarskoj.

Zbog standarda PAdES B LTA, potpisi se također mogu provjeriti dugo nakon isteka na temelju kratkoročnih potvrda.

Niste pronašli svoj odgovor, kontaktirajte našu podršku.

Obrazac za podršku
Jesmo li vam mogli pomoći?

Drago nam je da smo vam mogli pomoći.

Šteta što vam još nismo uspjeli dati odgovor koji vam je potreban. Naš tim za podršku rado će vam pomoći.


Željeli bismo vam pružiti najnoviji sadržaj pomoći na vašem jeziku što je prije moguće. Ova je stranica prevedena automatski i može sadržavati gramatičke pogreške ili netočnosti. Možete posjetiti stranicu na kojoj preuzimamo izvorni sadržaj s ovdje kako bismo izbjegli potencijalne nesporazume.

Zoom