Centro assistenza

Che cosa significa il messaggio di errore "Mancata corrispondenza del numero di serie. Consigliamo vivamente di seguire il processo di pre-firma per recuperare il numero di serie StepUp effettivo” . Questo messaggio di errore indica che in un processo PWD/OTP la password è stata reimpostata e riselezionata senza eseguire una nuova identificazione con il corrispondente processo di step-up secondo la Guida di riferimento.

Mi sono autenticato correttamente con PWD/OTP, Mobile ID o Mobile ID App – ma la firma non ha funzionato… quale potrebbe essere la ragione?

Le cause sono:

• Hai impostato una nuova password per la procedura PWD/OTP. Questa operazione può essere eseguita solo in situazioni eccezionali presso un'autorità di registrazione interna e, in caso contrario, deve sempre avvenire nell'ambito di una nuova identificazione.
• In precedenza ti eri autenticato con PWD/OTP e ora hai attivato il tuo MobileID con un numero di cellulare svizzero o internazionale tramite un'app Mobile ID. Anche in questo caso deve avvenire una nuova identificazione perché è cambiato il mezzo di autenticazione appartenente all'identità.
• Hai cambiato la SIM o il gestore di telefonia mobile. Di conseguenza, l'autenticazione MobileID è cambiata quando si utilizza un MobileID. Anche per questo è necessaria una nuova identificazione.
• Se nessuna di queste cause è presente, dovresti aprire un ticket.

Spesso i messaggi fanno riferimento all'integrità mancante, ovvero il documento mostra le modifiche dopo aver firmato il documento. Ad esempio, gli elementi dalla rete sono stati scaricati e inseriti successivamente. Ciò può essere evitato utilizzando costantemente l'ultima versione dello standard PDF/A PADES per la firma. Per creare documenti PADES corretti, segui questo link qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Va notato che i validatori dell'UE sono lungi dall'essere armonizzati. Ciò significa che i portali di test possono presentare una firma elettronica qualificata come "non valida", anche se soddisfa i requisiti per la datazione eIDAS. L'UE sta lavorando all'armonizzazione.

"La firma è valida ma non è stato possibile verificare la validità dell'identità del firmatario" è la dichiarazione di Adobe se non è stato utilizzato il formato LTV. Lo sfondo è che Adobe cerca quindi di verificare la validità di un certificato di 10 minuti. Se non è stato utilizzato un formato di convalida a lungo termine, che memorizza le informazioni di validità al momento della firma, dopo qualche tempo non è più possibile accedervi. Pertanto, le firme con certificati a breve termine (ma anche le firme con prova a lungo termine) devono essere sempre salvate in formato LTV. Puoi trovare ulteriori suggerimenti qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Questo messaggio viene attivato in due casi:

a) Se sei appena stato identificato con l'app Swisscom RA e in precedenza è avvenuta una modifica con il tuo metodo di autenticazione (cambio carta SIM/contratto, Mobile ID reset, password per la firma è stata modificata, cambia da PWD/OTP a Mobile ID )

In questo caso va tutto bene e puoi continuare a iscriverti come al solito fino al livello qualificato.

b) Nel caso in cui siano disponibili nuovi Termini e condizioni che devono essere accettati e si è verificata una modifica con il metodo di autenticazione dall'ultima firma riuscita (modifica carta SIM/contratto, ripristino Mobile ID, password per la firma è stata modificata, passaggio da PWD da /OTP a Mobile ID)

In questo caso è necessario essere nuovamente identificati per poter apporre firme qualificate.

La chiamata di verifica che controlla se una persona è ben nota al RA-Service restituisce il seguente codice di errore:

{

“codice di stato”: 404,

"messaggio": "Impossibile verificare la giurisdizione dell'utente sconosciuto con msisdn XXXXXXXXX",

"exceptionClass": "EvidenceVerificationException"

}

Ciò significa che la persona è sconosciuta al Servizio RA. Potrebbe essere che questa persona sia stata probabilmente identificata ma non abbia accettato l'SMS con le Condizioni d'uso. Dopo poco tempo (ca. 2 settimane) i dati della persona verranno cancellati.

In questa pagina Verifica firma puoi verificare in qualsiasi momento se puoi firmare elettronicamente o se hai bisogno di una nuova registrazione:

https://check-firma.scapp.swisscom.com/

Se l'esito è positivo, ti verrà mostrato con quale tipo di firma (QES, FES) e in quale area legale (UE, Svizzera) puoi firmare elettronicamente.

In caso di esito negativo viene visualizzato il motivo della nuova registrazione e l'identificazione per la firma elettronica.

Tradotto con www.DeepL.com/Translator (versione gratuita)

In Svizzera, Swisscom amplia continuamente le possibilità di consentire l'identificazione negli Swisscom Shop. Ne parleremo in questa pagina web principale. All'estero, l'identificazione sarà possibile solo tramite partner che lo offrono. A medio termine, Swisscom cerca un collegamento con identità esistenti (ad es. verifica dell'identità online da parte di una banca o un eID statale, come il Personalausweis tedesco o SwissID).

Durante l'identificazione vengono richiesti i mezzi di autenticazione (ad es. in particolare il numero di cellulare). Con questo viene già eseguita una prima firma (autenticazione step-up), tipicamente la firma delle condizioni d'uso che sono state accettate. Questa firma viene trasferita all'All-in Signing Service. Ciò significa che il sistema All-in Signing conosce esattamente i mezzi di autenticazione.

Un'agenzia di RA è associata ad un'area di stoccaggio (cosiddetto “tenant”) nella quale sono gestite solo le persone individuate dall'agente master della RA o da altri agenti di RA della sua agenzia. L'agente RA-Master ha accesso a questo tenant e può nominare qualsiasi persona identificata di questo tenant come agente RA.

Se una persona è stata identificata con un altro metodo del Smart Registration Service (es. identificazione video nell'UE), l'Agente RA-Master non può nominare tale persona come agente RA in quanto è associato ad un altro tenant (il tenant SRS). L'Agente Master RA deve identificarlo nuovamente tramite l'App RA.

L'unica eccezione è il primissimo agente RA-Master: viene comunque identificato da una persona di Swisscom, Swisscom Partner o ad es. un'identificazione video e quindi finisce di default nell'inquilino "sbagliato". Quando l'agenzia è configurata, l'agente principale RA indicato viene ricercato e spostato al nuovo inquilino corretto dell'agenzia RA. Non sono tuttavia possibili ulteriori rinvii.

Questa è una risposta di prova

Si prega di trovare una tabella con tutti i documenti di identità e passaporti accettati:

Elenco dei documenti supportati

Questo accade indirettamente. In pratica, la procedura è la seguente: L'agenzia RA nomina prima un agente principale della RA. Questo agente è identificato da Swisscom o da un partner di Swisscom e segue una formazione. Riceve quindi un'interfaccia utente con la quale può trasformare altre persone identificate da lui solo in agenti RA o agenti master RA. Tuttavia, devono anche seguire una formazione e-Learning automatizzata richiesta.

In linea di principio, Swisscom deve conservare i dati per un tempo molto lungo (11 anni in Svizzera o 35 anni nell'UE). Tuttavia, le persone possono essere disattivate dall'agente principale della RA o da Swisscom in modo che non possano più firmare.

In media, un'identificazione viene completata entro 2 minuti.

Tenere la fotocamera in alto in modo che l'intero documento di identità venga catturato dal ritaglio (ancora sfocato se necessario). Avvicina lentamente la fotocamera al badge e ricomincerà a mettere a fuoco.

Le agenzie RA agiscono per conto dell'ufficio di registrazione di Swisscom. Oltre ai doveri di un'attenta esecuzione delle attività del registro, anche la protezione dei dati è una priorità. I principi di protezione dei dati di cui all'art. 28 DSGVO, che si riflettono in forma precisa nelle misure tecnico-organizzative (TOM) nel contratto di Agenzia RA. Si basano su 2 sezioni dell'art. 28, che riflettono l'utilizzo dell'app sul dispositivo mobile:

• La misura deve “assicurare la capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi al trattamento nel lungo periodo” e
• Includere una procedura per il riesame, la valutazione e la valutazione periodici dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
• Il responsabile del trattamento e il responsabile del trattamento adottano misure per garantire che le persone fisiche sotto la loro autorità che hanno accesso ai dati personali li trattino solo su istruzione del responsabile del trattamento, a meno che non siano obbligati a farlo dal diritto dell'Unione o nazionale.

Ciò significa che oltre all'utilizzo di dipendenti accuratamente selezionati e formati, deve essere garantita la protezione dell'app sul dispositivo mobile e anche la protezione degli accessi. I dispositivi sono adeguatamente protetti dai virus? Sarà vietato scaricare programmi da altri app store che non offrono una protezione sufficiente? I dipendenti mantengono segreti i propri PIN e password? I dispositivi non sono rootati?

Il compito più importante dell'agente RA è l'esame rigoroso dei documenti di identità presentati e in particolare la verifica rigorosa delle informazioni di campo lette dall'OCR dalla carta d'identità / passaporto nonché la corretta registrazione del numero di cellulare.

In base alle leggi sulla protezione dei dati, non offriamo alcun contratto di agenzia RA con agenzie RA al di fuori delle giurisdizioni menzionate. Gli agenti RA che lavorano in giurisdizioni diverse da SEE/EU/CH non devono identificare le persone residenti in SEE/EU/CH.

Non sono necessarie istruzioni speciali, perché il processo è esattamente lo stesso di un’identificazione “live” con RA App. La modalità demo è descritta nella formazione di base per gli agenti RA.

Puoi accedere alla modalità demo della RA App effettuando il login con le seguenti informazioni:

• Numero di cellulare: +41123456789
• Nome azienda: demo

Corretta. Se una persona non ha un documento d'identità o un passaporto leggibile dalla macchina, non può essere identificata con l'app RA per la firma elettronica e quindi non può utilizzare il signing service.

No. È vietato scansionare copie di documenti di identità o passaporti con la RA App. Il motivo è che le funzionalità di sicurezza non possono essere verificate su una copia.

No, questo non è consentito. La RA App è stata certificata per l'identificazione faccia a faccia e di conseguenza può essere utilizzata solo nel contatto personale.

Poiché Mobile ID è un metodo di autenticazione personale, l'utente deve attivarlo lui stesso. L'utente deve sempre attivare Mobile ID prima dell'identificazione con RA App o Smart Registration Service in modo che l'utente possa utilizzare Mobile ID come metodo di autenticazione per la firma. L'utente deve seguire le istruzioni alla voce di menu di www.mobileid.ch “MY MOBILE ID”. L'utente può anche trovare una FAQ dettagliata sul sito web Mobile ID

Avvisate il vostro agente RA-Master e chiedetegli di cercare nel portale il numero di cellulare. Puoi inviare nuovamente l'SMS con le condizioni di utilizzo cliccando sul link con il simbolo PDF:

Assicurati di non aver registrato la persona nella modalità demo dell'app RA (numero di cellulare +41001234567, azienda “demo”).

Controllare la pagina Stato del servizio ( https://trustservices.swisscom.com/service-status/ ) per vedere se ci sono errori. Se non arriva alcun SMS dopo un altro tentativo, informare l'assistenza.

Se sei già registrato (con l'app RA o il Smart Registration Service), devi osservare quanto segue:

• Se hai confermato i termini di utilizzo con PWD/OTP durante l'identificazione, hai definito questo metodo come metodo di dichiarazione di volontà. Ora, se abiliti l'app Mobile ID come metodo, non potrai più firmare finché non sarai stato identificato.
• Se utilizzi già Mobile ID su SIM card e desideri utilizzare l'app Mobile ID, devi utilizzare il codice di ripristino all'attivazione o per autenticarti con la SIM Mobile ID all'attivazione e non attivare come “nuovo Mobile ID”. In caso contrario, anche questa app verrà considerata come un nuovo metodo di dichiarazione di volontà e dovrai essere nuovamente identificato.
• Lo stesso accade al contrario se si desidera passare da un'app Mobile ID installata alla scheda SIM Mobile ID.

Il messaggio di errore tipico in tal caso è un messaggio di errore con "mancata corrispondenza seriale".

Lo Smart Registration Services tenta 5 volte in tutti e 3 i giorni di inviare nuovamente l'SMS. Solo se tutti i tentativi falliscono dopo 15 giorni è necessaria una reidentificazione.

Se non hai già accettato i termini di utilizzo c'è sempre la possibilità di negare i termini di utilizzo. Se hai accettato i termini di utilizzo e hai utilizzato anche il nostro servizio, dobbiamo registrare il tuo registro di utilizzo e i dati di registrazione per un periodo di conservazione di 35 anni nell'UE e 11 anni in Svizzera. Ma potresti facilmente smettere di emettere firme elettroniche.

Con il metodo password/codice SMS purtroppo non c'è possibilità di recupero; un utente deve in ogni caso essere re-identificato dopo aver cambiato la sua password.

In Svizzera, per impostazione predefinita, passiamo Mobile ID alla modalità fallback PWD/OTP se la scheda SIM non è abilitata per Mobile ID. Nella sala eIDAS lavora di default con l'App Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id/id1500393675 ), ma possiamo anche abilitare PWD/OTP.

L'app Mobile ID si basa sull'interfaccia Mobile ID, che offre anche l'autenticazione con impronta digitale o riconoscimento facciale. Questa app richiede solo una connessione Internet durante l'autenticazione e può quindi essere utilizzata a livello internazionale. Tuttavia, per la configurazione dell'app è ancora necessaria una carta SIM internazionale (numero di cellulare). Vedi https://mobileid.ch .

In generale sono possibili anche altri metodi di autenticazione, ma questi devono essere approvati da KPMG. Ciò richiede la firma di un contratto di supporto onboarding, che regola il concetto di implementazione e l'esecuzione dell'audit. I nuovi metodi devono essere autorizzati separatamente per ZertES e eIDAS.

Sfortunatamente no. Hai un nuovo mezzo di autenticazione che inizialmente non è stato registrato con l'identificazione. Vale a dire che devi essere identificato di recente utilizzando il MobileID.

Nessuna garanzia, ma dovrebbe funzionare quasi ovunque – si può avere una visione più approfondita di questa panoramica:

https://www.swisscom.ch/it/residenziale/piani-tariffe/inone-mobile/roaming.html

(Vai a "Verifica tariffa", seleziona un tipo di contratto modello di abbonamento arbitrario e il paese)

Con l'app MobileID come mezzo di autenticazione, sei indipendente dall'invio degli SMS.

Il servizio viene fornito fondamentalmente ai residenti nell'UE/SEE e in Svizzera con numeri di cellulare di questi paesi. La ricezione su numeri di cellulare di altri paesi potrebbe non funzionare o potrebbe essere impedita da vari paesi. Nell'ambito di un progetto, Swisscom può essere incaricato di garantire la ricezione in questi paesi tramite speciali provider di SMS.

Per la firma qualificata è necessaria un'autenticazione a 2 fattori: “possesso” e “conoscenza”, cioè solo il possesso (SMS) non è sufficiente.

No, OTP è sufficiente per le firme avanzate.

La perdita della password porta a una nuova identità digitale. I fornitori di applicazioni possono reagire a questo e, se necessario, richiedere una nuova identificazione del firmatario, ad esempio con l'App RA.

Poiché entrambe le modalità richiedono il segreto oltre al possesso del numero di telefono, una volta che il numero di telefono è stato trasferito, nessuna firma per l'identità digitale preesistente può essere attivata. Ciò significa che la persona deve essere nuovamente identificata.

Poiché un numero di rete fissa non può essere praticamente assegnato a una persona, ciò non è possibile. L'SMS ha lo scopo di garantire che venga contattato qualcosa che è esclusivamente e senza eccezioni assegnato alla persona che firma il documento.

I dispositivi moderni sono dotati di WIFIchiamata. Questi possono essere utilizzati anche per accedere a una zona WIFI. Senza Internet, tuttavia, le firme remote non sono possibili.

Nel caso di un MobileID, puoi utilizzare un codice di ripristino per trasferire il MobileID alla nuova SIM ( https://www.mobileid.ch/it/login ). Nel caso di PWD/OTP e lo stesso numero di telefono, rimane anche l'opzione di autenticazione.

MobileID è sempre configurato in combinazione con una soluzione di fallback PWD/OTP, ovvero viene inviata automaticamente una finestra di password. Puoi attivare il tuo MobileID sulla piattaforma https://mobileid.ch . Se l'app MobileID viene utilizzata e attivata, viene utilizzata l'app MobileID.

Nel caso standard, dopo l'identificazione, il cliente riceve prima le condizioni di utilizzo per il servizio di firma di Swisscom. Il cliente lo conferma e quindi attiva una prima firma di queste condizioni, nell'ambito delle quali può anche definire la password per la prima volta. La cosiddetta "autenticazione step-up".

Per impostazione predefinita, attualmente Swisscom offre solo questi metodi. Tuttavia, l'estensione sarà elaborata in futuro, in modo che i metodi biometrici possano essere possibili anche se l'approvazione è stata concessa. Inoltre, Swisscom accompagnerà facoltativamente il cliente se desidera utilizzare una soluzione verificata per consentire una firma aggiuntiva presso l'autorità di riconoscimento. Saranno sostenuti costi aggiuntivi.

La base dell'autenticazione a 2 fattori è il fatto che entrambi i fattori devono essere registrati in relazione all'autenticazione, ovvero non può essere scelta alcuna password che conosca solo l'applicazione dell'abbonato, ma l'abbonato stesso è stato identificato con RA-App. Tale eccezione potrebbe essere immaginata solo se il partecipante stesso effettua un'identificazione autorizzata per delega della RA e inoltre progetta la procedura di autenticazione in modo tale che entrambi i fattori (login, rilascio SMS) siano effettuati in una breve sessione. Sia la propria procedura di identificazione che questa procedura di sessione devono essere descritte dettagliatamente in un concetto di implementazione e richiedono un'autorizzazione da parte di Swisscom e dei suoi revisori. Qui vengono sostenuti costi aggiuntivi.

Se sei stato identificato e hai utilizzato in precedenza PWD/OTP:

• Se vuoi usare l'app Mobile ID, devi identificarti nuovamente
• Se desideri utilizzare Mobile ID (numero di cellulare svizzero), devi identificarti nuovamente

Se sei stato identificato e hai utilizzato in precedenza Mobile ID:

• Se ora vuoi utilizzare l'app Mobile ID (questo sarà possibile solo su una carta SIM che non supporta Mobile ID) e utilizzare il codice di ripristino di Mobile ID, puoi continuare a firmare
• Se attivi l'app SENZA codice di recupero, devi essere nuovamente identificato
• Se vuoi usare PWD/OTP, devi essere nuovamente identificato

Se sei stato identificato e finora hai utilizzato l'app Mobile ID:

• Se ora desideri utilizzare il Mobile ID della carta SIM (questo sarà possibile solo su una carta SIM svizzera) e utilizzare il codice di ripristino dell'app Mobile ID, puoi continuare a firmare
• Se attivi il Mobile ID della SIM SENZA codice di ripristino, devi essere nuovamente identificato
• Se vuoi usare PWD/OTP, devi identificarti nuovamente

Ciò significa che Mobile ID e Mobile ID App sono metodi di autenticazione coordinati, PWD/OTP è un metodo di autenticazione completamente diverso. La firma remota richiede sempre che i mezzi di autenticazione siano inclusi durante la registrazione (cioè durante l'identificazione). Pertanto, in alcuni casi, sarà necessaria una nuova identificazione.

In qualità di agente RA, dovresti informare Swisscom tramite la pagina di supporto nel caso in cui il telefono cellulare non fosse adeguatamente protetto da attacchi dannosi (come password con 8 caratteri, ecc.) o se fossi ancora loggato in RA App poiché potrebbero verificarsi gravi problemi di protezione dei dati . In caso di firme dovresti cancellare la tua carta SIM, eventualmente modificare i tuoi dati di accesso e smettere di apporre firme fino a quando non ricevi la tua nuova carta SIM.

Swisscom non è in grado di garantire sufficientemente la ricezione dell'SMS. L'unico fattore di responsabilità di Swisscom è l'invio dell'SMS il più rapidamente possibile. Né le condizioni di ricezione del segnale mobile né le prestazioni del partner di roaming interno o esterno possono essere controllate e si basano su contratti e standard di telecomunicazioni internazionali

L'uso del nome del mittente come “Swisscom” o simili sarebbe utile per il destinatario. Ma in effetti abbiamo sperimentato che tali SMS sono spesso trattati come SMS di spam dai nostri partner di roaming.

Sì, dopo 5 anni anche le persone identificate per le firme anticipate devono essere nuovamente identificate. Tuttavia, per le firme avanzate è sufficiente che la carta d'identità fosse valida al momento dell'identificazione. Se questo scade entro i 5 anni, non è necessaria una nuova identificazione. Per le firme qualificate, invece, un documento d'identità è valido finché la carta d'identità era valida o per un massimo di 5 anni dopo tale identificazione. In casi speciali, ad esempio quando viene utilizzata l'identificazione bancaria, la validità di un'identificazione può anche essere limitata a un periodo inferiore a 5 anni se la normativa lo richiede.

Sì, questo è l'unico compito dell'applicazione dell'abbonato, che quindi invia ripetutamente l'hash con la richiesta di firma all'All-in Signing Service. È possibile generare un numero qualsiasi di firme per lo stesso documento digitale.

Sì, ma ciò richiede 2 canali di comunicazione e impostazioni, ovvero la firma deve essere prima autenticata dalla persona che firma tramite un canale (on demand) e poi firmata in modo organizzativo (con certificato statico creato in precedenza) da un certificato di autenticazione SSL tramite un secondo canale.

Sì, più documenti possono essere firmati con un'approvazione all'interno di una sessione. Al massimo ca. 250 firme.

Le firme XML secondo lo standard XADES possono essere fatte sulla base di sigilli ma non di firme personali (al momento). Nel client devi preparare lo standard XADES: deve essere implementata la chiamata di una "firma semplice".

Per le firme nell'area legale svizzera: www.validator.ch (Attenzione, il validatore non è sempre aggiornato). Per le firme nell'area giuridica dell'UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

Va notato che i validatori dell'UE sono lungi dall'essere armonizzati. Ciò significa che i portali di test possono presentare una firma elettronica qualificata come "non valida", anche se soddisfa i requisiti per la datazione eIDAS. L'UE sta lavorando all'armonizzazione.

È possibile convalidare solo le firme QES. Non ci sono validatori per le firme AES.

Devono essere aperti due account utente (ClaimedIdentity), ogni account è correlato al rispettivo tipo di firma, ovvero l'applicazione partecipante deve decidere su quale account inviare una richiesta di firma. Entrambi gli account possono essere indirizzati tramite un'interfaccia, ovvero lo stesso endpoint. È prevista una commissione di servizio per account. A fine mese vengono emesse 2 fatture. Pertanto devono essere presentati 2 contratti di servizio con 2 diverse dichiarazioni di configurazione e accettazione. Se hai 2 aree legali e 2 tipi di fatturazione, hai ancora solo un'interfaccia (tecnica), ma 4 punti di interfaccia di accesso al servizio e da questo 4 volte una commissione di servizio. Raddoppia nuovamente a 8 ClaimedID, se entrambi i livelli di firma (QES/AES) sono pianificati con entrambi i tipi di fatturazione ed entrambe le giurisdizioni.

Sì, ad esempio:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

Molti esempi sono disponibili anche sulle pagine dei nostri partner: https://trustservices.swisscom.com/partner

In linea di principio, una marca temporale memorizza anche la zona (l'offset). A questo proposito, tutti i programmi locali mostreranno l'ora locale effettiva.

In linea di principio, Swisscom fornisce un hash firmato e quindi supporta i formati PADES (PDF) e, nel caso di certificati di organizzazione, i formati XADES (XML). I file di Word non sono firmati e non sono destinati a questo scopo per legge.

No

No, esiste solo un timestamp comune.

Principalmente sì. In caso di utilizzo del cognome e del nome, deve essere esattamente lo stesso che si trova nella carta d'identità o nel passaporto. Ma se questo è difficile da implementare, la funzionalità del modello può supportare ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Questa funzione consente di rilevare esattamente il nome e il cognome utilizzati durante l'identificazione in combinazione con il servizio RA (SRS).

Swisscom è inoltre in grado di configurare il servizio in modo che venga utilizzato solo uno pseudonimo al posto del cognome e del nome. Inoltre il “Common Name” (CN) potrebbe essere utilizzato con i nomi solitamente usati per questa persona (indipendentemente dal documento di identità). La chiamata di verifica del RA-Service verifica in questo caso il numero di cellulare utilizzato durante l'identificazione e il paese. L'uso dello pseudonimo in verificareCall è indipendente dall'uso dello pseudonimo nella chiamata di richiesta di firma.

Sì, sul mercato sono disponibili diverse librerie che consentono una rapida implementazione di un'applicazione di firma. Tutti hanno anche un supporto speciale per Swisscom Service:

• Intarsys, Germania : fornisce varie soluzioni per la gestione e l'integrazione delle firme: https://www.intarsys.de/produkte/fernsignatur

Intarsys è un partner premium di Swisscom e conosce molto bene il servizio AIS dal punto di vista tecnico e può fornire supporto di consulenza.

• PDF-Tools, Svizzera : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Belgio : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom utilizza iText nei suoi esempi, ma gli esempi sono "obsoleti", ovvero alcune funzionalità sono cambiate. Ma la gestione di base può essere vista lì: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Germania : alcuni clienti utilizzano SetaPDF, che offre anche una soluzione speciale per Swisscom Service: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Svizzera (Skribble.com): https://api.skribble.com/swagger-ui.html

Swisscom declina ogni responsabilità per il funzionamento senza errori di queste biblioteche. Questi possono contenere errori e richiedere conoscenze e competenze speciali. L'utilizzo è a rischio e pericolo dell'abbonato.

Vedi https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

È disponibile una modalità di prova e demo che consente di provare l'app, ma non vengono trasmessi dati. A tal fine è necessario inserire nel modulo di registrazione il numero di cellulare +41001234567 e la ragione sociale “demo”.

No. Swisscom richiede addirittura che, quando lo schermo PWD/OTP è integrato come "iFrame", una persona esterna possa verificare che provenga da Swisscom. Ad es. è possibile utilizzare le funzioni standard del browser che Swisscom pubblica tramite il collegamento al proprio sito Web in conformità al capitolo 4 delle condizioni di utilizzo. Per l'integrazione iFrame, dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Non c'è supporto per lo screen scraping come interfaccia. Developers potrebbe trovarsi di fronte al fatto che le schermate verranno cambiate. È anche in contraddizione con l'attuazione del "controllo esclusivo" tra il firmatario e il certificato di firma.

Sì, ma solo come iFrame, le istruzioni possono essere trovate qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, vedere https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sì, come descritto nella Guida di riferimento ( www.swisscom.com/signing-service ) in «Metodo Step-Up» nel campo «Messaggio», il blocco di testo con l'intestazione del messaggio per l'espressione dell'intenzione e la l'impostazione con “Lingua” può essere configurata nell'ambito del protocollo. Per la finestra di inserimento SMS la lingua può essere impostata anche con il parametro “Lingua”.

Il prerequisito per l'installazione è una "dichiarazione di configurazione e accettazione" firmata dal cliente e verificata dall'autorità di registrazione globale. Tale dichiarazione contiene gli obblighi del gestore di una domanda di firma (es. la possibilità di esibire il documento completo da sottoscrivere, garantire l'accesso al servizio), ma anche le caratteristiche del servizio.

Un altro prerequisito è un certificato di accesso, che assicura la comunicazione dell'applicazione di firma al servizio di firma.

Dopo aver verificato il documento, il nostro Servizio di Setup riceve l'ordine di attivazione del servizio con il certificato di accesso inviato e la specifica selezionata nella configurazione e dichiarazione di accettazione. Nel caso di firme qualificate, il servizio viene inizialmente attivato solo per le firme “avanzate”. Successivamente, al contatto indicato nella dichiarazione di configurazione e accettazione viene richiesta una firma di esempio con la firma avanzata. Se questo è impeccabile, il servizio viene commutato al livello "qualificato" se richiesto. Anche il cliente sarà informato di questo. Ora ha 10 giorni per segnalare eventuali irregolarità direttamente al team di installazione. Se non si ricevono reclami durante questo periodo, la connessione al servizio è accettata. Ulteriori incidenti possono quindi essere segnalati a Swisscom tramite 1st Level Support in caso di contatto diretto con Swisscom o con il partner di rivendita.

Il certificato di accesso può essere un certificato autofirmato. Ad esempio con il software openssl.

Requisiti per il nome distinto:

• CN=<URL del sistema dell'abbonato che effettua la comunicazione con AIS o altra identificazione univoca del sistema dell'abbonato>
• O=<Nome dell'organizzazione>
• Email=<E-Mail per notifica ad es. in caso di fine validità>
• C=<Paese dell'organizzazione>

I seguenti requisiti aggiuntivi devono essere presi in considerazione durante la preparazione del certificato:

• Durata massima 3 anni
• Algoritmo hash minimo SHA-256
• Lunghezza chiave minimo 3072 bit

Per i certificati di accesso valgono ancora condizioni speciali nell'ambito della creazione del sigillo regolamentato (ZertES) o qualificato (eIDAS): la chiave privata del certificato di accesso deve essere creata su un modulo crittografico in una cerimonia congiunta di un rappresentante dell'autorità di registrazione di Swisscom. Questo modulo deve soddisfare i requisiti di FIPS 140-2 livello 2 o simili, ad esempio Yubikey, Feitan key o Microsoft Key Vault. In alternativa, può essere presentato un concetto su come ottenere in altri modi l'assegnazione del certificato di accesso alla persona responsabile dell'organizzazione.

Nel caso di un sigillo, oltre alla dichiarazione di configurazione e accettazione da parte dell'operatore della piattaforma di firma, richiede anche una richiesta di certificato per il certificato di sigillo, un certificato dell'organizzazione. A differenza del certificato per la firma personale, il certificato di sigillo è rilasciato per tre anni. La domanda di certificato deve essere firmata da persone autorizzate dell'organizzazione. L'autorizzazione può risultare dal registro (es. procura) oppure può essere anche una procura speciale, rilasciata ad esempio per gli operatori del centro di calcolo. Swisscom ha bisogno della prova di questa procura. Queste persone vengono inoltre identificate personalmente in anticipo da un rappresentante dell'ufficio di registrazione di Swisscom tramite RA-App. Potrebbe trattarsi anche, ad esempio, di un agente RA di un rivenditore che ha effettuato l'identificazione personale. Ciò consente alla persona di firmare la domanda utilizzando una firma elettronica. La domanda viene inviata a Swisscom senza firma e Swisscom invita le persone a firmare elettronicamente. I passaggi successivi ora differiscono a seconda del tipo di sigillo:

Firma avanzata: il richiedente invia a Swisscom un certificato SSL, che desidera utilizzare come certificato di accesso per l'interfaccia al sigillo.

Firma qualificata/regolamentata: il richiedente concorda con Swisscom una data per la creazione congiunta di una chiave privata. Questo deve essere creato su un dispositivo crittografico basato sulla qualifica FIPS 140-2 livello 2 o simile (es. Yubikey, Feitan Key, Key Vault HSM Microsoft, ecc.) Viene quindi creato un certificato di accesso basato su questa chiave. Cioè per il processo di firma l'accesso deve essere rilasciato per mezzo di questo certificato. In alternativa, può essere presentato un concetto su come l'assegnazione del certificato di accesso al responsabile dell'organizzazione può essere ottenuta in altri modi.

L'incorporamento di hash firmati dovrebbe essere compito degli specialisti PDF o delle librerie corrispondenti. Lo spazio per la firma deve essere precalcolato. Dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La seguente soluzione può fornire una soluzione. Lo presentiamo qui senza garanzia, poiché Swisscom si concentra solo sul servizio e non sulla richiesta di firma:

• Crea un PDF con un campo firma vuoto e precompilato
• L'intervallo di byte deve essere riempito con zeri fino alla dimensione prevista
• Calcola l'hash del documento
• Firma l'hash con All-in Signing Service
• Riempi l'hash firmato nel campo della firma vuoto
• Iterare nel campo della firma vuoto
• Determinare l'intervallo di byte del campo firma vuoto
• Calcola l'offset dell'intervallo di byte
• Apri il documento con il campo della firma vuoto in modalità lettura-scrittura e trova l'offset in cui è stato inserito l'hash

È anche molto importante seguire le linee guida per lo standard PADES e la convalida a lungo termine: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Nei parametri restituiti della Verifica Call viene restituito il cosiddetto “seriale”. Se inizia con "SAS" (cioè SASxxxxxxx), il cliente utilizzerà l'autenticazione PWD/OTP. Se inizia con “MID” (cioè MIDxxxxxx), il cliente utilizza la procedura Mobile ID. Tuttavia, non è possibile distinguere tra Mobile ID App e Mobile ID SIM Card.

Tuttavia, i risultati possono essere utilizzati, ad esempio, per fornire al cliente speciali testi di aiuto (ad es. se la password viene dimenticata, ecc.) o per fare riferimento alla dichiarazione di volontà sul telefono cellulare.

VerificaCall ti consente di verificare se un firmatario è già registrato o meno. Se scegli lo pseudonimo ti serviranno solo il numero di cellulare e il paese del firmatario. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS#1 è supportato solo per il formato e i sigilli CADES, ma non per le firme personali.

No, solo PADES/CADES per i sigilli e PADES per le firme personali.

Supporta Swisscom nella ricerca di un nome per il ClaimedID (accesso a signing service).

Sì, basta spuntare la casella di controllo appropriata.

Al momento stiamo ampliando le nostre capacità con altri algoritmi (pre-generazione di chiavi) ed espansione HW. Poiché più clienti utilizzano il servizio, assumiamo un carico massimo di una richiesta al secondo in media per cliente. Prestazioni più elevate, ovvero capacità riservate sono facoltativamente possibili.

È limitato a 250 per motivi di sicurezza piuttosto che per la capacità del servizio.

Tieni presente che abbiamo installato un WAF per proteggere nuovamente il nostro servizio dagli attacchi denial-of-service. Se desideri eseguire alcuni test di massa, ti preghiamo di contattarci in anticipo.

La firma deve essere sottoscritta con una dichiarazione di volontà (autorizzazione) di Mobile ID (SIM/App) o PWD/OTP. Dopo aver inviato la richiesta, l'utente ha solitamente 80 secondi per inserire l'autorizzazione. Il valore non è regolabile.

Ogni firma viene calcolata individualmente, ovvero in questo esempio vengono calcolate 5 firme.

No, sono offerti tramite due diversi ClaimedID e verranno fatturati in modo indipendente.

Swisscom non addebita alcun costo per l'invio di Mobile ID o SMS. A seconda della tariffa del partner di roaming, possono essere sostenuti costi per il roaming (cosa che accade molto raramente, ad esempio sulle crociere).

Qui devono essere aperti due account utente (ClaimedIdentity), ogni account è collegato con un metodo di fatturazione. Ciò significa che l'applicazione dell'abbonato deve decidere da sola quale account utilizzerà per inviare una richiesta di firma. È prevista una commissione di servizio per account. A fine mese vengono emesse 2 fatture.

Non ci sono costi per questi mesi.

In caso di firma remota, Swisscom conserva e gestisce in modo fiduciario le chiavi dei certificati di firma. In caso di firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. I certificati aziendali per i sigilli sono validi fino a 3 anni. Secondo la legge, la chiave privata deve essere archiviata su un dispositivo di creazione della firma (qualificato). La memoria per questo è un dispositivo progettato principalmente per l'archiviazione delle chiavi, l'HSM (Hardware Security Module). È soggetto a una severa regolamentazione, auditing, in termini di standard di sicurezza e accesso a questo dispositivo. Le firme nell'UE e in Svizzera sono soggette a standard di sicurezza particolarmente elevati, disponibili solo da pochi produttori di HSM in tutto il mondo.

Ci sono progetti in cui Swisscom si affida a procedure di identificazione legalmente riconosciute e verificate con terze parti. Un tipico esempio è una banca che effettua un'identificazione della presenza di una persona come parte del suo processo KYC. In questo caso Swisscom riceve una copia dei dati della banca per i propri scopi commerciali (firma). L'elaborazione dei dati dell'ordine non è necessaria qui, poiché ci sono due parti responsabili dei dati. Al contrario, anche qui non si applica il principio di titolarità congiunta del GDPR, poiché la reattività dei dati non serve allo stesso scopo commerciale ed entrambe le parti non agiscono in modo responsabile nel senso di uno scopo commerciale comune. La banca agisce per il suo scopo commerciale, ad es. l'apertura di un conto, e Swisscom persegue il suo scopo commerciale con l'emissione di firme. Tuttavia, in questo caso i nostri contratti di “delega attività anagrafica” contengono anche un minimo di disposizioni su come procedere in materia di protezione dei dati e GDPR.

Swisscom è obbligata per legge a registrare i dati personali per la firma. È quindi responsabile di questi dati. Ciò significa che Swisscom non può svolgere il ruolo di responsabile del trattamento dei dati, anche se riceve, ad esempio, i dati dei dipendenti da un'azienda cliente per la firma. Swisscom ha un mandato legale come quello delle telecomunicazioni o dei fornitori di servizi postali. Swisscom ha inoltre un rapporto contrattuale legale con i firmatari delle condizioni di utilizzo. In questo accordo, il firmatario accetta anche l'uso dei dati.

Con l'App RA, Swisscom trasferisce la registrazione dei dati di identità a un fornitore di servizi esterno, indicato nei contratti come «Agenzia RA». Il GDPR richiede in questo caso un contratto di elaborazione degli ordini. L'agenzia RA deve pertanto ottemperare agli obblighi di elaborazione dei dati dell'ordine.

Anche in progetti puramente svizzeri è richiesto il rispetto dell'elaborazione dei dati degli ordini GDPR. Ci sono due ragioni per questo:

• Da un lato, raramente si può garantire che le persone identificate in Svizzera non siano cittadini dell'UE soggetti al principio del mercato del GDPR,
• D'altro canto, l'app RA non può essere utilizzata in modo tale da identificare solo persone per la Svizzera, ovvero l'elaborazione dei dati dell'ordine avviene sempre anche per Swisscom IT Services Finance SE a Vienna.

I requisiti in materia di protezione dei dati da dimostrare e verificare si applicano anche alle attività dell'autorità di registrazione, compito di un prestatore di servizi fiduciari e di un prestatore di servizi di certificazione. Pertanto, l'app RA come parte del processo di registrazione deve garantire la protezione dei dati e la privacy. La stessa RA-App non memorizza i dati personali in modo permanente. Neanche i dati possono essere esportati. Non appena completata l'identificazione, i dati vengono trasferiti sottoscritti dall'agente RA come cd evidenze. Queste prove vengono archiviate presso il servizio RA di Swisscom in condizioni di sicurezza rigorose (ad es. accesso a 4 occhi). Solo poche persone hanno accesso a questi dati e possono trasmetterli solo in base a un'ingiunzione del tribunale o possono controllare la qualità dell'identificazione. Secondo la legge, Swisscom è responsabile illimitatamente per la corretta esecuzione della firma e quindi anche per l'identificazione.

Gli Agenti Master RA hanno accesso web ad un portale nel quale possono visualizzare tutte le persone identificate dagli Agenti RA con cognome, nome, data di scadenza del documento di identità e numero di cellulare. I documenti di identità e le foto (cd “prova”) non sono accessibili né esportabili.

Nell'ambito degli audit in corso, Swisscom deve garantire che siano rispettati tutti i severi requisiti di protezione dei dati necessari per l'emissione di firme digitali, sia nei confronti dell'autorità di certificazione in Svizzera sia nei confronti dell'organismo di valutazione della conformità in Austria. Ciò significa che, oltre all'autodichiarazione, i fornitori di servizi fiduciari e i servizi di certificazione sono obbligati dalla legislazione e dagli standard internazionali applicati, come ETSI 319 401, a dimostrare e ad aver verificato un'adeguata protezione dei dati per tutti i dati personali.

La Svizzera non è nell'UE e quindi non ha introdotto una legislazione dell'UE, il cosiddetto regolamento generale sulla protezione dei dati (GDPR). In realtà, il GDPR è applicabile anche se le società hanno sede in Svizzera e offrono servizi nell'UE.

Swisscom è quindi soggetta agli stessi obblighi di trattamento dei dati di tutte le altre organizzazioni che devono conformarsi al GDPR:

• ottenere il consenso della persona i cui dati sono trattati
• Garanzia "Privacy by design" e "Privacy by default"
• nominare un rappresentante per la protezione dei dati
• creare un elenco delle attività di trattamento
• segnalare le violazioni della protezione dei dati all'autorità di controllo
• condurre una valutazione dell'impatto sulla privacy

Tutte le applicazioni che riguardano la protezione dei dati e vengono utilizzate per l'elaborazione dei dati, ad esempio anche l'App RA devono essere conformi al GDPR. Swisscom fornisce informazioni al riguardo nelle sue pagine:

Svizzera: www.swisscom.com/signing-service

Austria: www.swisscom.at

con le corrispondenti dichiarazioni sulla protezione dei dati secondo GDPR.

La Svizzera è sempre stata ed è considerata un Paese terzo sicuro ai sensi dell'art. 45 GDPR (trasferimento dati basato su decisione di adeguatezza), ovvero non sono necessarie le consuete autorizzazioni come con altri paesi terzi (es. USA). Grazie alla sua legge sulla protezione dei dati e al continuo adeguamento al GDPR, la Svizzera dispone di un "livello di protezione adeguato per il trasferimento di dati personali" in conformità con i criteri dell'UE, ovvero deve essere trattata come un paese dell'UE durante il trasferimento dei dati:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Il Distinguished Name contiene il nome, il cognome e il paese di nascita/registrazione o il paese di origine della persona, oppure uno pseudonimo con un numero di serie che può essere ricondotto in modo univoco a una persona dall'anagrafe. I nomi delle organizzazioni sono consentiti solo in casi speciali

Sì, si distingue se i firmatari hanno accettato le condizioni d'uso della Svizzera o dell'UE o di entrambe. Tutti i dati vengono elaborati anche da Swisscom (Schweiz) AG per Swisscom IT Services Finance SE a Vienna.

In caso di certificati personali, Swisscom emette solo certificati a breve termine (i cosiddetti certificati «one-shot») che hanno una durata di 10 minuti e vengono utilizzati solo per una richiesta di firma. La probabilità che il certificato sia stato compromesso durante questi 10 minuti è praticamente inesistente. Dopodiché il certificato non è valido e non può essere compromesso. Grazie alla convalida a lungo termine, le firme con questo certificato rimangono valide e possono essere convalidate anche per periodi di tempo successivi alla scadenza.

Se l'intera CA (ossia il certificato radice) della certificazione e del servizio fiduciario è stata compromessa, esiste un processo che Swisscom descrive nel suo CP/CPS (vedi Area download – Repository).

Se un firmatario perde il suo supporto di autenticazione o scopre che la sua identità è stata determinata in modo errato, il nostro team di supporto deve essere informato immediatamente. In un rapporto contrattuale con uno dei nostri partner, contatta il partner con cui hai fornito la tua firma o identificazione. Adotterà quindi ulteriori misure per bloccare questa identificazione. Se un certificato di sigillo è stato compromesso, utilizzare i dati di contatto forniti su https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

Svizzera (QES), ZertES:

Il CP/CPS prevede che l'identificazione e la documentazione conservata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta d'identità/passaporto presentata scade prima del quinquennio o se la procedura di identificazione da parte del il revisore non concede 5 anni.

Si applica il periodo di conservazione ai sensi dell'articolo 11.1 dell'ordinanza del SigE/ZertES (rivista delle attività): "I fornitori riconosciuti conservano le registrazioni relative alle loro attività e i documenti giustificativi ad esse relativi per undici anni". Swisscom intende questo periodo anche come un periodo di conservazione per i documenti presentati nel processo di identificazione, in particolare una copia dell'ID.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso, il che significherebbe che Swisscom non avrebbe più documentazione in casi specifici, in particolare nell'applicazione dell'articolo 17 del SigE/ZertES (responsabilità illimitata).

• In sintesi il tempo di archiviazione è di 17 anni, che sono indicati anche nelle condizioni di utilizzo.

Europa, (QES), eIDAS:

Questa è la stessa giustificazione e derivazione del caso del QES in Svizzera, solo con la differenza che in Austria il periodo di conservazione legale è di 30 anni. L'articolo 10.1 della SVG (firma e Trust Services Act) prevede:

Diritti di accesso e periodo di conservazione

10. (1) Su richiesta di tribunali o altre autorità, un TSP qualificato concede l'accesso alla documentazione ai sensi dell'articolo 24, paragrafo 2, lett. h eIDAS-VO e il suo database dei certificati.

(2) […].

(3) La documentazione è fornita dal TSP abilitato per 30 anni, calcolati dalla data del certificato qualificato inserito al termine della validità o, in mancanza, 30 anni dalla data in cui le informazioni rilevanti sui dati rilasciati e ricevuto dalla VDA qualificata nel corso della sua attività.

• In sintesi, il tempo di archiviazione è di 36 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Firme avanzate (eIDAS, ZertES)

Il CP/CPS prevede che l'identificazione e la documentazione archiviata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta presentata scade prima del quinquennio o se la procedura di identificazione non consente 5 anni.

Non ci sono periodi di conservazione legali nell'area di AES, poiché i periodi di conservazione non sono regolati dalla legge. Tuttavia, gli standard ETSI prevedono un periodo di 7 anni. Queste informazioni sono derivate dalla Direttiva ETSI EN 319 411-01:

6.4.6 Archiviazione dei record

Si applicano i seguenti requisiti particolari:

NOTA: ETSI TS 101 533-1 [i.13] suggerisce disposizioni su come preservare gli oggetti di dati digitali.

a) Il TSP deve conservare quanto segue per almeno sette anni dopo che qualsiasi certificato basato su tali registrazioni cessa di essere valido:
i) log di tutti gli eventi relativi al ciclo di vita delle chiavi gestite dalla CA, comprese eventuali coppie di chiavi del soggetto

generato dalla CA (cfr. punto 6.4.5, punto g));

ii) documentazione come individuata al punto 6.3.4.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso.

• In sintesi, il tempo di archiviazione è di 13 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Le firme elettroniche possono essere presentate come prova nel contenzioso. Di norma, ad eccezione della firma qualificata, sono soggetti alla libera valutazione delle prove. Poiché le firme elettroniche "semplici" e "avanzate" sono difficilmente o solo approssimativamente definite dalla legge, è responsabilità del tribunale accettare o meno tale firma. La parte che intende presentare tali firme come valide deve fornire le relative prove. Nel caso di Swisscom, è utile che anche le firme avanzate siano soggette a un audit molto rigoroso secondo lo standard ETSI per le firme «NCP+» e che quindi tali rapporti di audit possano essere utilizzati. In caso di firma qualificata, si applica lo storno della prova. Poiché la firma qualificata è determinata con precisione dalla legge e, ad esempio, sia la Svizzera che l'Austria offrono validatori per la validità di tali firme sul web, queste firme sono considerate valide fino a quando una parte non dimostra il contrario e quindi dimostra anche che l'autorità di vigilanza o così come i revisori non hanno adempiuto ai loro obblighi. Dopo 11 anni in Svizzera o 35 anni in Austria, la prova può anche causare difficoltà nel campo qualificato, poiché i documenti per la registrazione devono essere distrutti. Tuttavia, la firma è ancora visibile come "qualificata".

Nell'ambito di una prova dopo molti anni, va anche notato che i documenti archiviati elettronicamente dovrebbero essere ripetutamente timbrati di volta in volta. Può succedere che gli algoritmi non siano più così robusti. Un timestamp sigilla il documento con gli algoritmi più recenti, proteggendo l'integrità del documento, comprese le firme.

Le firme eIDAS qualificate sono considerate "qualificate" solo nell'area UE (e SEE), e anche le firme ZertES/SigE sono considerate qualificate solo nella giurisdizione svizzera. Ciò significa che quando uno Stato terzo sceglie la legge, queste firme non possono più raggiungere il loro effetto “qualificato” o, se necessario, diventarlo. nemmeno riconosciuto.

Il modo in cui deve essere attuato tale scenario di “chiusura” è regolato dalla legge: il CP/CPS del servizio di certificazione o servizio fiduciario descrive le procedure esatte. Deve esistere un piano di chiusura e l'autorità di vigilanza notificata o l'UFCOM nomina di norma un successore che potrebbe offrire il servizio ai clienti. Questo successore riceverà di norma anche l'elenco di revoca dei certificati e quindi l'elenco di validità dei certificati, a condizione che Swisscom non li pubblichi direttamente. L'elenco continuerà a funzionare per anni, in modo che la validità delle firme possa continuare a essere verificata. Le prove sulle registrazioni per il servizio devono essere conservate secondo i periodi di conservazione anche dopo la disdetta oltre 11 o addirittura 35 anni, Swisscom o un successore designato deve istituire un sistema di archiviazione per questo, in modo che queste informazioni possano essere utilizzate anche nelle negoziazioni legali . Gli identificativi forniti non possono più essere utilizzati con un eventuale successore, ovvero in questo caso sono necessarie nuove registrazioni.

Dopo la risoluzione del contratto, i certificati di sigillo validi esistenti saranno revocati.

No.

L'esperienza ha dimostrato che i periodi di transizione possono durare da 3 mesi a 2 anni.

I periodi di conservazione per la verifica dell'identità e il giornale delle attività e quindi anche i periodi di prova sono 11 anni in Svizzera e 35 anni nell'UE. Swisscom utilizza generalmente lo standard di convalida a lungo termine di ETSI (LTV).

Convalida a lungo termine significa convalidare una firma in modo che rimanga valida per lungo tempo. La convalida LTV consente la convalida solo finché il certificato radice per il timestamp non è scaduto. Si consiglia pertanto di timbrare nuovamente i documenti prima della scadenza se si desidera conservare prove a lungo termine, in modo che l'integrità e la significatività della prova della firma continuino a essere garantite.

In linea di principio, anche i documenti PDF dovrebbero essere gestiti in archivi protetti. Tra 5, 10 o 20 anni può verificarsi una situazione in cui gli algoritmi di firma vengono "craccati", ovvero l'integrità o l'autenticità non possono più essere garantite. I buoni sistemi di archiviazione prevedono quindi dimissioni regolari, ad esempio con un timestamp, che utilizza sempre l'algoritmo più recente e quindi garantisce l'integrità del documento.

Il web offre diversi collegamenti con procedure ottimizzate per questo, ad es. “Archisig”. La BSI tedesca ha inoltre pubblicato una linea guida tecnica “Preservazione del valore probatorio dei documenti firmati crittograficamente”. È la specifica dei requisiti tecnici di sicurezza per la conservazione a lungo termine del valore probatorio di documenti e dati elettronici firmati crittograficamente insieme ai dati amministrativi elettronici associati (metadati).

Un middleware definito per questi scopi (middleware TR-ESOR) nel senso di questa linea guida comprende tutti quei moduli e interfacce che vengono utilizzati per garantire e mantenere l'autenticità e per dimostrare l'integrità dei documenti e dei dati archiviati.

In entrambi gli ordinamenti giuridici dell'UE e della Svizzera, l'inversione dell'onere della prova (e in Germania anche la prova prima facie rispetto alle prove visive) si applica in linea di principio alle firme qualificate. Ciò significa che una controparte deve dimostrare che la firma qualificata non è stata correttamente eseguita se contestata. E, naturalmente, Swisscom può fornire verifiche certificate da KPMG per dimostrare che la firma qualificata è stata debitamente eseguita.

Swisscom può solo confermare di poter rilasciare firme qualificate in entrambi gli ordinamenti giuridici in conformità con il regolamento eIDAS dell'UE e la legge svizzera ZertES. Le firme qualificate svizzere sono riconosciute come qualificate solo in Svizzera e le firme qualificate eIDAS nell'UE.

La conformità della firma qualificata per qualsiasi contratto deve essere sempre verificata da un avvocato. Swisscom non può fornire alcuna informazione legale al riguardo. Questo non è solo legato alla firma, ma anche ad altri punti che possono essere concordati nei contratti. Ad esempio, il requisito della "restituzione per posta raccomandata" può significare che una firma elettronica non può essere eseguita affatto, poiché è obbligatorio un percorso cartaceo postale.

Con l'entrata in vigore del regolamento sull'identificazione elettronica e sui servizi di fiducia per le transazioni elettroniche nel mercato interno dell'Unione europea (eIDAS), sono state create le basi per una comunicazione elettronica legalmente valida e un'identificazione elettronica sicura in tutta Europa. Con l'ausilio di _servizi_fiduciari_ come firme elettroniche, sigilli, marche temporali, servizi di consegna e certificati per l'autenticazione, aziende, amministrazioni e privati possono scambiare documenti digitali come offerte, ordini, contratti ecc. all'interno dell'Unione Europea su una base giuridica uniforme . Pertanto, il nuovo regolamento UE sostituisce la legge nazionale sulla firma e le norme sulla firma.

Ai sensi del presente Regolamento (CE) n. 910/2014/UE (Regolamento eIDAS) , gli elenchi di fiducia nazionali hanno effetto costitutivo. In altre parole, un trust service provider ei trust services che fornisce saranno qualificati solo se compare negli elenchi di fiducia. Di conseguenza, gli utenti (cittadini, imprese o pubbliche amministrazioni) beneficeranno degli effetti giuridici connessi ad un determinato servizio fiduciario qualificato solo se quest'ultimo è iscritto (come qualificato) negli Elenchi Fiduciari.

La filiale di Swisscom in Austria "Swisscom IT Services Finance SE", Vienna è stata inclusa in questo elenco di fiducia con certificati e sigilli qualificati:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha incaricato Swisscom (Svizzera) SA di gestire il servizio fiduciario e ha inoltre delegato le attività dell'autorità di registro a Swisscom (Svizzera) SA. Swisscom (Svizzera) SA offre quindi il servizio al mercato e accetta anche i documenti contrattuali per conto di Swisscom IT Services Finance SE.

La legislazione svizzera, ovvero la legge federale svizzera sulla firma elettronica (ZertES/SCSE), stabilisce i requisiti che le organizzazioni devono soddisfare per essere riconosciute come servizio di certificazione. L'organismo di accreditamento accreditato per l'accreditamento di Swisscom come servizio di certificazione in Svizzera è KPMG (Accreditamento n. SCESm 0071). Rilascia un certificato di valutazione della conformità (disponibile su www.swisscom.com/signing-service). Il Servizio di accreditamento svizzero SAS mantiene un elenco di servizi di certificazione accreditati: Link

In linea di principio, Swisscom è responsabile illimitatamente per legge per l'emissione errata di certificati qualificati. Nel caso di certificati avanzati, questa responsabilità può essere limitata. Swisscom è anche assicurata obbligatoriamente a questo scopo. In caso di errori nell'applicazione della firma (ad es. lo scambio di un hash di un documento) o di errori di identificazione da parte di registri di terzi, Swisscom riterrà a sua volta responsabile questi terzi. Al fine di evitare rischi di responsabilità, vengono poste elevate esigenze al processo di emissione e contratto ed è generalmente richiesta la possibilità di verificare le terze parti coinvolte.

In linea di principio, la società deve nominare rappresentanti. Questi rappresentanti dovrebbero essere i rappresentanti registrati secondo il registro delle imprese o del commercio, o dipendenti muniti di adeguate procure firmate dai rappresentanti registrati. In ogni caso, le persone devono essere identificate personalmente con la nostra RA-App. In Svizzera, solo le società iscritte al registro UID possono ordinare i sigilli. Con il sigillo, il certificato di accesso SSL tra la richiesta di firma del cliente e Swisscom funge da autenticazione dell'azienda. Il certificato di accesso deve quindi essere consegnato dal rappresentante dell'organizzazione. Con il sigillo avanzato è sufficiente la semplice consegna; con il sigillo qualificato, si svolge una cerimonia di consegna congiunta durante la quale viene generato congiuntamente il certificato di accesso. La chiave privata deve essere archiviata su un dispositivo crittografico (minimo FIPS 140-2 livello 2).

No, solo per il funzionamento della domanda di firma non è richiesta alcuna certificazione e nessun audit. Nell'ambito di una “dichiarazione di configurazione e accettazione”, il cliente effettua un'autodichiarazione per far funzionare correttamente l'applicazione di firma, cioè per non scambiare l'hash di un documento e per visualizzare effettivamente il documento da firmare al cliente (WYSIWYS = “Ciò che vedi è ciò che firmi”). Il traffico dati tra l'applicazione di firma e Swisscom dovrebbe essere crittografato e la protezione di base contro virus e attacchi dovrebbe essere garantita come con qualsiasi altro sistema. Un audit ufficiale con certificazione può essere necessario solo se il sistema ha una propria identificazione, soprattutto in relazione al proprio metodo di autenticazione. In Svizzera, l'identificazione con metodi di autenticazione di Swisscom può essere gestita in maniera semplificata mediante un adeguato “concetto di implementazione” presentato dal cliente e approvato da Swisscom; nell'UE è generalmente necessario un audit ufficiale. Di norma, un metodo di autenticazione deve sempre essere certificato, in quanto ciò dovrebbe garantire il “controllo esclusivo” al certificato di firma (denominato “controllo esclusivo” nel contesto ETSI).

Swisscom investe ogni anno ingenti somme in audit continui. Tuttavia, per poter immettere sul mercato l'offerta di un prestatore di servizi fiduciari a un prezzo ragionevole, questo servizio è offerto in forma standardizzata. Ciò significa in particolare:

• Il cliente deve attenersi al processo di ordinazione standard con i documenti contrattuali standard rilasciati dai revisori.
• Ulteriori valutazioni da parte dei partecipanti e l'esame e l'accettazione dei propri testi contrattuali non sono inclusi nell'offerta.

Molti aspetti del prestatore di servizi fiduciari sono soggetti non solo a condizioni nell'esecuzione del servizio, ma anche nella specificazione di importanti obblighi, norme di responsabilità e servizi di cooperazione nei documenti contrattuali. Pertanto, anche questi documenti contrattuali sono soggetti a verifica o sono presentati anche agli organismi statali di valutazione della conformità. Pertanto, non possono essere accettate modifiche all'ordinamento giuridico, né possono essere accettati allegati contrattuali del partecipante, soprattutto se soggetti a legge straniera applicabile.

Qualora fosse comunque necessario adeguare testi contrattuali, aggiungere norme contrattuali (es. il proprio Codice di Condotta, Dichiarazione sulla protezione dei dati, NDA, ecc.), elaborare appositi questionari di valutazione o se si riscontrassero anche errori o formulazioni poco chiare, si prega di segnalarli a la nostra gestione del prodotto.

Se sono evidenti errori o ambiguità, viene avviato un processo di modifica corrispondente dalla gestione del prodotto e implementato il più rapidamente possibile.

Per la valutazione di altre domande, viene formato un team di elaborazione che si avvale degli esperti competenti (ad es. ufficio legale, responsabile della sicurezza, responsabile della conformità, ecc.) ed effettua una valutazione della richiesta. A tale scopo è dovuta una tassa specifica per progetto di CHF 6000. Se il team di esperti non è stato in grado di elaborare direttamente una soluzione, preparerà una risposta e un'offerta, che presenterà e valuterà ulteriori passaggi da parte di Swisscom.

Da un lato, un'azienda interna può diventare un partner di rivendita di Swisscom per altre aziende nel caso in cui sia pianificato un volume enorme. In questo caso, il flusso di pagamento passa direttamente solo attraverso questa singola società. Una società può anche assumersi la completa responsabilità per il funzionamento della domanda di sottoscrizione. Anche allora, le fatture passeranno solo attraverso questa società. Può quindi identificare i dipendenti delle altre società.

Se tutte le aziende vogliono gestire la domanda di abbonamento in modo indipendente (con la propria responsabilità) e vogliono anche fornire gli stessi agenti RA, è necessario un contratto separato per ciascuna azienda.

Entrambi dovrebbero essere persone IT che hanno familiarità con l'applicazione. Non deve essere una persona con il ruolo ufficiale di "Deputato alla privacy". Swisscom vuole semplicemente mantenere qui il principio dei 4 occhi. I ruoli sono: Essere in grado di fornire informazioni sull'amministrazione dell'applicazione utente (chi ha accesso, cosa potrebbe manipolare un amministratore, dove potrebbe esserci un intoppo, connessione SSL a Swisscom) e su argomenti come protezione antivirus, controllo degli accessi in genere, ecc. presso il responsabile della sicurezza.

Adobe è un fornitore americano statunitense di un software in grado di visualizzare documenti PDF. Il prodotto più importante e diffuso è il cosiddetto “Adobe Acrobat Reader”. Ciò consente la verifica delle firme basate sui certificati. La validità di una firma e quindi visualizzata con un segno di spunta verde dipende da molti aspetti:

• Adobe ha una propria serie di regole, che classifica le CA emittenti da fornitori di fiducia o fornitori di servizi di certificazione come "affidabili". Questi sono elencati in un cosiddetto Adobe Trust List (AATL). Anche se non è incluso nella descrizione del servizio, Swisscom si sforza sempre di essere elencato qui. Inoltre, le società quotate devono versare quote annuali per tale iscrizione e presentare la propria autovalutazione. Secondo Adobe, i fornitori di servizi fiduciari eIDAS sono considerati affidabili se hanno anche concluso un contratto con Adobe.
• Adobe offre una varietà di impostazioni che possono portare a una convalida completamente diversa: ad esempio, invece dell'elenco di fiducia di Adobe, è possibile utilizzare anche l'elenco di fiducia di Microsoft Windows, che di solito mantiene solo i fornitori di servizi di fiducia che emettono anche certificati SSL o e-mail . Tuttavia, il controllo può essere basato anche su un'ora data dall'orologio del computer e non sulla marca temporale nel documento.

Ciò significa che non puoi fare affidamento sulla validità di una firma in Adobe, ma ottieni informazioni se sono state apportate modifiche al documento da quando è stata impostata la firma e come appare il certificato di firma.

1. Contratto chiuso verbalmente: molto difficile da provare (solo con testimoni di altre persone)
2. Firmato da una firma semplice, ad es. un'immagine di una firma scansionata: stesso problema. Il processo di generazione di questa firma deve essere analizzato in tribunale e, a causa della debolezza della procedura, il testimone di altre persone o altri suggerimenti svolgerà una regola importante per provare la procura.
3. AES: per la verifica della validità della firma le parti devono nuovamente adire il tribunale. Il tribunale chiederà a uno specialista di indagare sulla firma elettronica avanzata di Swisscom. Grazie agli audit effettuati da Swisscom, lo specialista può trarne vantaggio. Tuttavia l'AES è più debole come il QES, ad esempio per quanto riguarda il modo di identificare/registrare le persone, il tempo di archiviazione (solo 7 anni) e l'autenticazione a 1 fattore per la firma in contrasto con un'autenticazione a 2 fattori (quindi un cellulare rubato smartphone potrebbe essere utilizzato per una firma)
4. QES: la verifica di una firma valida può essere effettuata direttamente tramite https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Le parti non devono rivolgersi al tribunale in caso di dubbio. Solo se qualcuno dubita generalmente del servizio fiduciario verificato e questa sarà una prova concreta…. Le prove e i registri della firma QES saranno conservati per il tempo previsto per tutti i documenti commerciali e fiscali nel registro aziendale: più di 10 anni in Svizzera e 35 anni nell'UE.

A causa delle normative GDPR e del fatto che le filiali non fanno automaticamente parte di alcun accordo di elaborazione dei dati, è necessario firmare con ciascuna filiale un contratto aggiuntivo con l'Agenzia RA.

Raccomandiamo l'uso dello standard PAdES LTA (vedi ETSI TS 103 172) ai fini della validazione a lungo termine. Si prega di trovare ulteriori suggerimenti qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . I PDF devono essere conformi allo standard PDF/A.

Gli algoritmi per l'hashing (formazione del checksum) e la crittografia dell'hash seguono le raccomandazioni dello standard ETSI ETSI TS 119 312, che a sua volta segue anche gli standard NIS. Questi algoritmi hanno determinate ipotesi su periodi di 1->6 anni in cui sono stabili. Tuttavia, anche in questo caso gli sviluppi (ad es. il cracking di algoritmi) possono portare rapidamente a cambiamenti. Swisscom Trust Services, ad esempio, sta cambiando nuovamente la CA radice per soddisfare i requisiti > 6 anni. Una nuova edizione del disciplinare è prevista nuovamente per questo autunno.

Per la convalida a lungo termine, è quindi necessario garantire regolarmente l'integrità sulla base degli algoritmi più recenti, ad esempio la marcatura temporale annuale di tutti i documenti o l'uso di soluzioni di archiviazione appropriate. Parola chiave “conservazione del valore probatorio” – cfr. DIN 31647:2015-05.

In caso di firma remota, Swisscom gestisce in modo fiduciario le vostre chiavi per i certificati di firma. Con una firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. In questo modo evitiamo la notifica di una compromissione del certificato da parte del firmatario, ovvero un certificato non può essere compromesso. La procedura presenta diversi vantaggi:

L'utente finale non ha bisogno di contattare Swisscom (ad es. un account utente per revocare i certificati).

I destinatari dei documenti firmati non hanno a che fare con liste di revoca e OCSP (controllo di validità del certificato online).

Vengono evitati problemi di sicurezza con applicazioni che si basano solo su aggiornamenti regolari dell'elenco di revoche.

Le query OCSP comportano ritardi per il destinatario.

Inoltre, un certificato a breve termine fornisce sempre una risposta positiva: una query OCSP può fornire solo una risposta negativa.

Importante, la firma che è stata fatta con il QES è ovviamente ancora valida, indipendentemente dal certificato.

I certificati a breve termine sono emessi sulla base delle registrazioni del servizio di registrazione, ovvero sono basati su un'autenticazione forte. Un certificato a breve termine viene generato solo se è presente l'autenticazione (rilascio) nella procedura 2FA.

Esempio per analogia nell'ambiente cartaceo: firmo un contratto con una penna a inchiostro. L'inchiostro nella penna è vuoto dopo la firma. Il contratto resta valido, ovviamente.

Quando si firma con un QES, si applicano i seguenti periodi di archiviazione delle prove:

I periodi di conservazione per le prove di identificazione e il giornale di attività per le firme UE in Austria (dove siamo accreditati) sono 35 anni e 10 anni in Svizzera.

Grazie allo standard PAdES B LTA, le firme possono essere convalidate anche molto tempo dopo la scadenza sulla base di certificati a breve termine.

Secondo il regolamento eIDAS, i TSP devono essere accreditati a livello nazionale e seguire le leggi, le regole e i regolamenti nazionali impartiti dall'Organismo di Vigilanza nazionale nella misura in cui nessun altro regolamento a livello dell'UE ha stabilito alcune regole, come le decisioni di attuazione della Commissione UE , ad esempio, per gli standard ADES oi livelli di sicurezza dell'eID o alcune regole del regolamento eIDAS stesso. In questo modo, ogni paese ha standard nazionali diversi per i propri TSP; ad esempio, in Germania, il BSI deve approvare alcuni aspetti, o in Francia, l'istituto ANSII. In alcuni paesi, ad esempio, l'identificazione video è completamente consentita. In altri vietato, e in paesi terzi, consentito solo con certificati a breve termine.

Ma il regolamento dell'UE eIDAS prevede che tutte le firme elettroniche qualificate di qualsiasi TSP accreditato a livello nazionale in qualsiasi paese dell'UE debbano essere accettate da tutti i membri dell'UE. Pertanto, un TSP accreditato in Francia può vendere il proprio QES sulla base delle norme e dei regolamenti francesi in Germania e un TSP austriaco, come Swisscom, deve solo seguire le norme e i regolamenti austriaci e può vendere le proprie firme qualificate in altri paesi dell'UE . L'elenco di fiducia dell'UE è l'ancora standard e conferma che una firma qualificata rilasciata da uno dei TSP ivi elencati deve essere accettata.

Con la versione 2 delle normative eIDAS, i paesi dell'UE cercheranno di armonizzare sempre di più le parti dell'accreditamento, ad esempio il modo per essere registrati per un servizio, e vogliono persino creare un e-Wallet UE come base per il futuro identificazione per qualsiasi servizio di fiducia.

Puoi trovare una FAQ dettagliata sul sito web Mobile ID per la tua risoluzione dei problemi.

Dai un'occhiata alle Mobile ID FAQ , dove puoi trovare le risposte a molte domande su Mobile ID.

Oltre alla licenza generale Docusign, è necessario acquistare tramite Docusign o un rivenditore Docusign la "Docusign Express SKU" e chiedere al supporto Docusign di abilitare la Swisscom PEN nell'interfaccia utente (questa è la casella di selezione per Swisscom QES/AES). Inoltre è necessario firmare un contratto Swisscom Signing Service e ordinare il connettore Docusign.

“Non hai il livello di garanzia corretto per firmare questo documento. Si prega di contattare l'agente RA della vostra azienda” verrà mostrato come messaggio di errore.

Il controllo completo di tutte le firme nel validatore mostra che almeno una firma non è valida e non segue le regole del regolamento eIDAS o della legge SigE/ZertES. Questo è il motivo per cui l'applicazione Docusign aggiunge oltre allo Swisscom QES un sigillo Entrust che non segue le regole legali. Nella conclusione del controllo totale il risultato è negativo perché è stata trovata una firma non valida. Tuttavia, la firma QES è ovviamente valida in tribunale. Volendo puoi chiedere al supporto di Docusign di eliminare il sigillo Entrust.

Il validatore Docusign non sarà più mantenuto e al momento non è in grado di supportare alcuna firma elettronica svizzera.

Si prega di discutere con il supporto di Docusign. Swisscom offre sempre un connettore per «ID account cliente Docusign»