Normativa e conformità

In caso di firma remota, Swisscom conserva e gestisce in modo fiduciario le chiavi dei certificati di firma. In caso di firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. I certificati aziendali per i sigilli sono validi fino a 3 anni. Secondo la legge, la chiave privata deve essere archiviata su un dispositivo di creazione della firma (qualificato). La memoria per questo è un dispositivo progettato principalmente per l'archiviazione delle chiavi, l'HSM (Hardware Security Module). È soggetto a una severa regolamentazione, auditing, in termini di standard di sicurezza e accesso a questo dispositivo. Le firme nell'UE e in Svizzera sono soggette a standard di sicurezza particolarmente elevati, disponibili solo da pochi produttori di HSM in tutto il mondo.

Ci sono progetti in cui Swisscom si affida a procedure di identificazione legalmente riconosciute e verificate con terze parti. Un tipico esempio è una banca che effettua un'identificazione della presenza di una persona come parte del suo processo KYC. In questo caso Swisscom riceve una copia dei dati della banca per i propri scopi commerciali (firma). L'elaborazione dei dati dell'ordine non è necessaria qui, poiché ci sono due parti responsabili dei dati. Al contrario, anche qui non si applica il principio di titolarità congiunta del GDPR, poiché la reattività dei dati non serve allo stesso scopo commerciale ed entrambe le parti non agiscono in modo responsabile nel senso di uno scopo commerciale comune. La banca agisce per il suo scopo commerciale, ad es. l'apertura di un conto, e Swisscom persegue il suo scopo commerciale con l'emissione di firme. Tuttavia, in questo caso i nostri contratti di “delega attività anagrafica” contengono anche un minimo di disposizioni su come procedere in materia di protezione dei dati e GDPR.

Swisscom è obbligata per legge a registrare i dati personali per la firma. È quindi responsabile di questi dati. Ciò significa che Swisscom non può svolgere il ruolo di responsabile del trattamento dei dati, anche se riceve, ad esempio, i dati dei dipendenti da un'azienda cliente per la firma. Swisscom ha un mandato legale come quello delle telecomunicazioni o dei fornitori di servizi postali. Swisscom ha inoltre un rapporto contrattuale legale con i firmatari delle condizioni di utilizzo. In questo accordo, il firmatario accetta anche l'uso dei dati.

Con l'App RA, Swisscom trasferisce la registrazione dei dati di identità a un fornitore di servizi esterno, indicato nei contratti come «Agenzia RA». Il GDPR richiede in questo caso un contratto di elaborazione degli ordini. L'agenzia RA deve pertanto ottemperare agli obblighi di elaborazione dei dati dell'ordine.

Anche in progetti puramente svizzeri è richiesto il rispetto dell'elaborazione dei dati degli ordini GDPR. Ci sono due ragioni per questo:

• Da un lato, raramente si può garantire che le persone identificate in Svizzera non siano cittadini dell'UE soggetti al principio del mercato del GDPR,
• D'altro canto, l'app RA non può essere utilizzata in modo tale da identificare solo persone per la Svizzera, ovvero l'elaborazione dei dati dell'ordine avviene sempre anche per Swisscom IT Services Finance SE a Vienna.

I requisiti in materia di protezione dei dati da dimostrare e verificare si applicano anche alle attività dell'autorità di registrazione, compito di un prestatore di servizi fiduciari e di un prestatore di servizi di certificazione. Pertanto, l'app RA come parte del processo di registrazione deve garantire la protezione dei dati e la privacy. La stessa RA-App non memorizza i dati personali in modo permanente. Neanche i dati possono essere esportati. Non appena completata l'identificazione, i dati vengono trasferiti sottoscritti dall'agente RA come cd evidenze. Queste prove vengono archiviate presso il servizio RA di Swisscom in condizioni di sicurezza rigorose (ad es. accesso a 4 occhi). Solo poche persone hanno accesso a questi dati e possono trasmetterli solo in base a un'ingiunzione del tribunale o possono controllare la qualità dell'identificazione. Secondo la legge, Swisscom è responsabile illimitatamente per la corretta esecuzione della firma e quindi anche per l'identificazione.

Gli Agenti Master RA hanno accesso web ad un portale nel quale possono visualizzare tutte le persone identificate dagli Agenti RA con cognome, nome, data di scadenza del documento di identità e numero di cellulare. I documenti di identità e le foto (cd “prova”) non sono accessibili né esportabili.

Nell'ambito degli audit in corso, Swisscom deve garantire che siano rispettati tutti i severi requisiti di protezione dei dati necessari per l'emissione di firme digitali, sia nei confronti dell'autorità di certificazione in Svizzera sia nei confronti dell'organismo di valutazione della conformità in Austria. Ciò significa che, oltre all'autodichiarazione, i fornitori di servizi fiduciari e i servizi di certificazione sono obbligati dalla legislazione e dagli standard internazionali applicati, come ETSI 319 401, a dimostrare e ad aver verificato un'adeguata protezione dei dati per tutti i dati personali.

La Svizzera non è nell'UE e quindi non ha introdotto una legislazione dell'UE, il cosiddetto regolamento generale sulla protezione dei dati (GDPR). In realtà, il GDPR è applicabile anche se le società hanno sede in Svizzera e offrono servizi nell'UE.

Swisscom è quindi soggetta agli stessi obblighi di trattamento dei dati di tutte le altre organizzazioni che devono conformarsi al GDPR:

• ottenere il consenso della persona i cui dati sono trattati
• Garanzia "Privacy by design" e "Privacy by default"
• nominare un rappresentante per la protezione dei dati
• creare un elenco delle attività di trattamento
• segnalare le violazioni della protezione dei dati all'autorità di controllo
• condurre una valutazione dell'impatto sulla privacy

Tutte le applicazioni che riguardano la protezione dei dati e vengono utilizzate per l'elaborazione dei dati, ad esempio anche l'App RA devono essere conformi al GDPR. Swisscom fornisce informazioni al riguardo nelle sue pagine:

Svizzera: www.swisscom.com/signing-service

Austria: www.swisscom.at

con le corrispondenti dichiarazioni sulla protezione dei dati secondo GDPR.

La Svizzera è sempre stata ed è considerata un Paese terzo sicuro ai sensi dell'art. 45 GDPR (trasferimento dati basato su decisione di adeguatezza), ovvero non sono necessarie le consuete autorizzazioni come con altri paesi terzi (es. USA). Grazie alla sua legge sulla protezione dei dati e al continuo adeguamento al GDPR, la Svizzera dispone di un "livello di protezione adeguato per il trasferimento di dati personali" in conformità con i criteri dell'UE, ovvero deve essere trattata come un paese dell'UE durante il trasferimento dei dati:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Il Distinguished Name contiene il nome, il cognome e il paese di nascita/registrazione o il paese di origine della persona, oppure uno pseudonimo con un numero di serie che può essere ricondotto in modo univoco a una persona dall'anagrafe. I nomi delle organizzazioni sono consentiti solo in casi speciali

Sì, si distingue se i firmatari hanno accettato le condizioni d'uso della Svizzera o dell'UE o di entrambe. Tutti i dati vengono elaborati anche da Swisscom (Schweiz) AG per Swisscom IT Services Finance SE a Vienna.

In caso di certificati personali, Swisscom emette solo certificati a breve termine (i cosiddetti certificati «one-shot») che hanno una durata di 10 minuti e vengono utilizzati solo per una richiesta di firma. La probabilità che il certificato sia stato compromesso durante questi 10 minuti è praticamente inesistente. Dopodiché il certificato non è valido e non può essere compromesso. Grazie alla convalida a lungo termine, le firme con questo certificato rimangono valide e possono essere convalidate anche per periodi di tempo successivi alla scadenza.

Se l'intera CA (ossia il certificato radice) della certificazione e del servizio fiduciario è stata compromessa, esiste un processo che Swisscom descrive nel suo CP/CPS (vedi Area download – Repository).

Se un firmatario perde il suo supporto di autenticazione o scopre che la sua identità è stata determinata in modo errato, il nostro team di supporto deve essere informato immediatamente. In un rapporto contrattuale con uno dei nostri partner, contatta il partner con cui hai fornito la tua firma o identificazione. Adotterà quindi ulteriori misure per bloccare questa identificazione. Se un certificato di sigillo è stato compromesso, utilizzare i dati di contatto forniti su https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

Svizzera (QES), ZertES:

Il CP/CPS prevede che l'identificazione e la documentazione conservata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta d'identità/passaporto presentata scade prima del quinquennio o se la procedura di identificazione da parte del il revisore non concede 5 anni.

Si applica il periodo di conservazione ai sensi dell'articolo 11.1 dell'ordinanza del SigE/ZertES (rivista delle attività): "I fornitori riconosciuti conservano le registrazioni relative alle loro attività e i documenti giustificativi ad esse relativi per undici anni". Swisscom intende questo periodo anche come un periodo di conservazione per i documenti presentati nel processo di identificazione, in particolare una copia dell'ID.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso, il che significherebbe che Swisscom non avrebbe più documentazione in casi specifici, in particolare nell'applicazione dell'articolo 17 del SigE/ZertES (responsabilità illimitata).

• In sintesi il tempo di archiviazione è di 17 anni, che sono indicati anche nelle condizioni di utilizzo.

Europa, (QES), eIDAS:

Questa è la stessa giustificazione e derivazione del caso del QES in Svizzera, solo con la differenza che in Austria il periodo di conservazione legale è di 30 anni. L'articolo 10.1 della SVG (firma e Trust Services Act) prevede:

Diritti di accesso e periodo di conservazione

10. (1) Su richiesta di tribunali o altre autorità, un TSP qualificato concede l'accesso alla documentazione ai sensi dell'articolo 24, paragrafo 2, lett. h eIDAS-VO e il suo database dei certificati.

(2) […].

(3) La documentazione è fornita dal TSP abilitato per 30 anni, calcolati dalla data del certificato qualificato inserito al termine della validità o, in mancanza, 30 anni dalla data in cui le informazioni rilevanti sui dati rilasciati e ricevuto dalla VDA qualificata nel corso della sua attività.

• In sintesi, il tempo di archiviazione è di 36 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Firme avanzate (eIDAS, ZertES)

Il CP/CPS prevede che l'identificazione e la documentazione archiviata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta presentata scade prima del quinquennio o se la procedura di identificazione non consente 5 anni.

Non ci sono periodi di conservazione legali nell'area di AES, poiché i periodi di conservazione non sono regolati dalla legge. Tuttavia, gli standard ETSI prevedono un periodo di 7 anni. Queste informazioni sono derivate dalla Direttiva ETSI EN 319 411-01:

6.4.6 Archiviazione dei record

Si applicano i seguenti requisiti particolari:

NOTA: ETSI TS 101 533-1 [i.13] suggerisce disposizioni su come preservare gli oggetti di dati digitali.

a) Il TSP deve conservare quanto segue per almeno sette anni dopo che qualsiasi certificato basato su tali registrazioni cessa di essere valido:
i) log di tutti gli eventi relativi al ciclo di vita delle chiavi gestite dalla CA, comprese eventuali coppie di chiavi del soggetto

generato dalla CA (cfr. punto 6.4.5, punto g));

ii) documentazione come individuata al punto 6.3.4.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso.

• In sintesi, il tempo di archiviazione è di 13 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Le firme elettroniche possono essere presentate come prova nel contenzioso. Di norma, ad eccezione della firma qualificata, sono soggetti alla libera valutazione delle prove. Poiché le firme elettroniche "semplici" e "avanzate" sono difficilmente o solo approssimativamente definite dalla legge, è responsabilità del tribunale accettare o meno tale firma. La parte che intende presentare tali firme come valide deve fornire le relative prove. Nel caso di Swisscom, è utile che anche le firme avanzate siano soggette a un audit molto rigoroso secondo lo standard ETSI per le firme «NCP+» e che quindi tali rapporti di audit possano essere utilizzati. In caso di firma qualificata, si applica lo storno della prova. Poiché la firma qualificata è determinata con precisione dalla legge e, ad esempio, sia la Svizzera che l'Austria offrono validatori per la validità di tali firme sul web, queste firme sono considerate valide fino a quando una parte non dimostra il contrario e quindi dimostra anche che l'autorità di vigilanza o così come i revisori non hanno adempiuto ai loro obblighi. Dopo 11 anni in Svizzera o 35 anni in Austria, la prova può anche causare difficoltà nel campo qualificato, poiché i documenti per la registrazione devono essere distrutti. Tuttavia, la firma è ancora visibile come "qualificata".

Nell'ambito di una prova dopo molti anni, va anche notato che i documenti archiviati elettronicamente dovrebbero essere ripetutamente timbrati di volta in volta. Può succedere che gli algoritmi non siano più così robusti. Un timestamp sigilla il documento con gli algoritmi più recenti, proteggendo l'integrità del documento, comprese le firme.

Le firme eIDAS qualificate sono considerate "qualificate" solo nell'area UE (e SEE), e anche le firme ZertES/SigE sono considerate qualificate solo nella giurisdizione svizzera. Ciò significa che quando uno Stato terzo sceglie la legge, queste firme non possono più raggiungere il loro effetto “qualificato” o, se necessario, diventarlo. nemmeno riconosciuto.

Il modo in cui deve essere attuato tale scenario di “chiusura” è regolato dalla legge: il CP/CPS del servizio di certificazione o servizio fiduciario descrive le procedure esatte. Deve esistere un piano di chiusura e l'autorità di vigilanza notificata o l'UFCOM nomina di norma un successore che potrebbe offrire il servizio ai clienti. Questo successore riceverà di norma anche l'elenco di revoca dei certificati e quindi l'elenco di validità dei certificati, a condizione che Swisscom non li pubblichi direttamente. L'elenco continuerà a funzionare per anni, in modo che la validità delle firme possa continuare a essere verificata. Le prove sulle registrazioni per il servizio devono essere conservate secondo i periodi di conservazione anche dopo la disdetta oltre 11 o addirittura 35 anni, Swisscom o un successore designato deve istituire un sistema di archiviazione per questo, in modo che queste informazioni possano essere utilizzate anche nelle negoziazioni legali . Gli identificativi forniti non possono più essere utilizzati con un eventuale successore, ovvero in questo caso sono necessarie nuove registrazioni.

Dopo la risoluzione del contratto, i certificati di sigillo validi esistenti saranno revocati.

No.

L'esperienza ha dimostrato che i periodi di transizione possono durare da 3 mesi a 2 anni.

I periodi di conservazione per la verifica dell'identità e il giornale delle attività e quindi anche i periodi di prova sono 11 anni in Svizzera e 35 anni nell'UE. Swisscom utilizza generalmente lo standard di convalida a lungo termine di ETSI (LTV).

Convalida a lungo termine significa convalidare una firma in modo che rimanga valida per lungo tempo. La convalida LTV consente la convalida solo finché il certificato radice per il timestamp non è scaduto. Si consiglia pertanto di timbrare nuovamente i documenti prima della scadenza se si desidera conservare prove a lungo termine, in modo che l'integrità e la significatività della prova della firma continuino a essere garantite.

In linea di principio, anche i documenti PDF dovrebbero essere gestiti in archivi protetti. Tra 5, 10 o 20 anni può verificarsi una situazione in cui gli algoritmi di firma vengono "craccati", ovvero l'integrità o l'autenticità non possono più essere garantite. I buoni sistemi di archiviazione prevedono quindi dimissioni regolari, ad esempio con un timestamp, che utilizza sempre l'algoritmo più recente e quindi garantisce l'integrità del documento.

Il web offre diversi collegamenti con procedure ottimizzate per questo, ad es. “Archisig”. La BSI tedesca ha inoltre pubblicato una linea guida tecnica “Preservazione del valore probatorio dei documenti firmati crittograficamente”. È la specifica dei requisiti tecnici di sicurezza per la conservazione a lungo termine del valore probatorio di documenti e dati elettronici firmati crittograficamente insieme ai dati amministrativi elettronici associati (metadati).

Un middleware definito per questi scopi (middleware TR-ESOR) nel senso di questa linea guida comprende tutti quei moduli e interfacce che vengono utilizzati per garantire e mantenere l'autenticità e per dimostrare l'integrità dei documenti e dei dati archiviati.

In entrambi gli ordinamenti giuridici dell'UE e della Svizzera, l'inversione dell'onere della prova (e in Germania anche la prova prima facie rispetto alle prove visive) si applica in linea di principio alle firme qualificate. Ciò significa che una controparte deve dimostrare che la firma qualificata non è stata correttamente eseguita se contestata. E, naturalmente, Swisscom può fornire verifiche certificate da KPMG per dimostrare che la firma qualificata è stata debitamente eseguita.

Swisscom può solo confermare di poter rilasciare firme qualificate in entrambi gli ordinamenti giuridici in conformità con il regolamento eIDAS dell'UE e la legge svizzera ZertES. Le firme qualificate svizzere sono riconosciute come qualificate solo in Svizzera e le firme qualificate eIDAS nell'UE.

La conformità della firma qualificata per qualsiasi contratto deve essere sempre verificata da un avvocato. Swisscom non può fornire alcuna informazione legale al riguardo. Questo non è solo legato alla firma, ma anche ad altri punti che possono essere concordati nei contratti. Ad esempio, il requisito della "restituzione per posta raccomandata" può significare che una firma elettronica non può essere eseguita affatto, poiché è obbligatorio un percorso cartaceo postale.

Con l'entrata in vigore del regolamento sull'identificazione elettronica e sui servizi di fiducia per le transazioni elettroniche nel mercato interno dell'Unione europea (eIDAS), sono state create le basi per una comunicazione elettronica legalmente valida e un'identificazione elettronica sicura in tutta Europa. Con l'ausilio di _servizi_fiduciari_ come firme elettroniche, sigilli, marche temporali, servizi di consegna e certificati per l'autenticazione, aziende, amministrazioni e privati possono scambiare documenti digitali come offerte, ordini, contratti ecc. all'interno dell'Unione Europea su una base giuridica uniforme . Pertanto, il nuovo regolamento UE sostituisce la legge nazionale sulla firma e le norme sulla firma.

Ai sensi del presente Regolamento (CE) n. 910/2014/UE (Regolamento eIDAS) , gli elenchi di fiducia nazionali hanno effetto costitutivo. In altre parole, un trust service provider ei trust services che fornisce saranno qualificati solo se compare negli elenchi di fiducia. Di conseguenza, gli utenti (cittadini, imprese o pubbliche amministrazioni) beneficeranno degli effetti giuridici connessi ad un determinato servizio fiduciario qualificato solo se quest'ultimo è iscritto (come qualificato) negli Elenchi Fiduciari.

La filiale di Swisscom in Austria "Swisscom IT Services Finance SE", Vienna è stata inclusa in questo elenco di fiducia con certificati e sigilli qualificati:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha incaricato Swisscom (Svizzera) SA di gestire il servizio fiduciario e ha inoltre delegato le attività dell'autorità di registro a Swisscom (Svizzera) SA. Swisscom (Svizzera) SA offre quindi il servizio al mercato e accetta anche i documenti contrattuali per conto di Swisscom IT Services Finance SE.

La legislazione svizzera, ovvero la legge federale svizzera sulla firma elettronica (ZertES/SCSE), stabilisce i requisiti che le organizzazioni devono soddisfare per essere riconosciute come servizio di certificazione. L'organismo di accreditamento accreditato per l'accreditamento di Swisscom come servizio di certificazione in Svizzera è KPMG (Accreditamento n. SCESm 0071). Rilascia un certificato di valutazione della conformità (disponibile su www.swisscom.com/signing-service). Il Servizio di accreditamento svizzero SAS mantiene un elenco di servizi di certificazione accreditati: Link

In linea di principio, Swisscom è responsabile illimitatamente per legge per l'emissione errata di certificati qualificati. Nel caso di certificati avanzati, questa responsabilità può essere limitata. Swisscom è anche assicurata obbligatoriamente a questo scopo. In caso di errori nell'applicazione della firma (ad es. lo scambio di un hash di un documento) o di errori di identificazione da parte di registri di terzi, Swisscom riterrà a sua volta responsabile questi terzi. Al fine di evitare rischi di responsabilità, vengono poste elevate esigenze al processo di emissione e contratto ed è generalmente richiesta la possibilità di verificare le terze parti coinvolte.

In linea di principio, la società deve nominare rappresentanti. Questi rappresentanti dovrebbero essere i rappresentanti registrati secondo il registro delle imprese o del commercio, o dipendenti muniti di adeguate procure firmate dai rappresentanti registrati. In ogni caso, le persone devono essere identificate personalmente con la nostra RA-App. In Svizzera, solo le società iscritte al registro UID possono ordinare i sigilli. Con il sigillo, il certificato di accesso SSL tra la richiesta di firma del cliente e Swisscom funge da autenticazione dell'azienda. Il certificato di accesso deve quindi essere consegnato dal rappresentante dell'organizzazione. Con il sigillo avanzato è sufficiente la semplice consegna; con il sigillo qualificato, si svolge una cerimonia di consegna congiunta durante la quale viene generato congiuntamente il certificato di accesso. La chiave privata deve essere archiviata su un dispositivo crittografico (minimo FIPS 140-2 livello 2).

No, solo per il funzionamento della domanda di firma non è richiesta alcuna certificazione e nessun audit. Nell'ambito di una “dichiarazione di configurazione e accettazione”, il cliente effettua un'autodichiarazione per far funzionare correttamente l'applicazione di firma, cioè per non scambiare l'hash di un documento e per visualizzare effettivamente il documento da firmare al cliente (WYSIWYS = “Ciò che vedi è ciò che firmi”). Il traffico dati tra l'applicazione di firma e Swisscom dovrebbe essere crittografato e la protezione di base contro virus e attacchi dovrebbe essere garantita come con qualsiasi altro sistema. Un audit ufficiale con certificazione può essere necessario solo se il sistema ha una propria identificazione, soprattutto in relazione al proprio metodo di autenticazione. In Svizzera, l'identificazione con metodi di autenticazione di Swisscom può essere gestita in maniera semplificata mediante un adeguato “concetto di implementazione” presentato dal cliente e approvato da Swisscom; nell'UE è generalmente necessario un audit ufficiale. Di norma, un metodo di autenticazione deve sempre essere certificato, in quanto ciò dovrebbe garantire il “controllo esclusivo” al certificato di firma (denominato “controllo esclusivo” nel contesto ETSI).

Swisscom investe ogni anno ingenti somme in audit continui. Tuttavia, per poter immettere sul mercato l'offerta di un prestatore di servizi fiduciari a un prezzo ragionevole, questo servizio è offerto in forma standardizzata. Ciò significa in particolare:

• Il cliente deve attenersi al processo di ordinazione standard con i documenti contrattuali standard rilasciati dai revisori.
• Ulteriori valutazioni da parte dei partecipanti e l'esame e l'accettazione dei propri testi contrattuali non sono inclusi nell'offerta.

Molti aspetti del prestatore di servizi fiduciari sono soggetti non solo a condizioni nell'esecuzione del servizio, ma anche nella specificazione di importanti obblighi, norme di responsabilità e servizi di cooperazione nei documenti contrattuali. Pertanto, anche questi documenti contrattuali sono soggetti a verifica o sono presentati anche agli organismi statali di valutazione della conformità. Pertanto, non possono essere accettate modifiche all'ordinamento giuridico, né possono essere accettati allegati contrattuali del partecipante, soprattutto se soggetti a legge straniera applicabile.

Qualora fosse comunque necessario adeguare testi contrattuali, aggiungere norme contrattuali (es. il proprio Codice di Condotta, Dichiarazione sulla protezione dei dati, NDA, ecc.), elaborare appositi questionari di valutazione o se si riscontrassero anche errori o formulazioni poco chiare, si prega di segnalarli a la nostra gestione del prodotto.

Se sono evidenti errori o ambiguità, viene avviato un processo di modifica corrispondente dalla gestione del prodotto e implementato il più rapidamente possibile.

Per la valutazione di altre domande, viene formato un team di elaborazione che si avvale degli esperti competenti (ad es. ufficio legale, responsabile della sicurezza, responsabile della conformità, ecc.) ed effettua una valutazione della richiesta. A tale scopo è dovuta una tassa specifica per progetto di CHF 6000. Se il team di esperti non è stato in grado di elaborare direttamente una soluzione, preparerà una risposta e un'offerta, che presenterà e valuterà ulteriori passaggi da parte di Swisscom.

Da un lato, un'azienda interna può diventare un partner di rivendita di Swisscom per altre aziende nel caso in cui sia pianificato un volume enorme. In questo caso, il flusso di pagamento passa direttamente solo attraverso questa singola società. Una società può anche assumersi la completa responsabilità per il funzionamento della domanda di sottoscrizione. Anche allora, le fatture passeranno solo attraverso questa società. Può quindi identificare i dipendenti delle altre società.

Se tutte le aziende vogliono gestire la domanda di abbonamento in modo indipendente (con la propria responsabilità) e vogliono anche fornire gli stessi agenti RA, è necessario un contratto separato per ciascuna azienda.

Entrambi dovrebbero essere persone IT che hanno familiarità con l'applicazione. Non deve essere una persona con il ruolo ufficiale di "Deputato alla privacy". Swisscom vuole semplicemente mantenere qui il principio dei 4 occhi. I ruoli sono: Essere in grado di fornire informazioni sull'amministrazione dell'applicazione utente (chi ha accesso, cosa potrebbe manipolare un amministratore, dove potrebbe esserci un intoppo, connessione SSL a Swisscom) e su argomenti come protezione antivirus, controllo degli accessi in genere, ecc. presso il responsabile della sicurezza.

Adobe è un fornitore americano statunitense di un software in grado di visualizzare documenti PDF. Il prodotto più importante e diffuso è il cosiddetto “Adobe Acrobat Reader”. Ciò consente la verifica delle firme basate sui certificati. La validità di una firma e quindi visualizzata con un segno di spunta verde dipende da molti aspetti:

• Adobe ha una propria serie di regole, che classifica le CA emittenti da fornitori di fiducia o fornitori di servizi di certificazione come "affidabili". Questi sono elencati in un cosiddetto Adobe Trust List (AATL). Anche se non è incluso nella descrizione del servizio, Swisscom si sforza sempre di essere elencato qui. Inoltre, le società quotate devono versare quote annuali per tale iscrizione e presentare la propria autovalutazione. Secondo Adobe, i fornitori di servizi fiduciari eIDAS sono considerati affidabili se hanno anche concluso un contratto con Adobe.
• Adobe offre una varietà di impostazioni che possono portare a una convalida completamente diversa: ad esempio, invece dell'elenco di fiducia di Adobe, è possibile utilizzare anche l'elenco di fiducia di Microsoft Windows, che di solito mantiene solo i fornitori di servizi di fiducia che emettono anche certificati SSL o e-mail . Tuttavia, il controllo può essere basato anche su un'ora data dall'orologio del computer e non sulla marca temporale nel documento.

Ciò significa che non puoi fare affidamento sulla validità di una firma in Adobe, ma ottieni informazioni se sono state apportate modifiche al documento da quando è stata impostata la firma e come appare il certificato di firma.

1. Contratto chiuso verbalmente: molto difficile da provare (solo con testimoni di altre persone)
2. Firmato da una firma semplice, ad es. un'immagine di una firma scansionata: stesso problema. Il processo di generazione di questa firma deve essere analizzato in tribunale e, a causa della debolezza della procedura, il testimone di altre persone o altri suggerimenti svolgerà una regola importante per provare la procura.
3. AES: per la verifica della validità della firma le parti devono nuovamente adire il tribunale. Il tribunale chiederà a uno specialista di indagare sulla firma elettronica avanzata di Swisscom. Grazie agli audit effettuati da Swisscom, lo specialista può trarne vantaggio. Tuttavia l'AES è più debole come il QES, ad esempio per quanto riguarda il modo di identificare/registrare le persone, il tempo di archiviazione (solo 7 anni) e l'autenticazione a 1 fattore per la firma in contrasto con un'autenticazione a 2 fattori (quindi un cellulare rubato smartphone potrebbe essere utilizzato per una firma)
4. QES: la verifica di una firma valida può essere effettuata direttamente tramite https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Le parti non devono rivolgersi al tribunale in caso di dubbio. Solo se qualcuno dubita generalmente del servizio fiduciario verificato e questa sarà una prova concreta…. Le prove e i registri della firma QES saranno conservati per il tempo previsto per tutti i documenti commerciali e fiscali nel registro aziendale: più di 10 anni in Svizzera e 35 anni nell'UE.

A causa delle normative GDPR e del fatto che le filiali non fanno automaticamente parte di alcun accordo di elaborazione dei dati, è necessario firmare con ciascuna filiale un contratto aggiuntivo con l'Agenzia RA.

Raccomandiamo l'uso dello standard PAdES LTA (vedi ETSI TS 103 172) ai fini della validazione a lungo termine. Si prega di trovare ulteriori suggerimenti qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . I PDF devono essere conformi allo standard PDF/A.

Gli algoritmi per l'hashing (formazione del checksum) e la crittografia dell'hash seguono le raccomandazioni dello standard ETSI ETSI TS 119 312, che a sua volta segue anche gli standard NIS. Questi algoritmi hanno determinate ipotesi su periodi di 1->6 anni in cui sono stabili. Tuttavia, anche in questo caso gli sviluppi (ad es. il cracking di algoritmi) possono portare rapidamente a cambiamenti. Swisscom Trust Services, ad esempio, sta cambiando nuovamente la CA radice per soddisfare i requisiti > 6 anni. Una nuova edizione del disciplinare è prevista nuovamente per questo autunno.

Per la convalida a lungo termine, è quindi necessario garantire regolarmente l'integrità sulla base degli algoritmi più recenti, ad esempio la marcatura temporale annuale di tutti i documenti o l'uso di soluzioni di archiviazione appropriate. Parola chiave “conservazione del valore probatorio” – cfr. DIN 31647:2015-05.

In caso di firma remota, Swisscom gestisce in modo fiduciario le vostre chiavi per i certificati di firma. Con una firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. In questo modo evitiamo la notifica di una compromissione del certificato da parte del firmatario, ovvero un certificato non può essere compromesso. La procedura presenta diversi vantaggi:

L'utente finale non ha bisogno di contattare Swisscom (ad es. un account utente per revocare i certificati).

I destinatari dei documenti firmati non hanno a che fare con liste di revoca e OCSP (controllo di validità del certificato online).

Vengono evitati problemi di sicurezza con applicazioni che si basano solo su aggiornamenti regolari dell'elenco di revoche.

Le query OCSP comportano ritardi per il destinatario.

Inoltre, un certificato a breve termine fornisce sempre una risposta positiva: una query OCSP può fornire solo una risposta negativa.

Importante, la firma che è stata fatta con il QES è ovviamente ancora valida, indipendentemente dal certificato.

I certificati a breve termine sono emessi sulla base delle registrazioni del servizio di registrazione, ovvero sono basati su un'autenticazione forte. Un certificato a breve termine viene generato solo se è presente l'autenticazione (rilascio) nella procedura 2FA.

Esempio per analogia nell'ambiente cartaceo: firmo un contratto con una penna a inchiostro. L'inchiostro nella penna è vuoto dopo la firma. Il contratto resta valido, ovviamente.

Quando si firma con un QES, si applicano i seguenti periodi di archiviazione delle prove:

I periodi di conservazione per le prove di identificazione e il giornale di attività per le firme UE in Austria (dove siamo accreditati) sono 35 anni e 10 anni in Svizzera.

Grazie allo standard PAdES B LTA, le firme possono essere convalidate anche molto tempo dopo la scadenza sulla base di certificati a breve termine.

Secondo il regolamento eIDAS, i TSP devono essere accreditati a livello nazionale e seguire le leggi, le regole e i regolamenti nazionali impartiti dall'Organismo di Vigilanza nazionale nella misura in cui nessun altro regolamento a livello dell'UE ha stabilito alcune regole, come le decisioni di attuazione della Commissione UE , ad esempio, per gli standard ADES oi livelli di sicurezza dell'eID o alcune regole del regolamento eIDAS stesso. In questo modo, ogni paese ha standard nazionali diversi per i propri TSP; ad esempio, in Germania, il BSI deve approvare alcuni aspetti, o in Francia, l'istituto ANSII. In alcuni paesi, ad esempio, l'identificazione video è completamente consentita. In altri vietato, e in paesi terzi, consentito solo con certificati a breve termine.

Ma il regolamento dell'UE eIDAS prevede che tutte le firme elettroniche qualificate di qualsiasi TSP accreditato a livello nazionale in qualsiasi paese dell'UE debbano essere accettate da tutti i membri dell'UE. Pertanto, un TSP accreditato in Francia può vendere il proprio QES sulla base delle norme e dei regolamenti francesi in Germania e un TSP austriaco, come Swisscom, deve solo seguire le norme e i regolamenti austriaci e può vendere le proprie firme qualificate in altri paesi dell'UE . L'elenco di fiducia dell'UE è l'ancora standard e conferma che una firma qualificata rilasciata da uno dei TSP ivi elencati deve essere accettata.

Con la versione 2 delle normative eIDAS, i paesi dell'UE cercheranno di armonizzare sempre di più le parti dell'accreditamento, ad esempio il modo per essere registrati per un servizio, e vogliono persino creare un e-Wallet UE come base per il futuro identificazione per qualsiasi servizio di fiducia.