FAQ

Che cosa significa il messaggio di errore "Mancata corrispondenza del numero di serie. Consigliamo vivamente di seguire il processo di pre-firma per recuperare il numero di serie StepUp effettivo” . Questo messaggio di errore indica che in un processo PWD/OTP la password è stata reimpostata e riselezionata senza eseguire una nuova identificazione con il corrispondente processo di step-up secondo la Guida di riferimento.

Mi sono autenticato correttamente con PWD/OTP, Mobile ID o Mobile ID App – ma la firma non ha funzionato… quale potrebbe essere la ragione?

Le cause sono:

• Hai impostato una nuova password per la procedura PWD/OTP. Questa operazione può essere eseguita solo in situazioni eccezionali presso un'autorità di registrazione interna e, in caso contrario, deve sempre avvenire nell'ambito di una nuova identificazione.
• In precedenza ti eri autenticato con PWD/OTP e ora hai attivato il tuo MobileID con un numero di cellulare svizzero o internazionale tramite un'app Mobile ID. Anche in questo caso deve avvenire una nuova identificazione perché è cambiato il mezzo di autenticazione appartenente all'identità.
• Hai cambiato la SIM o il gestore di telefonia mobile. Di conseguenza, l'autenticazione MobileID è cambiata quando si utilizza un MobileID. Anche per questo è necessaria una nuova identificazione.
• Se nessuna di queste cause è presente, dovresti aprire un ticket.

Spesso i messaggi fanno riferimento all'integrità mancante, ovvero il documento mostra le modifiche dopo aver firmato il documento. Ad esempio, gli elementi dalla rete sono stati scaricati e inseriti successivamente. Ciò può essere evitato utilizzando costantemente l'ultima versione dello standard PDF/A PADES per la firma. Per creare documenti PADES corretti, segui questo link qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Va notato che i validatori dell'UE sono lungi dall'essere armonizzati. Ciò significa che i portali di test possono presentare una firma elettronica qualificata come "non valida", anche se soddisfa i requisiti per la datazione eIDAS. L'UE sta lavorando all'armonizzazione.

"La firma è valida ma non è stato possibile verificare la validità dell'identità del firmatario" è la dichiarazione di Adobe se non è stato utilizzato il formato LTV. Lo sfondo è che Adobe cerca quindi di verificare la validità di un certificato di 10 minuti. Se non è stato utilizzato un formato di convalida a lungo termine, che memorizza le informazioni di validità al momento della firma, dopo qualche tempo non è più possibile accedervi. Pertanto, le firme con certificati a breve termine (ma anche le firme con prova a lungo termine) devono essere sempre salvate in formato LTV. Puoi trovare ulteriori suggerimenti qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Questo messaggio viene attivato in due casi:

a) Se sei appena stato identificato con l'app Swisscom RA e in precedenza è avvenuta una modifica con il tuo metodo di autenticazione (cambio carta SIM/contratto, Mobile ID reset, password per la firma è stata modificata, cambia da PWD/OTP a Mobile ID )

In questo caso va tutto bene e puoi continuare a iscriverti come al solito fino al livello qualificato.

b) Nel caso in cui siano disponibili nuovi Termini e condizioni che devono essere accettati e si è verificata una modifica con il metodo di autenticazione dall'ultima firma riuscita (modifica carta SIM/contratto, ripristino Mobile ID, password per la firma è stata modificata, passaggio da PWD da /OTP a Mobile ID)

In questo caso è necessario essere nuovamente identificati per poter apporre firme qualificate.

La chiamata di verifica che controlla se una persona è ben nota al RA-Service restituisce il seguente codice di errore:

{

“codice di stato”: 404,

"messaggio": "Impossibile verificare la giurisdizione dell'utente sconosciuto con msisdn XXXXXXXXX",

"exceptionClass": "EvidenceVerificationException"

}

Ciò significa che la persona è sconosciuta al Servizio RA. Potrebbe essere che questa persona sia stata probabilmente identificata ma non abbia accettato l'SMS con le Condizioni d'uso. Dopo poco tempo (ca. 2 settimane) i dati della persona verranno cancellati.

In questa pagina Verifica firma puoi verificare in qualsiasi momento se puoi firmare elettronicamente o se hai bisogno di una nuova registrazione:

https://check-firma.scapp.swisscom.com/

Se l'esito è positivo, ti verrà mostrato con quale tipo di firma (QES, FES) e in quale area legale (UE, Svizzera) puoi firmare elettronicamente.

In caso di esito negativo viene visualizzato il motivo della nuova registrazione e l'identificazione per la firma elettronica.

Tradotto con www.DeepL.com/Translator (versione gratuita)

Per poter firmare elettronicamente, devi essere registrato presso un servizio fiduciario. Questo servizio deve identificarti in modo univoco con speciali procedure di verifica in loco o da remoto e darti un mezzo con cui puoi approvare le firme in futuro, una "penna digitale" per firmare, per così dire. Questo ti evita di doverti identificare ogni volta.

I mezzi di approvazione (in linguaggio tecnico anche “mezzi di autenticazione”) possono essere i seguenti:

• Un'app sul tuo cellulare che si attiva automaticamente ogni volta che vuoi apporre una firma elettronica. Questo ti chiede, ad esempio, un'impronta digitale sul lettore di impronte digitali del tuo cellulare ("Fingerprint") o un'immagine del tuo viso ("Face-ID"). Una di queste app è ad esempio Mobile ID, che Swisscom ti fornisce gratuitamente. Se non vivi in Svizzera, devi prima scaricare l'app Mobile ID dal tuo app store e installarla sul tuo cellulare prima di poterla utilizzare per registrarti. In Svizzera, un'applicazione Mobile ID molto spesso è già installata sulle carte SIM svizzere, che potrebbe essere necessario attivarla solo tramite il sito Web Mobile ID .
• Se non desideri installare un'app, l'app di firma ti chiederà invece una password e ti invierà un SMS con un codice monouso che dovrai inserire in un apposito campo di immissione dell'app di firma. La password viene impostata per la prima volta durante il processo di registrazione. Puoi utilizzare questa procedura direttamente per avviare il processo di identificazione con i nostri partner, ma devi sempre conoscere bene la tua password per ogni firma!

Quindi spesso hai a che fare con 2 app o due programmi:

• L'app o il programma dei nostri partner di identificazione che ti identifica. Non avrai nulla a che fare con l'app o il programma per molto tempo dopo Nel caso di un'app, puoi anche disinstallarla nuovamente dal tuo cellulare, a condizione che la tua registrazione sia andata a buon fine!
• L'app o la combinazione password-codice monouso che ti servirà in seguito per approvare la firma. Questo viene utilizzato per la prima volta durante il processo di identificazione in modo che la tua identificazione sia collegata alla tua approvazione personale. Quindi è garantito che la "penna digitale" appartenga a te!

La legge stabilisce inoltre che è necessario accettare i termini di utilizzo del servizio fiduciario. Approfittiamo di questa circostanza e ti faremo firmare questi termini di utilizzo elettronicamente durante il processo di registrazione. Questa è la prima volta che utilizzi il tuo mezzo di approvazione e puoi usarlo, ad esempio, per impostare la password per la prima volta o per utilizzare il Mobile ID per la prima volta. I termini di utilizzo saranno

• sia già accettato durante la registrazione (ad esempio nella procedura di identificazione automatica della società NECT nell'UE),
• oppure a seguito della registrazione tramite un messaggio SMS che ti inviamo e in cui è presente un collegamento a un sito Web dove è possibile accettare i termini di utilizzo.

Si prega di notare che alcune procedure devono controllare nuovamente i dati manualmente in parallelo in background. Per questo deve essere disponibile un operatore gratuito. Per questo motivo, potrebbe essere necessario attendere 15 minuti o più per alcune procedure automatiche.

I problemi possono verificarsi in diversi punti del processo di identificazione, motivo per cui un'analisi individuale può richiedere molto tempo e molti specialisti. Esempi sono:

• con il nostro partner che effettua la tua identificazione,
• presso il nostro host del sito Web, che non avvia correttamente la tua richiesta di registrazione,
• durante l'invio, la consegna o la ricezione di SMS da parte delle rispettive compagnie telefoniche,
• durante il riconoscimento del tuo documento di identità, la fotocamera, il modulo ricevitore NFC,
• con l'app per l'identificazione o il sistema operativo del tuo dispositivo mobile,
• sull'app di rilascio,
• in caso di rifiuto dovuto a valutazioni del rischio regolamentare,
• durante la trasmissione e la corrispondenza dei dati di registrazione,
• eccetera.

Come puoi vedere, molti enti sono coinvolti nel processo e trovare singoli errori può richiedere molto tempo e non è sempre possibile in termini di tempo e personale. Purtroppo le procedure sono così complesse anche dal punto di vista normativo che, di regola, non sempre il 5-10% può essere registrato completamente da remoto. Con l'identità elettronica, tutti i paesi stanno attualmente creando le condizioni affinché questa possa migliorare in futuro.

Si prega di notare che per l'identificazione NON sono accettati permessi di soggiorno (CH), patenti di guida/patenti di guida, copie di carte d'identità, ma solo carte d'identità/carte d'identità a lettura ottica dell'UE/SEE e della Svizzera e altrimenti solo passaporti a lettura ottica. Nella procedura di identificazione elettronica per la Germania è accettata solo la carta d'identità tedesca.

Tuttavia, è anche possibile che le caratteristiche di sicurezza o i dati della tua carta d'identità non possano essere letti correttamente. Assicurati che l'illuminazione sia buona e riprova l'identificazione (gratuitamente) utilizzando il link nell'e-mail di conferma (mittente „Support Trust Services – GSD-TS“) che hai ricevuto da noi.

Per prima cosa prova ad accedere al sito Web Smartflow e inserisci il tuo numero di cellulare. Avrai bisogno di un codice monouso per accedere, che ti verrà inviato tramite SMS. Se anche questo SMS non arriva a te, purtroppo non siamo in grado di aiutarti perché il tuo numero di cellulare o la tua compagnia telefonica non possono o non vogliono ricevere il nostro SMS al momento. Ti verranno rimborsate le spese di identificazione. Tuttavia, ti preghiamo di fornirci il tuo numero di cellulare in modo che possiamo contattare le compagnie telefoniche di conseguenza per la prossima volta.

Se l'SMS è stato ricevuto, puoi accettare i termini di utilizzo nella pagina indicata.

Riprova prima gratuitamente tramite il link nell'e-mail di conferma (mittente „Support Trust Services – GSD-TS“).

Se l'identificazione non funziona di nuovo, richiedi gratuitamente un buono per la videoidentificazione secondo la procedura di autoassistenza in 3 passaggi o ottieni il rimborso dell'importo pagato in caso di pagamento con carta. Un operatore può guidarti attraverso il processo di identificazione video meglio di una procedura automatizzata.

Avete già ricevuto un SMS con un link alle condizioni di utilizzo di Swisscom Trust Services e le avete già accettate? Se non riesci a trovare l'SMS, vai sul sito Web Smartflow e accedi con il tuo numero di cellulare e prova ad accettare i termini di utilizzo lì. Se ciò non è possibile, ripetere l'intero processo gratuitamente tramite il collegamento nell'e-mail di conferma (mittente "Support Trust Services – GSD-TS").

Se l'identificazione non funziona ancora una volta, richiedi un voucher per una videoidentificazione gratuita secondo il 3-Step Self-Support o fatti rimborsare l'importo pagato in caso di pagamento con carta. Un operatore può guidarti attraverso il processo di identificazione video meglio di una procedura automatizzata.

Dopo aver attivato un'identificazione, riceverai una nostra e-mail di conferma (mittente "Support Trust Services – GSD-TS"). Questo contiene anche un link per ripetere l'identificazione gratuitamente. Se non trovi questa e-mail, controlla la cartella "SPAM" nella tua casella di posta elettronica. Forse è stato erroneamente classificato come "SPAM". In caso contrario, potrebbe essersi verificato un problema tecnico. Ottieni un nuovo voucher tramite la procedura di supporto in 3 passaggi.

Puoi verificare gratuitamente se sei pronto a firmare: Check Signature (swisscom.com)

Sappiamo che soprattutto il rimborso ovviamente non è molto soddisfacente per te, perché vuoi firmare elettronicamente. Molti partner offrono anche l'identificazione personale nella procedura face2face presso i loro uffici o filiali. Se necessario, chiedi al tuo partner di questa possibilità. In Svizzera, i cittadini possono beneficiarne gratuitamente anche presso le filiali Swisscom o presso il partner Ylex. Ma anche qui devi essere in grado di presentare almeno un passaporto o una carta d'identità a lettura ottica dell'UE/SEE o della Svizzera.

In Svizzera, Swisscom amplia continuamente le possibilità di consentire l'identificazione negli Swisscom Shop. Ne parleremo in questa pagina web principale. All'estero, l'identificazione sarà possibile solo tramite partner che lo offrono. A medio termine, Swisscom cerca un collegamento con identità esistenti (ad es. verifica dell'identità online da parte di una banca o un eID statale, come il Personalausweis tedesco o SwissID).

Durante l'identificazione vengono richiesti i mezzi di autenticazione (ad es. in particolare il numero di cellulare). Con questo viene già eseguita una prima firma (autenticazione step-up), tipicamente la firma delle condizioni d'uso che sono state accettate. Questa firma viene trasferita all'All-in Signing Service. Ciò significa che il sistema All-in Signing conosce esattamente i mezzi di autenticazione.

Un'agenzia di RA è associata ad un'area di stoccaggio (cosiddetto “tenant”) nella quale sono gestite solo le persone individuate dall'agente master della RA o da altri agenti di RA della sua agenzia. L'agente RA-Master ha accesso a questo tenant e può nominare qualsiasi persona identificata di questo tenant come agente RA.

Se una persona è stata identificata con un altro metodo del Smart Registration Service (es. identificazione video nell'UE), l'Agente RA-Master non può nominare tale persona come agente RA in quanto è associato ad un altro tenant (il tenant SRS). L'Agente Master RA deve identificarlo nuovamente tramite l'App RA.

L'unica eccezione è il primissimo agente RA-Master: viene comunque identificato da una persona di Swisscom, Swisscom Partner o ad es. un'identificazione video e quindi finisce di default nell'inquilino "sbagliato". Quando l'agenzia è configurata, l'agente principale RA indicato viene ricercato e spostato al nuovo inquilino corretto dell'agenzia RA. Non sono tuttavia possibili ulteriori rinvii.

Questa è una risposta di prova

Si prega di trovare una tabella con tutti i documenti di identità e passaporti accettati:

Elenco dei documenti supportati

Questo accade indirettamente. In pratica, la procedura è la seguente: L'agenzia RA nomina prima un agente principale della RA. Questo agente è identificato da Swisscom o da un partner di Swisscom e segue una formazione. Riceve quindi un'interfaccia utente con la quale può trasformare altre persone identificate da lui solo in agenti RA o agenti master RA. Tuttavia, devono anche seguire una formazione e-Learning automatizzata richiesta.

In linea di principio, Swisscom deve conservare i dati per un tempo molto lungo (11 anni in Svizzera o 35 anni nell'UE). Tuttavia, le persone possono essere disattivate dall'agente principale della RA o da Swisscom in modo che non possano più firmare.

In media, un'identificazione viene completata entro 2 minuti.

Tenere la fotocamera in alto in modo che l'intero documento di identità venga catturato dal ritaglio (ancora sfocato se necessario). Avvicina lentamente la fotocamera al badge e ricomincerà a mettere a fuoco.

Le agenzie RA agiscono per conto dell'ufficio di registrazione di Swisscom. Oltre ai doveri di un'attenta esecuzione delle attività del registro, anche la protezione dei dati è una priorità. I principi di protezione dei dati di cui all'art. 28 DSGVO, che si riflettono in forma precisa nelle misure tecnico-organizzative (TOM) nel contratto di Agenzia RA. Si basano su 2 sezioni dell'art. 28, che riflettono l'utilizzo dell'app sul dispositivo mobile:

• La misura deve “assicurare la capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi al trattamento nel lungo periodo” e
• Includere una procedura per il riesame, la valutazione e la valutazione periodici dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
• Il responsabile del trattamento e il responsabile del trattamento adottano misure per garantire che le persone fisiche sotto la loro autorità che hanno accesso ai dati personali li trattino solo su istruzione del responsabile del trattamento, a meno che non siano obbligati a farlo dal diritto dell'Unione o nazionale.

Ciò significa che oltre all'utilizzo di dipendenti accuratamente selezionati e formati, deve essere garantita la protezione dell'app sul dispositivo mobile e anche la protezione degli accessi. I dispositivi sono adeguatamente protetti dai virus? Sarà vietato scaricare programmi da altri app store che non offrono una protezione sufficiente? I dipendenti mantengono segreti i propri PIN e password? I dispositivi non sono rootati?

Il compito più importante dell'agente RA è l'esame rigoroso dei documenti di identità presentati e in particolare la verifica rigorosa delle informazioni di campo lette dall'OCR dalla carta d'identità / passaporto nonché la corretta registrazione del numero di cellulare.

In base alle leggi sulla protezione dei dati, non offriamo alcun contratto di agenzia RA con agenzie RA al di fuori delle giurisdizioni menzionate. Gli agenti RA che lavorano in giurisdizioni diverse da SEE/EU/CH non devono identificare le persone residenti in SEE/EU/CH.

Non sono necessarie istruzioni speciali, perché il processo è esattamente lo stesso di un’identificazione “live” con RA App. La modalità demo è descritta nella formazione di base per gli agenti RA.

Puoi accedere alla modalità demo della RA App effettuando il login con le seguenti informazioni:

• Numero di cellulare: +41123456789
• Nome azienda: demo

Corretta. Se una persona non ha un documento d'identità o un passaporto leggibile dalla macchina, non può essere identificata con l'app RA per la firma elettronica e quindi non può utilizzare il signing service.

No. È vietato scansionare copie di documenti di identità o passaporti con la RA App. Il motivo è che le funzionalità di sicurezza non possono essere verificate su una copia.

No, questo non è consentito. La RA App è stata certificata per l'identificazione faccia a faccia e di conseguenza può essere utilizzata solo nel contatto personale.

Poiché Mobile ID è un metodo di autenticazione personale, l'utente deve attivarlo lui stesso. L'utente deve sempre attivare Mobile ID prima dell'identificazione con RA App o Smart Registration Service in modo che l'utente possa utilizzare Mobile ID come metodo di autenticazione per la firma. L'utente deve seguire le istruzioni alla voce di menu di www.mobileid.ch “MY MOBILE ID”. L'utente può anche trovare una FAQ dettagliata sul sito web Mobile ID

Avvisate il vostro agente RA-Master e chiedetegli di cercare nel portale il numero di cellulare. Puoi inviare nuovamente l'SMS con le condizioni di utilizzo cliccando sul link con il simbolo PDF:

Assicurati di non aver registrato la persona nella modalità demo dell'app RA (numero di cellulare +41001234567, azienda “demo”).

Controllare la pagina Stato del servizio ( https://trustservices.swisscom.com/service-status/ ) per vedere se ci sono errori. Se non arriva alcun SMS dopo un altro tentativo, informare l'assistenza.

Se sei già registrato (con l'app RA o il Smart Registration Service), devi osservare quanto segue:

• Se hai confermato i termini di utilizzo con PWD/OTP durante l'identificazione, hai definito questo metodo come metodo di dichiarazione di volontà. Ora, se abiliti l'app Mobile ID come metodo, non potrai più firmare finché non sarai stato identificato.
• Se utilizzi già Mobile ID su SIM card e desideri utilizzare l'app Mobile ID, devi utilizzare il codice di ripristino all'attivazione o per autenticarti con la SIM Mobile ID all'attivazione e non attivare come “nuovo Mobile ID”. In caso contrario, anche questa app verrà considerata come un nuovo metodo di dichiarazione di volontà e dovrai essere nuovamente identificato.
• Lo stesso accade al contrario se si desidera passare da un'app Mobile ID installata alla scheda SIM Mobile ID.

Il messaggio di errore tipico in tal caso è un messaggio di errore con "mancata corrispondenza seriale".

Lo Smart Registration Services tenta 5 volte in tutti e 3 i giorni di inviare nuovamente l'SMS. Solo se tutti i tentativi falliscono dopo 15 giorni è necessaria una reidentificazione.

Se non hai già accettato i termini di utilizzo c'è sempre la possibilità di negare i termini di utilizzo. Se hai accettato i termini di utilizzo e hai utilizzato anche il nostro servizio, dobbiamo registrare il tuo registro di utilizzo e i dati di registrazione per un periodo di conservazione di 35 anni nell'UE e 11 anni in Svizzera. Ma potresti facilmente smettere di emettere firme elettroniche.

Con il metodo password/codice SMS purtroppo non c'è possibilità di recupero; un utente deve in ogni caso essere re-identificato dopo aver cambiato la sua password.

In Svizzera, per impostazione predefinita, passiamo Mobile ID alla modalità fallback PWD/OTP se la scheda SIM non è abilitata per Mobile ID. Nella sala eIDAS lavora di default con l'App Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id/id1500393675 ), ma possiamo anche abilitare PWD/OTP.

L'app Mobile ID si basa sull'interfaccia Mobile ID, che offre anche l'autenticazione con impronta digitale o riconoscimento facciale. Questa app richiede solo una connessione Internet durante l'autenticazione e può quindi essere utilizzata a livello internazionale. Tuttavia, per la configurazione dell'app è ancora necessaria una carta SIM internazionale (numero di cellulare). Vedi https://mobileid.ch .

In generale sono possibili anche altri metodi di autenticazione, ma questi devono essere approvati da KPMG. Ciò richiede la firma di un contratto di supporto onboarding, che regola il concetto di implementazione e l'esecuzione dell'audit. I nuovi metodi devono essere autorizzati separatamente per ZertES e eIDAS.

Sfortunatamente no. Hai un nuovo mezzo di autenticazione che inizialmente non è stato registrato con l'identificazione. Vale a dire che devi essere identificato di recente utilizzando il MobileID.

Nessuna garanzia, ma dovrebbe funzionare quasi ovunque – si può avere una visione più approfondita di questa panoramica:

https://www.swisscom.ch/it/residenziale/piani-tariffe/inone-mobile/roaming.html

(Vai a "Verifica tariffa", seleziona un tipo di contratto modello di abbonamento arbitrario e il paese)

Con l'app MobileID come mezzo di autenticazione, sei indipendente dall'invio degli SMS.

Il servizio viene fornito fondamentalmente ai residenti nell'UE/SEE e in Svizzera con numeri di cellulare di questi paesi. La ricezione su numeri di cellulare di altri paesi potrebbe non funzionare o potrebbe essere impedita da vari paesi. Nell'ambito di un progetto, Swisscom può essere incaricato di garantire la ricezione in questi paesi tramite speciali provider di SMS.

Per la firma qualificata è necessaria un'autenticazione a 2 fattori: “possesso” e “conoscenza”, cioè solo il possesso (SMS) non è sufficiente.

No, OTP è sufficiente per le firme avanzate.

La perdita della password porta a una nuova identità digitale. I fornitori di applicazioni possono reagire a questo e, se necessario, richiedere una nuova identificazione del firmatario, ad esempio con l'App RA.

Poiché entrambe le modalità richiedono il segreto oltre al possesso del numero di telefono, una volta che il numero di telefono è stato trasferito, nessuna firma per l'identità digitale preesistente può essere attivata. Ciò significa che la persona deve essere nuovamente identificata.

Poiché un numero di rete fissa non può essere praticamente assegnato a una persona, ciò non è possibile. L'SMS ha lo scopo di garantire che venga contattato qualcosa che è esclusivamente e senza eccezioni assegnato alla persona che firma il documento.

I dispositivi moderni sono dotati di WIFIchiamata. Questi possono essere utilizzati anche per accedere a una zona WIFI. Senza Internet, tuttavia, le firme remote non sono possibili.

Nel caso di un MobileID, puoi utilizzare un codice di ripristino per trasferire il MobileID alla nuova SIM ( https://www.mobileid.ch/it/login ). Nel caso di PWD/OTP e lo stesso numero di telefono, rimane anche l'opzione di autenticazione.

MobileID è sempre configurato in combinazione con una soluzione di fallback PWD/OTP, ovvero viene inviata automaticamente una finestra di password. Puoi attivare il tuo MobileID sulla piattaforma https://mobileid.ch . Se l'app MobileID viene utilizzata e attivata, viene utilizzata l'app MobileID.

Nel caso standard, dopo l'identificazione, il cliente riceve prima le condizioni di utilizzo per il servizio di firma di Swisscom. Il cliente lo conferma e quindi attiva una prima firma di queste condizioni, nell'ambito delle quali può anche definire la password per la prima volta. La cosiddetta "autenticazione step-up".

Per impostazione predefinita, attualmente Swisscom offre solo questi metodi. Tuttavia, l'estensione sarà elaborata in futuro, in modo che i metodi biometrici possano essere possibili anche se l'approvazione è stata concessa. Inoltre, Swisscom accompagnerà facoltativamente il cliente se desidera utilizzare una soluzione verificata per consentire una firma aggiuntiva presso l'autorità di riconoscimento. Saranno sostenuti costi aggiuntivi.

La base dell'autenticazione a 2 fattori è il fatto che entrambi i fattori devono essere registrati in relazione all'autenticazione, ovvero non può essere scelta alcuna password che conosca solo l'applicazione dell'abbonato, ma l'abbonato stesso è stato identificato con RA-App. Tale eccezione potrebbe essere immaginata solo se il partecipante stesso effettua un'identificazione autorizzata per delega della RA e inoltre progetta la procedura di autenticazione in modo tale che entrambi i fattori (login, rilascio SMS) siano effettuati in una breve sessione. Sia la propria procedura di identificazione che questa procedura di sessione devono essere descritte dettagliatamente in un concetto di implementazione e richiedono un'autorizzazione da parte di Swisscom e dei suoi revisori. Qui vengono sostenuti costi aggiuntivi.

Se sei stato identificato e hai utilizzato in precedenza PWD/OTP:

• Se vuoi usare l'app Mobile ID, devi identificarti nuovamente
• Se desideri utilizzare Mobile ID (numero di cellulare svizzero), devi identificarti nuovamente

Se sei stato identificato e hai utilizzato in precedenza Mobile ID:

• Se ora vuoi utilizzare l'app Mobile ID (questo sarà possibile solo su una carta SIM che non supporta Mobile ID) e utilizzare il codice di ripristino di Mobile ID, puoi continuare a firmare
• Se attivi l'app SENZA codice di recupero, devi essere nuovamente identificato
• Se vuoi usare PWD/OTP, devi essere nuovamente identificato

Se sei stato identificato e finora hai utilizzato l'app Mobile ID:

• Se ora desideri utilizzare il Mobile ID della carta SIM (questo sarà possibile solo su una carta SIM svizzera) e utilizzare il codice di ripristino dell'app Mobile ID, puoi continuare a firmare
• Se attivi il Mobile ID della SIM SENZA codice di ripristino, devi essere nuovamente identificato
• Se vuoi usare PWD/OTP, devi identificarti nuovamente

Ciò significa che Mobile ID e Mobile ID App sono metodi di autenticazione coordinati, PWD/OTP è un metodo di autenticazione completamente diverso. La firma remota richiede sempre che i mezzi di autenticazione siano inclusi durante la registrazione (cioè durante l'identificazione). Pertanto, in alcuni casi, sarà necessaria una nuova identificazione.

In qualità di agente RA, dovresti informare Swisscom tramite la pagina di supporto nel caso in cui il telefono cellulare non fosse adeguatamente protetto da attacchi dannosi (come password con 8 caratteri, ecc.) o se fossi ancora loggato in RA App poiché potrebbero verificarsi gravi problemi di protezione dei dati . In caso di firme dovresti cancellare la tua carta SIM, eventualmente modificare i tuoi dati di accesso e smettere di apporre firme fino a quando non ricevi la tua nuova carta SIM.

Swisscom non è in grado di garantire sufficientemente la ricezione dell'SMS. L'unico fattore di responsabilità di Swisscom è l'invio dell'SMS il più rapidamente possibile. Né le condizioni di ricezione del segnale mobile né le prestazioni del partner di roaming interno o esterno possono essere controllate e si basano su contratti e standard di telecomunicazioni internazionali

L'uso del nome del mittente come “Swisscom” o simili sarebbe utile per il destinatario. Ma in effetti abbiamo sperimentato che tali SMS sono spesso trattati come SMS di spam dai nostri partner di roaming.

Sì, dopo 5 anni anche le persone identificate per le firme anticipate devono essere nuovamente identificate. Tuttavia, per le firme avanzate è sufficiente che la carta d'identità fosse valida al momento dell'identificazione. Se questo scade entro i 5 anni, non è necessaria una nuova identificazione. Per le firme qualificate, invece, un documento d'identità è valido finché la carta d'identità era valida o per un massimo di 5 anni dopo tale identificazione. In casi speciali, ad esempio quando viene utilizzata l'identificazione bancaria, la validità di un'identificazione può anche essere limitata a un periodo inferiore a 5 anni se la normativa lo richiede.

Sì, questo è l'unico compito dell'applicazione dell'abbonato, che quindi invia ripetutamente l'hash con la richiesta di firma all'All-in Signing Service. È possibile generare un numero qualsiasi di firme per lo stesso documento digitale.

Sì, ma ciò richiede 2 canali di comunicazione e impostazioni, ovvero la firma deve essere prima autenticata dalla persona che firma tramite un canale (on demand) e poi firmata in modo organizzativo (con certificato statico creato in precedenza) da un certificato di autenticazione SSL tramite un secondo canale.

Sì, più documenti possono essere firmati con un'approvazione all'interno di una sessione. Al massimo ca. 250 firme.

Le firme XML secondo lo standard XADES possono essere fatte sulla base di sigilli ma non di firme personali (al momento). Nel client devi preparare lo standard XADES: deve essere implementata la chiamata di una "firma semplice".

Per le firme nell'area legale svizzera: www.validator.ch (Attenzione, il validatore non è sempre aggiornato). Per le firme nell'area giuridica dell'UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

Va notato che i validatori dell'UE sono lungi dall'essere armonizzati. Ciò significa che i portali di test possono presentare una firma elettronica qualificata come "non valida", anche se soddisfa i requisiti per la datazione eIDAS. L'UE sta lavorando all'armonizzazione.

È possibile convalidare solo le firme QES. Non ci sono validatori per le firme AES.

Devono essere aperti due account utente (ClaimedIdentity), ogni account è correlato al rispettivo tipo di firma, ovvero l'applicazione partecipante deve decidere su quale account inviare una richiesta di firma. Entrambi gli account possono essere indirizzati tramite un'interfaccia, ovvero lo stesso endpoint. È prevista una commissione di servizio per account. A fine mese vengono emesse 2 fatture. Pertanto devono essere presentati 2 contratti di servizio con 2 diverse dichiarazioni di configurazione e accettazione. Se hai 2 aree legali e 2 tipi di fatturazione, hai ancora solo un'interfaccia (tecnica), ma 4 punti di interfaccia di accesso al servizio e da questo 4 volte una commissione di servizio. Raddoppia nuovamente a 8 ClaimedID, se entrambi i livelli di firma (QES/AES) sono pianificati con entrambi i tipi di fatturazione ed entrambe le giurisdizioni.

Sì, ad esempio:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

Molti esempi sono disponibili anche sulle pagine dei nostri partner: https://trustservices.swisscom.com/partner

In linea di principio, una marca temporale memorizza anche la zona (l'offset). A questo proposito, tutti i programmi locali mostreranno l'ora locale effettiva.

In linea di principio, Swisscom fornisce un hash firmato e quindi supporta i formati PADES (PDF) e, nel caso di certificati di organizzazione, i formati XADES (XML). I file di Word non sono firmati e non sono destinati a questo scopo per legge.

No

No, esiste solo un timestamp comune.

Principalmente sì. In caso di utilizzo del cognome e del nome, deve essere esattamente lo stesso che si trova nella carta d'identità o nel passaporto. Ma se questo è difficile da implementare, la funzionalità del modello può supportare ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Questa funzione consente di rilevare esattamente il nome e il cognome utilizzati durante l'identificazione in combinazione con il servizio RA (SRS).

Swisscom è inoltre in grado di configurare il servizio in modo che venga utilizzato solo uno pseudonimo al posto del cognome e del nome. Inoltre il “Common Name” (CN) potrebbe essere utilizzato con i nomi solitamente usati per questa persona (indipendentemente dal documento di identità). La chiamata di verifica del RA-Service verifica in questo caso il numero di cellulare utilizzato durante l'identificazione e il paese. L'uso dello pseudonimo in verificareCall è indipendente dall'uso dello pseudonimo nella chiamata di richiesta di firma.

Sì, sul mercato sono disponibili diverse librerie che consentono una rapida implementazione di un'applicazione di firma. Tutti hanno anche un supporto speciale per Swisscom Service:

• Intarsys, Germania : fornisce varie soluzioni per la gestione e l'integrazione delle firme: https://www.intarsys.de/produkte/fernsignatur

Intarsys è un partner premium di Swisscom e conosce molto bene il servizio AIS dal punto di vista tecnico e può fornire supporto di consulenza.

• PDF-Tools, Svizzera : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Belgio : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom utilizza iText nei suoi esempi, ma gli esempi sono "obsoleti", ovvero alcune funzionalità sono cambiate. Ma la gestione di base può essere vista lì: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Germania : alcuni clienti utilizzano SetaPDF, che offre anche una soluzione speciale per Swisscom Service: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Svizzera (Skribble.com): https://api.skribble.com/swagger-ui.html

Swisscom declina ogni responsabilità per il funzionamento senza errori di queste biblioteche. Questi possono contenere errori e richiedere conoscenze e competenze speciali. L'utilizzo è a rischio e pericolo dell'abbonato.

Vedi https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

È disponibile una modalità di prova e demo che consente di provare l'app, ma non vengono trasmessi dati. A tal fine è necessario inserire nel modulo di registrazione il numero di cellulare +41001234567 e la ragione sociale “demo”.

No. Swisscom richiede addirittura che, quando lo schermo PWD/OTP è integrato come "iFrame", una persona esterna possa verificare che provenga da Swisscom. Ad es. è possibile utilizzare le funzioni standard del browser che Swisscom pubblica tramite il collegamento al proprio sito Web in conformità al capitolo 4 delle condizioni di utilizzo. Per l'integrazione iFrame, dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Non c'è supporto per lo screen scraping come interfaccia. Developers potrebbe trovarsi di fronte al fatto che le schermate verranno cambiate. È anche in contraddizione con l'attuazione del "controllo esclusivo" tra il firmatario e il certificato di firma.

Sì, ma solo come iFrame, le istruzioni possono essere trovate qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, vedere https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sì, come descritto nella Guida di riferimento ( www.swisscom.com/signing-service ) in «Metodo Step-Up» nel campo «Messaggio», il blocco di testo con l'intestazione del messaggio per l'espressione dell'intenzione e la l'impostazione con “Lingua” può essere configurata nell'ambito del protocollo. Per la finestra di inserimento SMS la lingua può essere impostata anche con il parametro “Lingua”.

Il prerequisito per l'installazione è una "dichiarazione di configurazione e accettazione" firmata dal cliente e verificata dall'autorità di registrazione globale. Tale dichiarazione contiene gli obblighi del gestore di una domanda di firma (es. la possibilità di esibire il documento completo da sottoscrivere, garantire l'accesso al servizio), ma anche le caratteristiche del servizio.

Un altro prerequisito è un certificato di accesso, che assicura la comunicazione dell'applicazione di firma al servizio di firma.

Dopo aver verificato il documento, il nostro Servizio di Setup riceve l'ordine di attivazione del servizio con il certificato di accesso inviato e la specifica selezionata nella configurazione e dichiarazione di accettazione. Nel caso di firme qualificate, il servizio viene inizialmente attivato solo per le firme “avanzate”. Successivamente, al contatto indicato nella dichiarazione di configurazione e accettazione viene richiesta una firma di esempio con la firma avanzata. Se questo è impeccabile, il servizio viene commutato al livello "qualificato" se richiesto. Anche il cliente sarà informato di questo. Ora ha 10 giorni per segnalare eventuali irregolarità direttamente al team di installazione. Se non si ricevono reclami durante questo periodo, la connessione al servizio è accettata. Ulteriori incidenti possono quindi essere segnalati a Swisscom tramite 1st Level Support in caso di contatto diretto con Swisscom o con il partner di rivendita.

Il certificato di accesso può essere un certificato autofirmato. Ad esempio con il software openssl.

Requisiti per il nome distinto:

• CN=<URL del sistema dell'abbonato che effettua la comunicazione con AIS o altra identificazione univoca del sistema dell'abbonato>
• O=<Nome dell'organizzazione>
• Email=<E-Mail per notifica ad es. in caso di fine validità>
• C=<Paese dell'organizzazione>

I seguenti requisiti aggiuntivi devono essere presi in considerazione durante la preparazione del certificato:

• Durata massima 3 anni
• Algoritmo hash minimo SHA-256
• Lunghezza chiave minimo 3072 bit

Per i certificati di accesso valgono ancora condizioni speciali nell'ambito della creazione del sigillo regolamentato (ZertES) o qualificato (eIDAS): la chiave privata del certificato di accesso deve essere creata su un modulo crittografico in una cerimonia congiunta di un rappresentante dell'autorità di registrazione di Swisscom. Questo modulo deve soddisfare i requisiti di FIPS 140-2 livello 2 o simili, ad esempio Yubikey, Feitan key o Microsoft Key Vault. In alternativa, può essere presentato un concetto su come ottenere in altri modi l'assegnazione del certificato di accesso alla persona responsabile dell'organizzazione.

Nel caso di un sigillo, oltre alla dichiarazione di configurazione e accettazione da parte dell'operatore della piattaforma di firma, richiede anche una richiesta di certificato per il certificato di sigillo, un certificato dell'organizzazione. A differenza del certificato per la firma personale, il certificato di sigillo è rilasciato per tre anni. La domanda di certificato deve essere firmata da persone autorizzate dell'organizzazione. L'autorizzazione può risultare dal registro (es. procura) oppure può essere anche una procura speciale, rilasciata ad esempio per gli operatori del centro di calcolo. Swisscom ha bisogno della prova di questa procura. Queste persone vengono inoltre identificate personalmente in anticipo da un rappresentante dell'ufficio di registrazione di Swisscom tramite RA-App. Potrebbe trattarsi anche, ad esempio, di un agente RA di un rivenditore che ha effettuato l'identificazione personale. Ciò consente alla persona di firmare la domanda utilizzando una firma elettronica. La domanda viene inviata a Swisscom senza firma e Swisscom invita le persone a firmare elettronicamente. I passaggi successivi ora differiscono a seconda del tipo di sigillo:

Firma avanzata: il richiedente invia a Swisscom un certificato SSL, che desidera utilizzare come certificato di accesso per l'interfaccia al sigillo.

Firma qualificata/regolamentata: il richiedente concorda con Swisscom una data per la creazione congiunta di una chiave privata. Questo deve essere creato su un dispositivo crittografico basato sulla qualifica FIPS 140-2 livello 2 o simile (es. Yubikey, Feitan Key, Key Vault HSM Microsoft, ecc.) Viene quindi creato un certificato di accesso basato su questa chiave. Cioè per il processo di firma l'accesso deve essere rilasciato per mezzo di questo certificato. In alternativa, può essere presentato un concetto su come l'assegnazione del certificato di accesso al responsabile dell'organizzazione può essere ottenuta in altri modi.

L'incorporamento di hash firmati dovrebbe essere compito degli specialisti PDF o delle librerie corrispondenti. Lo spazio per la firma deve essere precalcolato. Dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La seguente soluzione può fornire una soluzione. Lo presentiamo qui senza garanzia, poiché Swisscom si concentra solo sul servizio e non sulla richiesta di firma:

• Crea un PDF con un campo firma vuoto e precompilato
• L'intervallo di byte deve essere riempito con zeri fino alla dimensione prevista
• Calcola l'hash del documento
• Firma l'hash con All-in Signing Service
• Riempi l'hash firmato nel campo della firma vuoto
• Iterare nel campo della firma vuoto
• Determinare l'intervallo di byte del campo firma vuoto
• Calcola l'offset dell'intervallo di byte
• Apri il documento con il campo della firma vuoto in modalità lettura-scrittura e trova l'offset in cui è stato inserito l'hash

È anche molto importante seguire le linee guida per lo standard PADES e la convalida a lungo termine: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Nei parametri restituiti della Verifica Call viene restituito il cosiddetto “seriale”. Se inizia con "SAS" (cioè SASxxxxxxx), il cliente utilizzerà l'autenticazione PWD/OTP. Se inizia con “MID” (cioè MIDxxxxxx), il cliente utilizza la procedura Mobile ID. Tuttavia, non è possibile distinguere tra Mobile ID App e Mobile ID SIM Card.

Tuttavia, i risultati possono essere utilizzati, ad esempio, per fornire al cliente speciali testi di aiuto (ad es. se la password viene dimenticata, ecc.) o per fare riferimento alla dichiarazione di volontà sul telefono cellulare.

VerificaCall ti consente di verificare se un firmatario è già registrato o meno. Se scegli lo pseudonimo ti serviranno solo il numero di cellulare e il paese del firmatario. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS#1 è supportato solo per il formato e i sigilli CADES, ma non per le firme personali.

No, solo PADES/CADES per i sigilli e PADES per le firme personali.

Supporta Swisscom nella ricerca di un nome per il ClaimedID (accesso a signing service).

Sì, basta spuntare la casella di controllo appropriata.

Al momento stiamo ampliando le nostre capacità con altri algoritmi (pre-generazione di chiavi) ed espansione HW. Poiché più clienti utilizzano il servizio, assumiamo un carico massimo di una richiesta al secondo in media per cliente. Prestazioni più elevate, ovvero capacità riservate sono facoltativamente possibili.

È limitato a 250 per motivi di sicurezza piuttosto che per la capacità del servizio.

Tieni presente che abbiamo installato un WAF per proteggere nuovamente il nostro servizio dagli attacchi denial-of-service. Se desideri eseguire alcuni test di massa, ti preghiamo di contattarci in anticipo.

La firma deve essere sottoscritta con una dichiarazione di volontà (autorizzazione) di Mobile ID (SIM/App) o PWD/OTP. Dopo aver inviato la richiesta, l'utente ha solitamente 80 secondi per inserire l'autorizzazione. Il valore non è regolabile.

Ogni firma viene calcolata individualmente, ovvero in questo esempio vengono calcolate 5 firme.

No, sono offerti tramite due diversi ClaimedID e verranno fatturati in modo indipendente.

Swisscom non addebita alcun costo per l'invio di Mobile ID o SMS. A seconda della tariffa del partner di roaming, possono essere sostenuti costi per il roaming (cosa che accade molto raramente, ad esempio sulle crociere).

Qui devono essere aperti due account utente (ClaimedIdentity), ogni account è collegato con un metodo di fatturazione. Ciò significa che l'applicazione dell'abbonato deve decidere da sola quale account utilizzerà per inviare una richiesta di firma. È prevista una commissione di servizio per account. A fine mese vengono emesse 2 fatture.

Non ci sono costi per questi mesi.

In caso di firma remota, Swisscom conserva e gestisce in modo fiduciario le chiavi dei certificati di firma. In caso di firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. I certificati aziendali per i sigilli sono validi fino a 3 anni. Secondo la legge, la chiave privata deve essere archiviata su un dispositivo di creazione della firma (qualificato). La memoria per questo è un dispositivo progettato principalmente per l'archiviazione delle chiavi, l'HSM (Hardware Security Module). È soggetto a una severa regolamentazione, auditing, in termini di standard di sicurezza e accesso a questo dispositivo. Le firme nell'UE e in Svizzera sono soggette a standard di sicurezza particolarmente elevati, disponibili solo da pochi produttori di HSM in tutto il mondo.

Ci sono progetti in cui Swisscom si affida a procedure di identificazione legalmente riconosciute e verificate con terze parti. Un tipico esempio è una banca che effettua un'identificazione della presenza di una persona come parte del suo processo KYC. In questo caso Swisscom riceve una copia dei dati della banca per i propri scopi commerciali (firma). L'elaborazione dei dati dell'ordine non è necessaria qui, poiché ci sono due parti responsabili dei dati. Al contrario, anche qui non si applica il principio di titolarità congiunta del GDPR, poiché la reattività dei dati non serve allo stesso scopo commerciale ed entrambe le parti non agiscono in modo responsabile nel senso di uno scopo commerciale comune. La banca agisce per il suo scopo commerciale, ad es. l'apertura di un conto, e Swisscom persegue il suo scopo commerciale con l'emissione di firme. Tuttavia, in questo caso i nostri contratti di “delega attività anagrafica” contengono anche un minimo di disposizioni su come procedere in materia di protezione dei dati e GDPR.

Swisscom è obbligata per legge a registrare i dati personali per la firma. È quindi responsabile di questi dati. Ciò significa che Swisscom non può svolgere il ruolo di responsabile del trattamento dei dati, anche se riceve, ad esempio, i dati dei dipendenti da un'azienda cliente per la firma. Swisscom ha un mandato legale come quello delle telecomunicazioni o dei fornitori di servizi postali. Swisscom ha inoltre un rapporto contrattuale legale con i firmatari delle condizioni di utilizzo. In questo accordo, il firmatario accetta anche l'uso dei dati.

Con l'App RA, Swisscom trasferisce la registrazione dei dati di identità a un fornitore di servizi esterno, indicato nei contratti come «Agenzia RA». Il GDPR richiede in questo caso un contratto di elaborazione degli ordini. L'agenzia RA deve pertanto ottemperare agli obblighi di elaborazione dei dati dell'ordine.

Anche in progetti puramente svizzeri è richiesto il rispetto dell'elaborazione dei dati degli ordini GDPR. Ci sono due ragioni per questo:

• Da un lato, raramente si può garantire che le persone identificate in Svizzera non siano cittadini dell'UE soggetti al principio del mercato del GDPR,
• D'altro canto, l'app RA non può essere utilizzata in modo tale da identificare solo persone per la Svizzera, ovvero l'elaborazione dei dati dell'ordine avviene sempre anche per Swisscom IT Services Finance SE a Vienna.

I requisiti in materia di protezione dei dati da dimostrare e verificare si applicano anche alle attività dell'autorità di registrazione, compito di un prestatore di servizi fiduciari e di un prestatore di servizi di certificazione. Pertanto, l'app RA come parte del processo di registrazione deve garantire la protezione dei dati e la privacy. La stessa RA-App non memorizza i dati personali in modo permanente. Neanche i dati possono essere esportati. Non appena completata l'identificazione, i dati vengono trasferiti sottoscritti dall'agente RA come cd evidenze. Queste prove vengono archiviate presso il servizio RA di Swisscom in condizioni di sicurezza rigorose (ad es. accesso a 4 occhi). Solo poche persone hanno accesso a questi dati e possono trasmetterli solo in base a un'ingiunzione del tribunale o possono controllare la qualità dell'identificazione. Secondo la legge, Swisscom è responsabile illimitatamente per la corretta esecuzione della firma e quindi anche per l'identificazione.

Gli Agenti Master RA hanno accesso web ad un portale nel quale possono visualizzare tutte le persone identificate dagli Agenti RA con cognome, nome, data di scadenza del documento di identità e numero di cellulare. I documenti di identità e le foto (cd “prova”) non sono accessibili né esportabili.

Nell'ambito degli audit in corso, Swisscom deve garantire che siano rispettati tutti i severi requisiti di protezione dei dati necessari per l'emissione di firme digitali, sia nei confronti dell'autorità di certificazione in Svizzera sia nei confronti dell'organismo di valutazione della conformità in Austria. Ciò significa che, oltre all'autodichiarazione, i fornitori di servizi fiduciari e i servizi di certificazione sono obbligati dalla legislazione e dagli standard internazionali applicati, come ETSI 319 401, a dimostrare e ad aver verificato un'adeguata protezione dei dati per tutti i dati personali.

La Svizzera non è nell'UE e quindi non ha introdotto una legislazione dell'UE, il cosiddetto regolamento generale sulla protezione dei dati (GDPR). In realtà, il GDPR è applicabile anche se le società hanno sede in Svizzera e offrono servizi nell'UE.

Swisscom è quindi soggetta agli stessi obblighi di trattamento dei dati di tutte le altre organizzazioni che devono conformarsi al GDPR:

• ottenere il consenso della persona i cui dati sono trattati
• Garanzia "Privacy by design" e "Privacy by default"
• nominare un rappresentante per la protezione dei dati
• creare un elenco delle attività di trattamento
• segnalare le violazioni della protezione dei dati all'autorità di controllo
• condurre una valutazione dell'impatto sulla privacy

Tutte le applicazioni che riguardano la protezione dei dati e vengono utilizzate per l'elaborazione dei dati, ad esempio anche l'App RA devono essere conformi al GDPR. Swisscom fornisce informazioni al riguardo nelle sue pagine:

Svizzera: www.swisscom.com/signing-service

Austria: www.swisscom.at

con le corrispondenti dichiarazioni sulla protezione dei dati secondo GDPR.

La Svizzera è sempre stata ed è considerata un Paese terzo sicuro ai sensi dell'art. 45 GDPR (trasferimento dati basato su decisione di adeguatezza), ovvero non sono necessarie le consuete autorizzazioni come con altri paesi terzi (es. USA). Grazie alla sua legge sulla protezione dei dati e al continuo adeguamento al GDPR, la Svizzera dispone di un "livello di protezione adeguato per il trasferimento di dati personali" in conformità con i criteri dell'UE, ovvero deve essere trattata come un paese dell'UE durante il trasferimento dei dati:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Il Distinguished Name contiene il nome, il cognome e il paese di nascita/registrazione o il paese di origine della persona, oppure uno pseudonimo con un numero di serie che può essere ricondotto in modo univoco a una persona dall'anagrafe. I nomi delle organizzazioni sono consentiti solo in casi speciali

Sì, si distingue se i firmatari hanno accettato le condizioni d'uso della Svizzera o dell'UE o di entrambe. Tutti i dati vengono elaborati anche da Swisscom (Schweiz) AG per Swisscom IT Services Finance SE a Vienna.

In caso di certificati personali, Swisscom emette solo certificati a breve termine (i cosiddetti certificati «one-shot») che hanno una durata di 10 minuti e vengono utilizzati solo per una richiesta di firma. La probabilità che il certificato sia stato compromesso durante questi 10 minuti è praticamente inesistente. Dopodiché il certificato non è valido e non può essere compromesso. Grazie alla convalida a lungo termine, le firme con questo certificato rimangono valide e possono essere convalidate anche per periodi di tempo successivi alla scadenza.

Se l'intera CA (ossia il certificato radice) della certificazione e del servizio fiduciario è stata compromessa, esiste un processo che Swisscom descrive nel suo CP/CPS (vedi Area download – Repository).

Se un firmatario perde il suo supporto di autenticazione o scopre che la sua identità è stata determinata in modo errato, il nostro team di supporto deve essere informato immediatamente. In un rapporto contrattuale con uno dei nostri partner, contatta il partner con cui hai fornito la tua firma o identificazione. Adotterà quindi ulteriori misure per bloccare questa identificazione. Se un certificato di sigillo è stato compromesso, utilizzare i dati di contatto forniti su https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

Svizzera (QES), ZertES:

Il CP/CPS prevede che l'identificazione e la documentazione conservata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta d'identità/passaporto presentata scade prima del quinquennio o se la procedura di identificazione da parte del il revisore non concede 5 anni.

Si applica il periodo di conservazione ai sensi dell'articolo 11.1 dell'ordinanza del SigE/ZertES (rivista delle attività): "I fornitori riconosciuti conservano le registrazioni relative alle loro attività e i documenti giustificativi ad esse relativi per undici anni". Swisscom intende questo periodo anche come un periodo di conservazione per i documenti presentati nel processo di identificazione, in particolare una copia dell'ID.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso, il che significherebbe che Swisscom non avrebbe più documentazione in casi specifici, in particolare nell'applicazione dell'articolo 17 del SigE/ZertES (responsabilità illimitata).

• In sintesi il tempo di archiviazione è di 17 anni, che sono indicati anche nelle condizioni di utilizzo.

Europa, (QES), eIDAS:

Questa è la stessa giustificazione e derivazione del caso del QES in Svizzera, solo con la differenza che in Austria il periodo di conservazione legale è di 30 anni. L'articolo 10.1 della SVG (firma e Trust Services Act) prevede:

Diritti di accesso e periodo di conservazione

10. (1) Su richiesta di tribunali o altre autorità, un TSP qualificato concede l'accesso alla documentazione ai sensi dell'articolo 24, paragrafo 2, lett. h eIDAS-VO e il suo database dei certificati.

(2) […].

(3) La documentazione è fornita dal TSP abilitato per 30 anni, calcolati dalla data del certificato qualificato inserito al termine della validità o, in mancanza, 30 anni dalla data in cui le informazioni rilevanti sui dati rilasciati e ricevuto dalla VDA qualificata nel corso della sua attività.

• In sintesi, il tempo di archiviazione è di 36 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Firme avanzate (eIDAS, ZertES)

Il CP/CPS prevede che l'identificazione e la documentazione archiviata possano essere utilizzate per un massimo di 5 anni, inferiore se il periodo di validità della carta presentata scade prima del quinquennio o se la procedura di identificazione non consente 5 anni.

Non ci sono periodi di conservazione legali nell'area di AES, poiché i periodi di conservazione non sono regolati dalla legge. Tuttavia, gli standard ETSI prevedono un periodo di 7 anni. Queste informazioni sono derivate dalla Direttiva ETSI EN 319 411-01:

6.4.6 Archiviazione dei record

Si applicano i seguenti requisiti particolari:

NOTA: ETSI TS 101 533-1 [i.13] suggerisce disposizioni su come preservare gli oggetti di dati digitali.

a) Il TSP deve conservare quanto segue per almeno sette anni dopo che qualsiasi certificato basato su tali registrazioni cessa di essere valido:
i) log di tutti gli eventi relativi al ciclo di vita delle chiavi gestite dalla CA, comprese eventuali coppie di chiavi del soggetto

generato dalla CA (cfr. punto 6.4.5, punto g));

ii) documentazione come individuata al punto 6.3.4.

È stata aggiunta una riserva di 1 anno come "cuscinetto di sicurezza" per evitare che le agenzie di Swisscom RA possano calcolare gli 11 anni in modo diverso.

• In sintesi, il tempo di archiviazione è di 13 anni, che sono anche indicati nelle Condizioni d'uso di eIDAS.

Le firme elettroniche possono essere presentate come prova nel contenzioso. Di norma, ad eccezione della firma qualificata, sono soggetti alla libera valutazione delle prove. Poiché le firme elettroniche "semplici" e "avanzate" sono difficilmente o solo approssimativamente definite dalla legge, è responsabilità del tribunale accettare o meno tale firma. La parte che intende presentare tali firme come valide deve fornire le relative prove. Nel caso di Swisscom, è utile che anche le firme avanzate siano soggette a un audit molto rigoroso secondo lo standard ETSI per le firme «NCP+» e che quindi tali rapporti di audit possano essere utilizzati. In caso di firma qualificata, si applica lo storno della prova. Poiché la firma qualificata è determinata con precisione dalla legge e, ad esempio, sia la Svizzera che l'Austria offrono validatori per la validità di tali firme sul web, queste firme sono considerate valide fino a quando una parte non dimostra il contrario e quindi dimostra anche che l'autorità di vigilanza o così come i revisori non hanno adempiuto ai loro obblighi. Dopo 11 anni in Svizzera o 35 anni in Austria, la prova può anche causare difficoltà nel campo qualificato, poiché i documenti per la registrazione devono essere distrutti. Tuttavia, la firma è ancora visibile come "qualificata".

Nell'ambito di una prova dopo molti anni, va anche notato che i documenti archiviati elettronicamente dovrebbero essere ripetutamente timbrati di volta in volta. Può succedere che gli algoritmi non siano più così robusti. Un timestamp sigilla il documento con gli algoritmi più recenti, proteggendo l'integrità del documento, comprese le firme.

Le firme eIDAS qualificate sono considerate "qualificate" solo nell'area UE (e SEE), e anche le firme ZertES/SigE sono considerate qualificate solo nella giurisdizione svizzera. Ciò significa che quando uno Stato terzo sceglie la legge, queste firme non possono più raggiungere il loro effetto “qualificato” o, se necessario, diventarlo. nemmeno riconosciuto.

Il modo in cui deve essere attuato tale scenario di “chiusura” è regolato dalla legge: il CP/CPS del servizio di certificazione o servizio fiduciario descrive le procedure esatte. Deve esistere un piano di chiusura e l'autorità di vigilanza notificata o l'UFCOM nomina di norma un successore che potrebbe offrire il servizio ai clienti. Questo successore riceverà di norma anche l'elenco di revoca dei certificati e quindi l'elenco di validità dei certificati, a condizione che Swisscom non li pubblichi direttamente. L'elenco continuerà a funzionare per anni, in modo che la validità delle firme possa continuare a essere verificata. Le prove sulle registrazioni per il servizio devono essere conservate secondo i periodi di conservazione anche dopo la disdetta oltre 11 o addirittura 35 anni, Swisscom o un successore designato deve istituire un sistema di archiviazione per questo, in modo che queste informazioni possano essere utilizzate anche nelle negoziazioni legali . Gli identificativi forniti non possono più essere utilizzati con un eventuale successore, ovvero in questo caso sono necessarie nuove registrazioni.

Dopo la risoluzione del contratto, i certificati di sigillo validi esistenti saranno revocati.

No.

L'esperienza ha dimostrato che i periodi di transizione possono durare da 3 mesi a 2 anni.

I periodi di conservazione per la verifica dell'identità e il giornale delle attività e quindi anche i periodi di prova sono 11 anni in Svizzera e 35 anni nell'UE. Swisscom utilizza generalmente lo standard di convalida a lungo termine di ETSI (LTV).

Convalida a lungo termine significa convalidare una firma in modo che rimanga valida per lungo tempo. La convalida LTV consente la convalida solo finché il certificato radice per il timestamp non è scaduto. Si consiglia pertanto di timbrare nuovamente i documenti prima della scadenza se si desidera conservare prove a lungo termine, in modo che l'integrità e la significatività della prova della firma continuino a essere garantite.

In linea di principio, anche i documenti PDF dovrebbero essere gestiti in archivi protetti. Tra 5, 10 o 20 anni può verificarsi una situazione in cui gli algoritmi di firma vengono "craccati", ovvero l'integrità o l'autenticità non possono più essere garantite. I buoni sistemi di archiviazione prevedono quindi dimissioni regolari, ad esempio con un timestamp, che utilizza sempre l'algoritmo più recente e quindi garantisce l'integrità del documento.

Il web offre diversi collegamenti con procedure ottimizzate per questo, ad es. “Archisig”. La BSI tedesca ha inoltre pubblicato una linea guida tecnica “Preservazione del valore probatorio dei documenti firmati crittograficamente”. È la specifica dei requisiti tecnici di sicurezza per la conservazione a lungo termine del valore probatorio di documenti e dati elettronici firmati crittograficamente insieme ai dati amministrativi elettronici associati (metadati).

Un middleware definito per questi scopi (middleware TR-ESOR) nel senso di questa linea guida comprende tutti quei moduli e interfacce che vengono utilizzati per garantire e mantenere l'autenticità e per dimostrare l'integrità dei documenti e dei dati archiviati.

In entrambi gli ordinamenti giuridici dell'UE e della Svizzera, l'inversione dell'onere della prova (e in Germania anche la prova prima facie rispetto alle prove visive) si applica in linea di principio alle firme qualificate. Ciò significa che una controparte deve dimostrare che la firma qualificata non è stata correttamente eseguita se contestata. E, naturalmente, Swisscom può fornire verifiche certificate da KPMG per dimostrare che la firma qualificata è stata debitamente eseguita.

Swisscom può solo confermare di poter rilasciare firme qualificate in entrambi gli ordinamenti giuridici in conformità con il regolamento eIDAS dell'UE e la legge svizzera ZertES. Le firme qualificate svizzere sono riconosciute come qualificate solo in Svizzera e le firme qualificate eIDAS nell'UE.

La conformità della firma qualificata per qualsiasi contratto deve essere sempre verificata da un avvocato. Swisscom non può fornire alcuna informazione legale al riguardo. Questo non è solo legato alla firma, ma anche ad altri punti che possono essere concordati nei contratti. Ad esempio, il requisito della "restituzione per posta raccomandata" può significare che una firma elettronica non può essere eseguita affatto, poiché è obbligatorio un percorso cartaceo postale.

Con l'entrata in vigore del regolamento sull'identificazione elettronica e sui servizi di fiducia per le transazioni elettroniche nel mercato interno dell'Unione europea (eIDAS), sono state create le basi per una comunicazione elettronica legalmente valida e un'identificazione elettronica sicura in tutta Europa. Con l'ausilio di _servizi_fiduciari_ come firme elettroniche, sigilli, marche temporali, servizi di consegna e certificati per l'autenticazione, aziende, amministrazioni e privati possono scambiare documenti digitali come offerte, ordini, contratti ecc. all'interno dell'Unione Europea su una base giuridica uniforme . Pertanto, il nuovo regolamento UE sostituisce la legge nazionale sulla firma e le norme sulla firma.

Ai sensi del presente Regolamento (CE) n. 910/2014/UE (Regolamento eIDAS) , gli elenchi di fiducia nazionali hanno effetto costitutivo. In altre parole, un trust service provider ei trust services che fornisce saranno qualificati solo se compare negli elenchi di fiducia. Di conseguenza, gli utenti (cittadini, imprese o pubbliche amministrazioni) beneficeranno degli effetti giuridici connessi ad un determinato servizio fiduciario qualificato solo se quest'ultimo è iscritto (come qualificato) negli Elenchi Fiduciari.

La filiale di Swisscom in Austria "Swisscom IT Services Finance SE", Vienna è stata inclusa in questo elenco di fiducia con certificati e sigilli qualificati:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha incaricato Swisscom (Svizzera) SA di gestire il servizio fiduciario e ha inoltre delegato le attività dell'autorità di registro a Swisscom (Svizzera) SA. Swisscom (Svizzera) SA offre quindi il servizio al mercato e accetta anche i documenti contrattuali per conto di Swisscom IT Services Finance SE.

La legislazione svizzera, ovvero la legge federale svizzera sulla firma elettronica (ZertES/SCSE), stabilisce i requisiti che le organizzazioni devono soddisfare per essere riconosciute come servizio di certificazione. L'organismo di accreditamento accreditato per l'accreditamento di Swisscom come servizio di certificazione in Svizzera è KPMG (Accreditamento n. SCESm 0071). Rilascia un certificato di valutazione della conformità (disponibile su www.swisscom.com/signing-service). Il Servizio di accreditamento svizzero SAS mantiene un elenco di servizi di certificazione accreditati: Link

In linea di principio, Swisscom è responsabile illimitatamente per legge per l'emissione errata di certificati qualificati. Nel caso di certificati avanzati, questa responsabilità può essere limitata. Swisscom è anche assicurata obbligatoriamente a questo scopo. In caso di errori nell'applicazione della firma (ad es. lo scambio di un hash di un documento) o di errori di identificazione da parte di registri di terzi, Swisscom riterrà a sua volta responsabile questi terzi. Al fine di evitare rischi di responsabilità, vengono poste elevate esigenze al processo di emissione e contratto ed è generalmente richiesta la possibilità di verificare le terze parti coinvolte.

In linea di principio, la società deve nominare rappresentanti. Questi rappresentanti dovrebbero essere i rappresentanti registrati secondo il registro delle imprese o del commercio, o dipendenti muniti di adeguate procure firmate dai rappresentanti registrati. In ogni caso, le persone devono essere identificate personalmente con la nostra RA-App. In Svizzera, solo le società iscritte al registro UID possono ordinare i sigilli. Con il sigillo, il certificato di accesso SSL tra la richiesta di firma del cliente e Swisscom funge da autenticazione dell'azienda. Il certificato di accesso deve quindi essere consegnato dal rappresentante dell'organizzazione. Con il sigillo avanzato è sufficiente la semplice consegna; con il sigillo qualificato, si svolge una cerimonia di consegna congiunta durante la quale viene generato congiuntamente il certificato di accesso. La chiave privata deve essere archiviata su un dispositivo crittografico (minimo FIPS 140-2 livello 2).

No, solo per il funzionamento della domanda di firma non è richiesta alcuna certificazione e nessun audit. Nell'ambito di una “dichiarazione di configurazione e accettazione”, il cliente effettua un'autodichiarazione per far funzionare correttamente l'applicazione di firma, cioè per non scambiare l'hash di un documento e per visualizzare effettivamente il documento da firmare al cliente (WYSIWYS = “Ciò che vedi è ciò che firmi”). Il traffico dati tra l'applicazione di firma e Swisscom dovrebbe essere crittografato e la protezione di base contro virus e attacchi dovrebbe essere garantita come con qualsiasi altro sistema. Un audit ufficiale con certificazione può essere necessario solo se il sistema ha una propria identificazione, soprattutto in relazione al proprio metodo di autenticazione. In Svizzera, l'identificazione con metodi di autenticazione di Swisscom può essere gestita in maniera semplificata mediante un adeguato “concetto di implementazione” presentato dal cliente e approvato da Swisscom; nell'UE è generalmente necessario un audit ufficiale. Di norma, un metodo di autenticazione deve sempre essere certificato, in quanto ciò dovrebbe garantire il “controllo esclusivo” al certificato di firma (denominato “controllo esclusivo” nel contesto ETSI).

Swisscom investe ogni anno ingenti somme in audit continui. Tuttavia, per poter immettere sul mercato l'offerta di un prestatore di servizi fiduciari a un prezzo ragionevole, questo servizio è offerto in forma standardizzata. Ciò significa in particolare:

• Il cliente deve attenersi al processo di ordinazione standard con i documenti contrattuali standard rilasciati dai revisori.
• Ulteriori valutazioni da parte dei partecipanti e l'esame e l'accettazione dei propri testi contrattuali non sono inclusi nell'offerta.

Molti aspetti del prestatore di servizi fiduciari sono soggetti non solo a condizioni nell'esecuzione del servizio, ma anche nella specificazione di importanti obblighi, norme di responsabilità e servizi di cooperazione nei documenti contrattuali. Pertanto, anche questi documenti contrattuali sono soggetti a verifica o sono presentati anche agli organismi statali di valutazione della conformità. Pertanto, non possono essere accettate modifiche all'ordinamento giuridico, né possono essere accettati allegati contrattuali del partecipante, soprattutto se soggetti a legge straniera applicabile.

Qualora fosse comunque necessario adeguare testi contrattuali, aggiungere norme contrattuali (es. il proprio Codice di Condotta, Dichiarazione sulla protezione dei dati, NDA, ecc.), elaborare appositi questionari di valutazione o se si riscontrassero anche errori o formulazioni poco chiare, si prega di segnalarli a la nostra gestione del prodotto.

Se sono evidenti errori o ambiguità, viene avviato un processo di modifica corrispondente dalla gestione del prodotto e implementato il più rapidamente possibile.

Per la valutazione di altre domande, viene formato un team di elaborazione che si avvale degli esperti competenti (ad es. ufficio legale, responsabile della sicurezza, responsabile della conformità, ecc.) ed effettua una valutazione della richiesta. A tale scopo è dovuta una tassa specifica per progetto di CHF 6000. Se il team di esperti non è stato in grado di elaborare direttamente una soluzione, preparerà una risposta e un'offerta, che presenterà e valuterà ulteriori passaggi da parte di Swisscom.

Da un lato, un'azienda interna può diventare un partner di rivendita di Swisscom per altre aziende nel caso in cui sia pianificato un volume enorme. In questo caso, il flusso di pagamento passa direttamente solo attraverso questa singola società. Una società può anche assumersi la completa responsabilità per il funzionamento della domanda di sottoscrizione. Anche allora, le fatture passeranno solo attraverso questa società. Può quindi identificare i dipendenti delle altre società.

Se tutte le aziende vogliono gestire la domanda di abbonamento in modo indipendente (con la propria responsabilità) e vogliono anche fornire gli stessi agenti RA, è necessario un contratto separato per ciascuna azienda.

Entrambi dovrebbero essere persone IT che hanno familiarità con l'applicazione. Non deve essere una persona con il ruolo ufficiale di "Deputato alla privacy". Swisscom vuole semplicemente mantenere qui il principio dei 4 occhi. I ruoli sono: Essere in grado di fornire informazioni sull'amministrazione dell'applicazione utente (chi ha accesso, cosa potrebbe manipolare un amministratore, dove potrebbe esserci un intoppo, connessione SSL a Swisscom) e su argomenti come protezione antivirus, controllo degli accessi in genere, ecc. presso il responsabile della sicurezza.

Adobe è un fornitore americano statunitense di un software in grado di visualizzare documenti PDF. Il prodotto più importante e diffuso è il cosiddetto “Adobe Acrobat Reader”. Ciò consente la verifica delle firme basate sui certificati. La validità di una firma e quindi visualizzata con un segno di spunta verde dipende da molti aspetti:

• Adobe ha una propria serie di regole, che classifica le CA emittenti da fornitori di fiducia o fornitori di servizi di certificazione come "affidabili". Questi sono elencati in un cosiddetto Adobe Trust List (AATL). Anche se non è incluso nella descrizione del servizio, Swisscom si sforza sempre di essere elencato qui. Inoltre, le società quotate devono versare quote annuali per tale iscrizione e presentare la propria autovalutazione. Secondo Adobe, i fornitori di servizi fiduciari eIDAS sono considerati affidabili se hanno anche concluso un contratto con Adobe.
• Adobe offre una varietà di impostazioni che possono portare a una convalida completamente diversa: ad esempio, invece dell'elenco di fiducia di Adobe, è possibile utilizzare anche l'elenco di fiducia di Microsoft Windows, che di solito mantiene solo i fornitori di servizi di fiducia che emettono anche certificati SSL o e-mail . Tuttavia, il controllo può essere basato anche su un'ora data dall'orologio del computer e non sulla marca temporale nel documento.

Ciò significa che non puoi fare affidamento sulla validità di una firma in Adobe, ma ottieni informazioni se sono state apportate modifiche al documento da quando è stata impostata la firma e come appare il certificato di firma.

1. Contratto chiuso verbalmente: molto difficile da provare (solo con testimoni di altre persone)
2. Firmato da una firma semplice, ad es. un'immagine di una firma scansionata: stesso problema. Il processo di generazione di questa firma deve essere analizzato in tribunale e, a causa della debolezza della procedura, il testimone di altre persone o altri suggerimenti svolgerà una regola importante per provare la procura.
3. AES: per la verifica della validità della firma le parti devono nuovamente adire il tribunale. Il tribunale chiederà a uno specialista di indagare sulla firma elettronica avanzata di Swisscom. Grazie agli audit effettuati da Swisscom, lo specialista può trarne vantaggio. Tuttavia l'AES è più debole come il QES, ad esempio per quanto riguarda il modo di identificare/registrare le persone, il tempo di archiviazione (solo 7 anni) e l'autenticazione a 1 fattore per la firma in contrasto con un'autenticazione a 2 fattori (quindi un cellulare rubato smartphone potrebbe essere utilizzato per una firma)
4. QES: la verifica di una firma valida può essere effettuata direttamente tramite https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Le parti non devono rivolgersi al tribunale in caso di dubbio. Solo se qualcuno dubita generalmente del servizio fiduciario verificato e questa sarà una prova concreta…. Le prove e i registri della firma QES saranno conservati per il tempo previsto per tutti i documenti commerciali e fiscali nel registro aziendale: più di 10 anni in Svizzera e 35 anni nell'UE.

A causa delle normative GDPR e del fatto che le filiali non fanno automaticamente parte di alcun accordo di elaborazione dei dati, è necessario firmare con ciascuna filiale un contratto aggiuntivo con l'Agenzia RA.

Raccomandiamo l'uso dello standard PAdES LTA (vedi ETSI TS 103 172) ai fini della validazione a lungo termine. Si prega di trovare ulteriori suggerimenti qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . I PDF devono essere conformi allo standard PDF/A.

Gli algoritmi per l'hashing (formazione del checksum) e la crittografia dell'hash seguono le raccomandazioni dello standard ETSI ETSI TS 119 312, che a sua volta segue anche gli standard NIS. Questi algoritmi hanno determinate ipotesi su periodi di 1->6 anni in cui sono stabili. Tuttavia, anche in questo caso gli sviluppi (ad es. il cracking di algoritmi) possono portare rapidamente a cambiamenti. Swisscom Trust Services, ad esempio, sta cambiando nuovamente la CA radice per soddisfare i requisiti > 6 anni. Una nuova edizione del disciplinare è prevista nuovamente per questo autunno.

Per la convalida a lungo termine, è quindi necessario garantire regolarmente l'integrità sulla base degli algoritmi più recenti, ad esempio la marcatura temporale annuale di tutti i documenti o l'uso di soluzioni di archiviazione appropriate. Parola chiave “conservazione del valore probatorio” – cfr. DIN 31647:2015-05.

In caso di firma remota, Swisscom gestisce in modo fiduciario le vostre chiavi per i certificati di firma. Con una firma personale, i certificati di firma vengono generati solo per la firma e perdono la loro validità dopo ca. 10 minuti. In questo modo evitiamo la notifica di una compromissione del certificato da parte del firmatario, ovvero un certificato non può essere compromesso. La procedura presenta diversi vantaggi:

L'utente finale non ha bisogno di contattare Swisscom (ad es. un account utente per revocare i certificati).

I destinatari dei documenti firmati non hanno a che fare con liste di revoca e OCSP (controllo di validità del certificato online).

Vengono evitati problemi di sicurezza con applicazioni che si basano solo su aggiornamenti regolari dell'elenco di revoche.

Le query OCSP comportano ritardi per il destinatario.

Inoltre, un certificato a breve termine fornisce sempre una risposta positiva: una query OCSP può fornire solo una risposta negativa.

Importante, la firma che è stata fatta con il QES è ovviamente ancora valida, indipendentemente dal certificato.

I certificati a breve termine sono emessi sulla base delle registrazioni del servizio di registrazione, ovvero sono basati su un'autenticazione forte. Un certificato a breve termine viene generato solo se è presente l'autenticazione (rilascio) nella procedura 2FA.

Esempio per analogia nell'ambiente cartaceo: firmo un contratto con una penna a inchiostro. L'inchiostro nella penna è vuoto dopo la firma. Il contratto resta valido, ovviamente.

Quando si firma con un QES, si applicano i seguenti periodi di archiviazione delle prove:

I periodi di conservazione per le prove di identificazione e il giornale di attività per le firme UE in Austria (dove siamo accreditati) sono 35 anni e 10 anni in Svizzera.

Grazie allo standard PAdES B LTA, le firme possono essere convalidate anche molto tempo dopo la scadenza sulla base di certificati a breve termine.

Secondo il regolamento eIDAS, i TSP devono essere accreditati a livello nazionale e seguire le leggi, le regole e i regolamenti nazionali impartiti dall'Organismo di Vigilanza nazionale nella misura in cui nessun altro regolamento a livello dell'UE ha stabilito alcune regole, come le decisioni di attuazione della Commissione UE , ad esempio, per gli standard ADES oi livelli di sicurezza dell'eID o alcune regole del regolamento eIDAS stesso. In questo modo, ogni paese ha standard nazionali diversi per i propri TSP; ad esempio, in Germania, il BSI deve approvare alcuni aspetti, o in Francia, l'istituto ANSII. In alcuni paesi, ad esempio, l'identificazione video è completamente consentita. In altri vietato, e in paesi terzi, consentito solo con certificati a breve termine.

Ma il regolamento dell'UE eIDAS prevede che tutte le firme elettroniche qualificate di qualsiasi TSP accreditato a livello nazionale in qualsiasi paese dell'UE debbano essere accettate da tutti i membri dell'UE. Pertanto, un TSP accreditato in Francia può vendere il proprio QES sulla base delle norme e dei regolamenti francesi in Germania e un TSP austriaco, come Swisscom, deve solo seguire le norme e i regolamenti austriaci e può vendere le proprie firme qualificate in altri paesi dell'UE . L'elenco di fiducia dell'UE è l'ancora standard e conferma che una firma qualificata rilasciata da uno dei TSP ivi elencati deve essere accettata.

Con la versione 2 delle normative eIDAS, i paesi dell'UE cercheranno di armonizzare sempre di più le parti dell'accreditamento, ad esempio il modo per essere registrati per un servizio, e vogliono persino creare un e-Wallet UE come base per il futuro identificazione per qualsiasi servizio di fiducia.

Puoi trovare una FAQ dettagliata sul sito web Mobile ID per la tua risoluzione dei problemi.

Dai un'occhiata alle Mobile ID FAQ , dove puoi trovare le risposte a molte domande su Mobile ID.

Oltre alla licenza generale Docusign, è necessario acquistare tramite Docusign o un rivenditore Docusign la "Docusign Express SKU" e chiedere al supporto Docusign di abilitare la Swisscom PEN nell'interfaccia utente (questa è la casella di selezione per Swisscom QES/AES). Inoltre è necessario firmare un contratto Swisscom Signing Service e ordinare il connettore Docusign.

“Non hai il livello di garanzia corretto per firmare questo documento. Si prega di contattare l'agente RA della vostra azienda” verrà mostrato come messaggio di errore.

Il controllo completo di tutte le firme nel validatore mostra che almeno una firma non è valida e non segue le regole del regolamento eIDAS o della legge SigE/ZertES. Questo è il motivo per cui l'applicazione Docusign aggiunge oltre allo Swisscom QES un sigillo Entrust che non segue le regole legali. Nella conclusione del controllo totale il risultato è negativo perché è stata trovata una firma non valida. Tuttavia, la firma QES è ovviamente valida in tribunale. Volendo puoi chiedere al supporto di Docusign di eliminare il sigillo Entrust.

Il validatore Docusign non sarà più mantenuto e al momento non è in grado di supportare alcuna firma elettronica svizzera.

Si prega di discutere con il supporto di Docusign. Swisscom offre sempre un connettore per «ID account cliente Docusign»

È possibile scegliere le seguenti lingue nell’identificazione SRS-Video: tedesco, inglese, croato, francese e spagnolo. Il parametro lingua deve essere aggiunto alla richiesta. Vedere la spiegazione nella guida all’integrazione: LINK

Si prega di notare anche gli orari di servizio per il francese (8:00-16:00 lun-ven) e (14:00-21:00 lun-ven) per lo spagnolo. Il tempo di attesa può essere per queste due lingue fino a 6 minuti.

No, dopo aver cliccato sul pulsante, il processo si avvia immediatamente. Inoltre, non si tratta affatto di sapere se l'agente RA "vuole" completare l'e-learning. Si tratta piuttosto di sapere se tu, in qualità di agente RA principale responsabile, sei dell'opinione che un'ulteriore formazione farebbe bene all'agente RA, poiché hai identificato lacune di conoscenza.

Nel portale di amministrazione, puoi visualizzare solo gli utenti che sono stati identificati dai tuoi "propri" agenti RA con la RA App. Se non riesci a trovare una persona identificata nella tua agenzia RA, allora questa persona non è ancora identificata per la firma elettronica o è stata identificata da un agente RA di un'altra agenzia RA, ad es. in un negozio Swisscom o tramite identificazione video.

Per motivi di protezione dei dati, puoi cercare utenti nel portale di amministrazione solo utilizzando il loro numero di cellulare. Durante la ricerca è necessario inserire il numero di cellulare della persona che è stata memorizzata durante il processo di identificazione.

No, non è possibile ottenere un elenco di tutti gli utenti di un'agenzia RA dal Portale di amministrazione per motivi di protezione dei dati.

In qualità di agente RA principale, vedrai solo gli agenti e gli utenti RA dell'agenzia RA a cui sei attualmente connesso. Il nome dell'agenzia RA viene visualizzato in alto a destra nel portale di amministrazione. Per motivi legali, le due agenzie RA devono essere mantenute separate.

Non è presente alcun pulsante "Invia nuovamente T&C" nella scheda del menu degli "Agenti RA". Il pulsante “Rinvia T&C”- esiste solo nella voce di menu “Utente” per ricordare all'utente di accettare i termini di utilizzo del signing service.
Nota: Il servizio RA invia automaticamente, ogni 3 giorni, fino ad un massimo di 5 SMS ai soggetti individuati, i solleciti per l'accettazione delle condizioni di utilizzo. Una persona identificata ha quindi un totale di 15 giorni per accettare i termini di utilizzo. In caso contrario, il record viene cancellato e la persona deve essere nuovamente identificata.

Nella lista degli “Agenti RA” ci sono dei quadratini verdi con un link, es:

Se fai clic su questa casella, il link all'e-learning o ai compiti viene copiato negli appunti e puoi inviarlo al potenziale agente RA, ad esempio via e-mail, chat, ecc.
Tuttavia, il Servizio RA invia automaticamente SMS di promemoria per l'e-learning ai potenziali agenti RA ogni 3 giorni, fino ad un massimo di 5 SMS. Se il potenziale agente RA non completa l'e-learning e non ha accettato gli incarichi entro 15 giorni, l'assegnazione del ruolo viene cancellata dal sistema e tu come agente Master RA devi ripeterla.

Sì. La data di identificazione ("data di creazione") è rilevante, indipendentemente dal fatto che una voce utente sia visualizzata nel portale di amministrazione.

È possibile fare clic sul pulsante “Registrati come agente” solo quando l'utente è stato identificato, ha accettato i termini di utilizzo del signing service ed è presente almeno una barra verde nella sua voce utente. L'utente deve avere lo stato "Confermato e firmato".

Sì. Questo è possibile.

No, tutte le voci e anche le voci nel portale di amministrazione non fanno distinzione tra maiuscole e minuscole.

Non è necessario revocare all'utente l'autorizzazione a firmare elettronicamente (archivio), in quanto la registrazione è personale e l'utente può utilizzare la sua registrazione anche con altri portali di firma.
Se vuoi comunque revocare l'autorizzazione all'utente, clicca sul piccolo simbolo rosso del server accanto alla voce dell'utente corrispondente; la voce verrà quindi archiviata e l'utente non potrà più firmare.

Sì, puoi rimuovere un agente RA facendo clic sul pulsante "Elimina agente" nella voce agente RA nel portale di amministrazione.

Sì, le persone esterne all'organizzazione possono registrarsi al QES negliSwisscom Shop selezionati. In qualità di agente RA, puoi ovviamente registrare anche persone esterne all'organizzazione con RA App. In qualità di Master RA Agent, tuttavia, non puoi assegnare il ruolo di RA Agent nella tua RA Agency a persone esterne all'organizzazione.

Opzione 1: registra nuovamente la persona con RA App. Quindi, questa persona apparirà nel portale di amministrazione della tua agenzia RA tra i tuoi utenti e potrai assegnare loro il ruolo di agente RA desiderato.

Opzione 2: la persona si registra tramite identificazione video o nello Swisscom Shop e te lo segnala. Quindi ci informi tramite il modulo di contatto [link] che questa persona dovrebbe diventare un agente RA nella tua agenzia RA (seleziona l'opzione: nomina un utente "invisibile" come agente RA). Assicurati di includere il nome e il numero di cellulare di questa persona. Quindi, ci occuperemo dell'assegnazione del ruolo e ti forniremo un feedback.

In qualità di agente Master RA, non puoi assegnare tu stesso la persona a un'altra agenzia RA, ma possiamo assegnare agli utenti il ruolo di "Agente Master RA" nella tua agenzia RA. A tal fine, ti preghiamo di fornirci il nome e il numero di cellulare di questo utente tramite il nostro modulo di contatto [link] (selezionare l'opzione: nominare un utente "invisibile" come agente RA). Ci occuperemo quindi dell'assegnazione del ruolo e ti forniremo un feedback.

Agenti RA standard: possono identificare e registrare persone per la firma elettronica con la RA App.

Agenti RA Master: possono anche accedere al portale di amministrazione e gestire gli utenti, gli agenti RA e gli agenti RA Master della propria agenzia RA. Inoltre, gli agenti Master RA sono il primo punto di contatto per i loro agenti RA standard, in caso di domande o problemi. Gli agenti Master RA possono contattarci per domande e problemi tramite il modulo di contatto [Link].

Avere due agenti Master RA è molto utile. Non è necessario nominare più agenti RA standard, poiché gli agenti RA principali possono anche identificare le persone con RA App. Tuttavia, generalmente consigliamo un buon mix di agenti RA Standard e Master nella tua agenzia RA.

Sì, questo è possibile senza problemi. Per diventare un Master RA Agent, la persona deve essere identificata tramite la RA App. Non importa a quale agenzia RA appartenga l'agente RA che esegue l'identificazione.

È solo che in seguito non vedrai la voce utente di questa persona sotto i tuoi utenti nel portale di amministrazione. Pertanto, non puoi assegnare tu stesso il ruolo di Master RA Agent a questa persona; dovremmo farlo per te. È possibile effettuare una notifica tramite il modulo di contatto [link] (opzione: nominare l'utente "invisibile" come agente RA).

No, un Master RA Agent non può mai assegnare il ruolo di RA Agent nella sua RA Agency a persone esterne all'organizzazione. Se lo desidera, il cliente può stipulare un contratto di agenzia RA separato con Swisscom.

In qualità di agente Master RA, puoi nominare dipendenti esterni (ad esempio temporanei) come agenti RA standard se tale dipendente lavora per conto della tua organizzazione e ha anche un contratto valido con la tua azienda o organizzazione.

Non dimenticare di eliminare il ruolo "Agente RA" per questo dipendente esterno se non lavora più per la tua organizzazione.

Puoi agire per la società che ha un contratto di agenzia RA valido con Swisscom e il cui agente Master RA ti ha nominato agente RA. Il prerequisito in ogni caso è che abbiano un contratto in corso con questa società, ad esempio un contratto di lavoro, a tempo determinato oa tempo determinato, un incarico a progetto o simili. Se una persona lavora per due società, entrambe le società devono avere un contratto di agenzia RA e quella persona deve avere un ruolo di agente RA in entrambe le agenzie RA in modo che possano anche identificare le persone per entrambe le agenzie RA.

Nota: in qualità di agente RA, puoi identificare le persone come desideri, comprese le persone di società o individui esterni. Semplicemente non è consentito avere agenti RA non aziendali che lavorino per un'agenzia RA.

Succede spesso che un agente RA riferisca al Master RA Agent di propria iniziativa perché in seguito non è sicuro, ad esempio perché ha “ingannato” la RA App. Oppure tu come Master RA Agent vedi nomi nei dati dei tuoi utenti nel Portale di amministrazione che non possono essere corretti, ad esempio “Dtt” invece di “Ott”, o “Alexan” invece di “Alexandra”. In tali casi, l'identificazione deve essere ripetuta e si ricorda all'agente RA i suoi doveri, eventualmente anche innescare una nuova formazione.

Sfortunatamente, non esiste un metodo affidabile per rilevare registrazioni errate, se non il controllo concreto degli ingressi degli utenti sulla base dei documenti di identità presentati in fase di identificazione. Tuttavia, noi di Swisscom oi nostri revisori effettuiamo tali controlli solo su base casuale.

Abbiamo alcuni colleghi e anche partner in Germania che effettuano le identificazioni con la RA App. Naturalmente, sarebbe più facile utilizzare la procedura di identificazione video, SRS Bank, SRS eID o SRS Selfie Ident per registrare le persone nell'area dell'UE per il QES. Sfortunatamente, queste identificazioni non sono consentite per QES in Svizzera, dove è obbligatoria la registrazione tramite l'app RA.

Puoi trovare maggiori informazioni su SRS Direct

Prova quanto segue:

• Riavvia il cellulare: come tutti sappiamo, un riavvio fa sempre bene!
• Per gli utenti Mobile: prova il tuo Mobile ID su mobileid.ch/login.

Nelle seguenti situazioni, è necessario essere identificati nuovamente:
Tu hai:

• Un nuovo numero di cellulare
• Una nuova carta SIM
• Un nuovo cellulare
• Passato a eSIM
• Hai attivato la tua app Mobile ID (SIM) o Mobile ID senza utilizzare il codice di ripristino.
• Modificato il metodo di autenticazione, es. da Mobile ID SIM a Mobile ID App o viceversa; dalla procedura codice SMS password a Mobile ID e viceversa.
• modificato la password sicura durante l'utilizzo della procedura password/codice SMS
• Trasferito il contratto di telefonia mobile, ad es. anche cambiato provider
• Ho un nuovo passaporto o carta d'identità perché il vecchio documento era scaduto.

Dopo la reidentificazione, devi anche essere riassegnato al ruolo di agente RA principale, poiché è presente una nuova voce utente.

Per gli utenti in Svizzera, il metodo Mobile ID SIM ha la priorità sull'app Mobile ID. Ti consigliamo di scegliere un metodo Mobile ID e disattivare l'altro. È possibile disattivare il rispettivo metodo Mobile ID nella dashboard Mobile ID: www.mobileid.ch/login

Non riceverai alcuna notifica nel portale di amministrazione. Gli utenti ricevono una notifica via SMS 3 mesi e di nuovo 1 mese prima della scadenza della carta d'identità o del passaporto. E come Master RA Agent, sei anche un utente.

Opzione 1: non hai risposto a tutte le domande di conoscenza, quindi l'e-learning non è ancora completato. Rispondi a tutte le domande di conoscenza in modo da raggiungere la coppa verde. Successivamente riceverai un altro SMS con il link alle mansioni degli agenti RA. Solo dopo aver accettato questi doveri, puoi accedere a RA App.

Opzione 2: hai

• modificato o reimpostato la password per la procedura password/codice SMS
• attivato il MobileID (SIM o App) dopo esserti identificato
• MobileID riattivato o modificato il PIN Mobile senza utilizzare il codice di ripristino Mobile ID.
• Hai ricevuto una nuova scheda SIM, eSIM, numero di cellulare o cellulare, cambiato provider

Per nessuno di questi eventi, Swisscom non può più garantire che la stessa persona sia in possesso del numero di telefono che è stato convalidato durante l'identificazione da parte dell'agente RA. Per motivi di sicurezza, dovrai riidentificarti e chiedere al tuo agente RA principale di riassegnarti il ruolo di agente RA.

Nota: il ruolo RA Agent deve essere prima eliminato e poi completamente riassegnato nel portale di amministrazione.

Un potenziale agente RA ha 15 giorni di tempo per completare l'e-learning di base dell'agente RA. Se l'Agente RA non supera questa scadenza per il completamento dell'e-learning di base, l'assegnazione del ruolo viene cancellata dal sistema e l'Agente RA Master deve riassegnare il ruolo dell'Agente RA.

Gli agenti RA standard non hanno informazioni dettagliate sugli utenti che identificano.

Funziona anche senza. Per gli utenti e gli agenti RA che non vogliono o non possono utilizzare il Mobile ID, offriamo il metodo password – codice SMS come metodo di autenticazione. Questa procedura viene impostata dopo l'identificazione quando si accettano i termini di utilizzo per il signing service.

Se si verifica un incidente di sicurezza, Swisscom analizza cosa è successo esattamente. Successivamente Swisscom effettua una valutazione dell'impatto e del rischio per i propri servizi e per le persone interessate. Dopo questa valutazione, vengono derivate misure per porre rimedio all'incidente di sicurezza ed evitare incidenti simili. I clienti interessati vengono informati e sensibilizzati quando vengono implementate determinate misure e si attengono ad esse.

Esempio:

Un cliente ha nominato persone esterne all'organizzazione come agenti RA nella sua agenzia RA. Swisscom ne è venuta a conoscenza e ha aperto un incidente di sicurezza, poiché ciò non è consentito a causa dei requisiti di conformità. La valutazione e la valutazione di Swisscom hanno mostrato che si trattava di un incidente di sicurezza (incidente minore) per il servizio. Swisscom ha quindi sensibilizzato il cliente su questo problema e ha chiesto loro di rimuovere il ruolo di agente RA da tutto il personale non organizzativo. Inoltre, Swisscom ha approfondito l'argomento nei documenti di formazione.

Una volta che gli agenti RA sono stati "depositati" nell'agenzia, il nome dell'agenzia RA non può più essere modificato. Se il nome dell'azienda viene cambiato, dobbiamo creare una nuova agenzia RA e ricostruire la rete degli agenti RA.

Ciò dipende dai termini di utilizzo che una persona ha accettato dopo la registrazione. In linea di principio, consigliamo ai clienti di accettare entrambi i termini di utilizzo del signing service per le aree legali della Svizzera (ai sensi della legge federale ZertES) e dell'UE/SEE (ai sensi del regolamento eIDAS) in modo da mantenere tutte le loro opzioni aprire.

E poi dipende da quale applicazione di firma dei nostri partner la persona vuole usare per la propria firma elettronica

Ti consigliamo di applicare prima la firma autografa, quindi scansionare il documento (come PDF) e infine applicare la firma elettronica.

Tuttavia, è opportuno chiarire in anticipo se ciò sia accettato anche dai servizi legali delle parti coinvolte. È importante conservare in seguito entrambe le versioni (quella con la firma autografa e la versione elettronica).

“Avanzato” e “Qualificato” sono espressioni delle leggi sulla firma e designano la “qualità” o valore probatorio delle firme elettroniche e dei certificati digitali.

Le firme elettroniche qualificate sono della massima qualità e sono equivalenti alle firme autografe secondo la legge. Per l'identificazione di questo livello, nonché per la creazione di firme elettroniche e dei certificati digitali sottostanti, esistono regole rigorose, istruzioni dettagliate per la progettazione della firma e requisiti elevati che Swisscom soddisfa. Siamo certificati anche in questo senso.

Le firme elettroniche avanzate non sono di così alta qualità e non sono nemmeno regolamentate dalla legge. Sono consentiti solo come prova in tribunale, devono poi essere verificati durante il procedimento giudiziario, ad esempio, e il tribunale deve valutare l'effetto della firma dopo un'analisi precisa. Tuttavia, esistono normative ETSI (European Standards Institute) che supportano firme avanzate in varie qualità (LCP, NCP, NCP+) anche per questo livello. Swisscom soddisfa lo standard più elevato "NCP+" ed è quindi anche sottoposto a audit. Swisscom è inoltre presente con un segno di spunta verde nell'Adobe Trust List. Tale audit può quindi essere utile come prova importante in una valutazione delle prove.

Ciò significa che con la firma qualificata sei sempre al sicuro. Dipende quindi dal caso specifico e dal rischio associato se si rinuncia a un QES. Anche in passato i contratti venivano conclusi con una stretta di mano (possibilmente con dei testimoni) o semplicemente con uno scambio di e-mail, dove si era certi che questi contratti difficilmente sarebbero stati trattati in tribunale. Allo stesso modo, qui deve essere effettuata una valutazione a favore o contro un QES.