Algengar spurningar um sannreyningu rafrænna undirskrifta og innsigla
Hér er allt sem þú þarft að vita um sannreyningu á rafrænum undirskriftum og innsiglum: hvað þetta þýðir, hvenær er þörf á þessu, hvernig þetta virkar í Dokobit portal og margt fleira.
1. Hvað er sannreyning?
Samkvæmt eIDAS reglugerðinni er sannreyning viðbótarþjónusta fyrir rafrænar undirskriftir og innsigli. Hún sýnir hvort undirskriftirnar eða innsiglin voru gild á þeim tíma frá því þau voru útbúin þar til sannreyningin á sér stað. Þörf er á sannreyningu til þess að meta heilleika rafrænt undirritaðra eða rafrænt innsiglaðra skjala og athuga gildi rafrænu undirskriftanna og/eða innsiglanna í skjalinu.
2. Af hverju eru sumar undirskriftir og innsigli ekki gild?
Það geta verið ýmsar ástæður fyrir því að sumar rafrænar undirskriftir og innsigli eru ekki gild eða missa gildi sitt eftir ákveðinn tíma, eins og t.d. undirskrift eða innsigli hefur verið útbúið með ógildu vottorði, ógildum tímastimpli var bætt við undirskriftina, óviðeigandi eða veik dulkóðun er í undirskriftinni, skjalinu hefur verið breytt eftir að það var undirritað eða innsiglað, undirskriftin eða innsiglið var ekki útbúið til þess að varðveitast yfir lengri tíma, fullgilt vottorð hefur verið afturkallað eða annað sem gerir það að verkum að undirskriftin eða innsiglið getur ekki talist gilt.
3. Í hvaða tilfellum þarf ég að sannreyna rafrænar undirskriftir og rafræn innsigli í skjölunum mínum?
Þörf er á að sannreyna skjöl sem hafa nú þegar verið rafrænt undirrituð eða innsigluð af öðrum aðilum til þess að tryggja að undirskriftirnar og innsiglin séu gild. Sannreyning kannar heilleika rafrænt undirritaðra eða rafrænt innsiglaðra skjala og athugar gildi undirskriftanna og innsiglanna.
4. Hver er munurinn á Fullgildri og ekki Fullgildri Staðfestingarþjónustu?
Fullgild staðfestingarþjónusta mætir öllum kröfum eIDAS reglugerðarinnar sem Fullgildum traustþjónustuveitendum er ætlað að fylgja og eru aðilar reglulega teknir út af samræmismatsaðilum (á Íslandi; Neytendastofa) til að tryggja fylgni þeirra við reglugerðina og eru vottaðir aðilar birtir á Traustlista ESB. Fullgildum traustþjónustuveitanda er skylt að tryggja að sannreyning dulkóðaðra rafrænna undirskrifta og innsigla skili réttum niðurstöðum og að það séu engar takmarkanir settar á undirskriftirnar eða innsiglin og jafnframt auðkenningu undirritandans. Einnig er þeim skylt að tryggja að sannreyningin sé byggð á eIDAS reglugerðinni og ETSI stöðlunum.
Á móti hefur aðili sem er ekki Fullgildur traustþjónustuveitandi fyrir staðfestingarþjónustu ekki farið í gegnum staðlað ferli til að tryggja fylgni við eIDAS reglugerðina. Það þýðir að sannreyning undirskrifta og innsigla er gerð án staðfestingarstefnu og án nokkurar ábyrgðar fyrir þeim niðurstöðum sem birtast við sannreyninguna.
Með öðrum orðum þá er hægt að leggja fram staðfestingarskýrslu frá Fullgildri staðfestingarþjónstu sem sönnunargagn fyrir dómstólum þar sem hún hefur lagalegt gildi á meðan ekki ætti að treysta í blindni niðurstöðum frá staðfestingarþjónstu sem ekki er Fullgild.
5. Hvað er það sem gerir staðfestingarþjónustuna að Fullgildri þjónustu?
Fullgildur traustþjónustuveitandi fyrir staðfestingar þarf að fara í gegnum strangt staðlað ferli til þess að mæta fylgni við öll skilyrði eIDAS reglugerðarinnar, sem felur einnig í sér úttekt af viðurkenndum samræmismatsaðilum. Þegar úttekt er lokið og staðfest hefur verið að traustþjónustuveitandinn mætir öllum kröfum er hann viðurkenndur sem vottaður traustþjónustuveitandi og skráður á Traustlista ESB fyrir Fullgilda staðfestingarþjónustu fyrir fullgildar rafrænar undirskriftir og Fullgilda staðfestingarþjónstu fyrir fullgild rafræn innsigli.
6. Af hverju ætti ég að nota Fullgilda staðfestingarþjónustu?
Í stuttu máli, þar sem sannreyning rafrænna undirskrifta og rafrænna innsigla er eftirlitsskyld þjónusta, skilyrðir eIDAS reglugerðin Fullgilda traustþjónustuveitendur til þess að ábyrgjast að niðurstöður staðfestingarskýrslanna séu réttar. Þess vegna, með því að velja fullgilda þjónustu, ertu mun öruggari um að undirskriftirnar og innsiglin séu sannreynd á réttan hátt og að niðurstöðurnar séu lagalega réttar. Ef við skoðum þetta nánar þá er fullgilda traustþjónustuveitandanum skylt að geta sannreynt rafræn skilríki útgefin af sérhverjum fullgildum traustþjónustuveitanda fyrir fullgildar rafrænar undirskriftir, rafræn innsigli og tímastimpla, starfandi innan Evrópusambandsins og sem er skráður á Traustlista ESB (yfir 450 fullgildir traustþjónustuveitendur). Á sama tíma er traustþjónustuveitendum, sem ekki eru fullgildir, ekki skylt að gera það og gætu þ.a.l. sannreynt undirskriftirnar og innsiglin á rangan hátt og ber ekki skylda til þess að tilkynna það til notenda.
7. Hvað gæti gerst ef ég nota ekki Fullgilda staðfestingarþjónustu til þess að sannreyna gildi rafrænna undirskrifta eða innsigla á skjalinu mínu?
Þegar þú notar staðfestingarþjónustu sem ekki er fullgild getur þú ekki verið viss um að undirskriftirnar og innsiglin í rafrænt undirrituðu skjölunum þínum séu gild þar sem þjónustan ber enga ábyrgð á niðurstöðum við sannreyningu skjalanna. Öfugt við Fullgildu staðfestingarþjónustuna, ber þeirri sem ekki er fullgild engin skylda til þess að tryggja samræmi við eIDAS reglugerðina og staðfesta að fullgildu traustþjónustuveitendurnir fyrir rafrænar undirskriftir, innsigli og tímastimpla, starfandi innan Evrópusambandsins séu skráðir á Traustlista ESB (yfir 450 fullgildir traustþjónustuveitendur).
Þar með eru sannreyningar frá traustþjónustuveitendum sem ekki eru fullgildir, framkvæmdar án staðfestingarstefnu, mögulega á rangan hátt og án þess að veita ábyrgð fyrir þeim niðurstöðum sem eru afhentar.
Niðurstaðan er því sú að í tilfellum þar sem mál gætu farið fyrir dóm og þú yrðir að afhenda staðfestingarskýrslu frá traustþjónustuveitanda sem ekki er fullgildur, sem sönnunargagn fyrir gildi undirskrifta eða innsigla á ákveðnum tímapunkti, þá gæti virkilega reynt á niðurstöðurnar. Ákvörðun um gildi skjalanna yrði þá alfarið í höndum dómara og ef svo illa skyldi fara að þú myndir tapa málinu þá væri traustþjónustuveitandinn á engan hátt ábyrgur fyrir þeirri niðurstöðu. Tapið væri alfarið þitt.
8. Hvernig geng ég er skugga um að ég sé að nota Fullgildan traustþjónustuveitanda við sannreyningu rafrænna undirskrifta og innsigla?
Fullgildir traustþjónustuveitendur eru skráðir á Traustlista Evrópusambandsins undir þjónustunni “Qualified validation service for qualified electronic signature and Qualified validation service for qualified electronic seals”. Eingöngu þeir sem eru skráðir á þennan lista er heimilt að nota Evrópska traustmerkið á heimasíðu sinni eða í öðrum gögnum fyrirtækisins. Lestu meira hér.
9. Af hverju eru niðurstöður sannreyningar breytilegar eftir því hvaða kerfi ég nota?
Þetta getur gerst vegna þess að traustþjónustuveitendur sem ekki eru fullgildir gætu verið að staðfesta undirskriftir án staðfestingarstefnu, þeir fylgja ekki endilega eIDAS reglugerðinni og skuldbinda sig ekki til þess að kalla eftir upplýsingum um alla fullgilda traustþjónustuveitendur fyrir rafrænar undirskriftir, innsigli og tímastimpla og kanna ekki hvort þeir séu skráðir á Traustlista ESB (yfir 450 fullgildir traustþjónustuveitendur). Aðeins fullgildum traustþjónustuveitendum er að fullu treystandi til þess að veita réttar niðurstöður þar sem þeir eru vottaðir traustþjónustuveitendur og bera ábyrgð á niðurstöðum þjónustunnar.
10. Hvað þýða staðfestingarstefnur?
Staðfestingarstefna þýðir að þú getur valið hvers konar undirskriftir og innsigli þú vilt samþykkja á þín undirrituðu skjöl, t.d. aðeins Fullgildar rafrænar undirskriftir eða til viðbótar við þær einnig Útfærðar rafrænar undirskriftir.
Útfærðar rafrænar undirskriftir og innsigli með Fullgildum skírteinum eru talin sterkt sönnunargangn fyrir dómstólum á meðan Fullgildar rafrænar undirskriftir og innsigli standast hæstu kröfur eIDAS reglugerðarinnar og eru því jafngildar handskrifuðum undirskriftum. Þess vegna samþykkja sum fyrirtæki og stofnanir eingöngu Fullgildar rafrænar undirskriftir, í þeim tilfellum myndir þú velja þá staðfestingarstefnu að samþykkja eingöngu Fullgildar rafrænar undirskriftir og innsigli.
11. Hvað þýðir ábyrgðarþrep sannreyninga?
Ábyrgðarþrep segja til um hversu háa ábyrgð og tryggingu Dokobit veitir fyrir staðfestingarskýrslur sem Fullgildur traustþjónustuveitandi fyrir staðfestingar.
Mælt er með að velja Grunnábyrgð fyrir sannreyningar á skjölum sem eru metin undir 100 evrum. Dokobit veitir þá tryggingu fyrir 100 evrur á hverja staðfestingarskýrslu. Með öðrum orðum þá er Grunnábyrgð rétt fyrir þig ef lágmarkstrygging er nægjanleg, á við um skjöl þar sem lítill vafi er um gildi undirskriftanna.
Fyrir verðmætari skjöl þar sem afar mikilvægt er að undirskriftirnar séu réttar og að gildi þeirra sé ótvírætt, er mælt með því að velja Hærri ábyrgð þar sem Dokobit veitir 10 000 evra tryggingu fyrir hverja staðfestingarskýrslu.
12. Hvað er staðfestingarskýrsla?
Staðfestingarskýrsla er skjal sem sýnir niðurstöður á þeirri sannreyningu sem er framkvæmd sem hægt er að nota sem sönnunargagn fyrir því að undirskriftirnar og innsiglin voru gild frá þeim tíma sem þær voru gerðar þar til sannreyningin var framkvæmd.
Dokobit býður upp á tvær tegundir staðfestingarskýrsla. Einfalda staðfestingarskýrslu sem veitir nauðsynlegar upplýsingar um auðkenni undirritenda og stöðu og gildi hverrar undirskriftar og innsiglis.
Ítarleg staðfestingarskýrsla inniheldur ítarlegar upplýsingar um allar mögulegar takmarkanir sem koma fram í sannreyningunni, sem þýðir að þú getur séð hvaða þættir – frá undirskriftum, innsiglum eða tímastimpils skilríkja til dulkóðunar o.s.frv. – eru t.d. óákveðnir. Allar staðfestingarskýrslur útbúnar af Dokobit eru í samræmi við Yfirlýsingu og Stefnu Dokobit um staðfestingarþjónustu fyrir rafrænar undirskriftir og innsigli.
13. Þarf ég einnig að sannreyna skjöl sem ég undirrita í Dokobit portal?
Í Dokobit portal er eingöngu hægt að undirrita skjöl með því að nota Fullgildar rafrænar undirskriftir og Útfærðar rafrænar undirskriftir með viðurkenndum vottorðum og allar undirskriftir og innsigli útbúin í Dokobit portal innihalda fullgilda tímastimpla. Þannig að það er ekki þörf á að efast um gildi þeirra. Öll skjöl sem eru undirrituð og vistuð í Dokobit portal sýna upplýsingar um undirskriftir, innsigli og skilríki - nafn undirritanda, tíma undirritunar, útgefanda skilríkja, tegund þeirra og gildistíma. Engu að síður, ef þú þarft að sanna réttmæti undirskrifta eða innsigla út af Dokobit portal, mun staðfestingarþjónustan koma að góðum notum þar sem hver sannreyning veitir þér staðfestingarskýrslu sem hægt er að nota sem sönnunargagn fyrir gildi undirskrifta og innsigla, allt fram að framkvæmdri sannreyningu. Sannreyning er talin vera nauðsynleg þegar þú þarft að staðfesta undirrituð eða innsigluð skjöl sem berast frá öðrum aðilum.