…smooth business flow
Elektronický podpis a jeho implementace v nákupním systému
con4PAS, s.r.o. Novodvorská 1010/14A, 140 00 Praha 4 tel.: +420 261 393 211, fax: +420 261 393 212 www.con4pas.cz
Obsah Elektronický podpis – definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
2
Elektronický podpis - účel Autenticita Lze ověřit identitu subjektu, kterému patří elektronický podpis.
Integrita Lze prokázat, že od vytvoření elektronického podpisu nedošlo k žádné změně v podepsaném dokumentu, tj. že dokument není úmyslně či neúmyslně poškozen.
Nepopiratelnost Autor nemůže tvrdit, že elektronický podpis příslušný k dokumentu nevytvořil. Důvodem je fakt, že pro vytvoření elektronického podpisu je potřeba privátní klíč, který je těsně svázán s veřejným klíčem.
Časové ukotvení Časové razítko, které prokazuje datum a čas podepsání dokumentu. Časové razítko vydává důvěryhodná třetí strana, a protože je součástí elektronického podpisu, lze ji ověřit stejným postupem, jako elektronický podepsaný dokument. con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
3
Elektronický podpis – obecný proces
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
4
Výklad pojmů Zákon 227/2000 Sb. zaručený/uznávaný elektronický podpis vs. elektronická značka,
podepsání vs. označení, kvalifikované časové razítko a archivní kvalifikované časové razítko, kvalifikovaný certifikát vs. kvalifikovaný systémový certifikát.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
5
Zaručený vs. uznávaný el. podpis/značka „Zaručený elektronický podpis“ (ZEP) resp. elektronická značka (EZN): je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě (prostřednictvím kvalifikovaného systémového podpisu – EZN), byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.
„Uznávaný elektronický podpis“ (UEP): zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb a obsahujícím údaje, které umožňují jednoznačnou identifikaci podepisující osoby. con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
6
Podepsání vs. označení „Podepsání“: manuální připojení EPO k datové zprávě, držitel OS-CERT potvrzuje (např. stisknutím klávesy), že je seznámen s obsahem zprávy.
„Označení“: automatické připojení EZN k datové zprávě – držitel SYS-CERT projevil vůli k podpisu nastavením automatických pravidel pro označení.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
7
Časové razítko „Kvalifikované časové razítko“ obsahuje unikátní číslo kvalifikovaného časového razítka, označení pravidel, podle kterých bylo časové razítko vydáno, v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát. hodnotu času, která odpovídá koordinovanému světovému času při vytváření. data v elektronické podobě, pro která bylo kvalifikované časové razítko vydáno, elektronickou značku kvalifikovaného poskytovatele certifikačních služeb.
„Archivní kvalifikované časové razítko“: nástroj pro zajištění důvěryhodnosti dokumentu po dobu delší než 3 roky – jedná se o tzv. přerazítkování Č-RA po vypršení jeho platnosti con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
8
Kvalifikovaný certifikát „Kvalifikovaný certifikát“ obsahuje resp. splňuje:
označení, že je vydán jako kvalifikovaný certifikát podle zákona č. 227/2000 Sb., obchodní firmu/název resp. jméno, příjmení a stát poskytovatele, jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym, zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, data pro ověřování podpisu jsou pod kontrolou podepisující osoby, el. značku založenou na kvalifikovaném systémovém certifikátu poskytovatele, číslo kvalifikovaného certifikátu unikátní u daného poskytovatele, počátek, konec a příp. omezení platnosti kvalifikovaného certifikátu,
„Kvalifikovaný systémový certifikát“ viz výše s tím, že místo EPO pracuje s elektronickou značkou. con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
9
Akceptace elektronických dokumentů Zákonná úprava EPO zrovnoprávňuje písemnou a elektronickou formu komunikace – stejné právní účinky: Pro komunikaci s veřejnou správou je vyžadován UEP. Pro soukromé subjekty je nutné písemnost označit minimálně ZEP.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
10
Obsah Elektronický podpis – definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
11
Nařízení eIDAS – důvody přijetí Cílem Nařízení EU 910/2014 eIDAS (o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu) je mj: zvýšení důvěryhodnosti elektronických transakcí na vnitřním trhu tím, že poskytne společný základ pro bezpečnou elektronickou komunikaci mezi občany, podniky, orgány veřejné moci, čímž posílí efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v Unii. Nařízení je platné od 28.8. 2014, dosud není účinné (viz dále).
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
12
Nařízení eIDAS – rozsah stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace jiného členského státu, stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí, stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
13
Nařízení eIDAS – důsledky a účinnost Důsledkem přijetí Nařízení EU 910/2014 eIDAS (o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a zrušení směrnice 1999/93/ES k 30.6. 2016. zrušení zákona 227/2000 Sb. a jeho nahrazení „prováděcím zákonem“ (30.6.2016). změny dalších zákonů (až 120), např. 300/2008 Sb. o datových schránkách, v letech 2016-18.
Ustanovení k elektronickému podpisu mají účinnost od 1.7.2016. Ustanovení k elektronické identifikaci je povinné od 2018. Prováděcí vyhlášky EU byly vydány 18.9. 2015.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
14
Nové pojmy (1/3) „Elektronická pečeť“ Data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu. Nahrazuje pojem Elektronická značka.
„Pečetící osoba“ resp. „Podepisující osoba“ Právnická osoba, která vytváří elektronickou pečeť resp. fyzická osoba, která vytváří elektronický podpis.
„Kvalifikovaný elektronický podpis“ Zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy. Nahrazuje pojem Uznávaný elektronický podpis. con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
15
Nové pojmy (2/3) „Služba vytvářející důvěru“ (e-Trust service) je elektronická služba, která je zpravidla poskytována za úplatu a spočívá: ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
16
Nové pojmy (3/3) „„Služba elektronického doporučeného doručování“ služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty,. u dat odeslaných a přijatých prostřednictvím kvalifikované služby EED platí domněnka integrity dat, odeslání těchto dat identifikovaným odesílatelem, jejich přijetí identifikovaným příjemcem a správnosti data a času odeslání a přijetí, jež jsou u kvalifikované služby elektronického doporučeného doručování
„Elektronický dokument“ jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka Pozn. jedná se o odlišnou definici od pojmu Datová zpráva v 227/2000 Sb.
„Certifikát pro autentizaci internetových stránek“ potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán. con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
17
Elektronický podpis – právní účinky Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
18
Elektronická pečeť – právní účinky Elektronické pečeti nesmějí být upírány právní účinky a nesmí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické pečetě. U kvalifikované elektronické pečeti platí domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena. Kvalifikovaná elektronická pečeť založená na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaná elektronická pečeť ve všech ostatních členských státech.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
19
Elektronické časové razítko – právní účinky Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko. U kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny. Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
20
Obsah Elektronický podpis – definice a základní pojmy dle stávající právní úpravy Změny právních předpisů EPO od 1.7.2016 Rozsah a dopad projektu elektronického podpisu
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
21
Implementace EPO Implementační projekt EPO musí zahrnovat: Rozhodnutí o způsobu podpisu výstupních dokumentů: elektronický podpis vs. elektronická značka. Rozhodnutí o označování elektronických dokumentů elektronickým razítkem pro prokázání času odeslání a doručení dokumentu: dle druhu dokumentu nebo potencionálního problému pro případné soudní prokazování. Rozhodnutí o způsobu „přerazítkování“ dokumentů: vybudování vlastní infrastruktury vs. využití placené služby certifikační autority (současně s využitím elektronického razítka). Vytvoření interních služeb pro validaci elektronického podpisu (značky), označení dokumentu elektronickou značkou (příp. podepsání dokumentu), komunikaci s certifikační autoritou. Výběr obecného formátu pro výměnu dokumentů: XML, PDF.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
22
Změna procesů v důsledku implementace EPO Výstupní dokumenty: Bez vizuální změny v případě použití označování dokumentů elektronickou značkou. Označení proběhne na pozadí a uživatel (správce systému) se dozví pouze o případných problémech s označením, např. vypršení platnosti SYSCERT. V případě elektronického podpisu je nutné zvolit okamžik před výstupem dokumentu tak, aby jej odpovědný uživatel, vlastnící osobní certifikát, mohl elektronicky podepsat.
Vstupní dokumenty: Ověření platnosti elektronického podpisu (značky) proběhne na vstupu dokumentu do systému, v případě nevalidního podpisu je proces zastaven. Pro kompletní ověření podpisu včetně jeho odvolání je v závislosti na certifikační autoritě potřeba několik hodin (max. cca 24), zde je nutné rozhodnout, zda dokument má být zpracován po prvém ověření (integrita) nebo až po úplném ověření (včetně odvolání). con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
23
Procesní model s implementací EPO – odchozí email SAP SRM/SAP MM
Stávající proces tvorby obj. Výstup objednávky
Tvorba PDF
Vložení příloh RFC: Synchronní ADS služba pro vložení příloh do PDF dokumentu
Odeslání EML
Označení PDF Synch. služba pro doplnění pole podpisu a podepsání QSC
Archivace PDF
Synchronní služba pro odeslání e-mailu. Vrací sestavený a označený e-mail
ADS Přílohy
Archivace EML
SAP PI Označení PDF
Konverze PAdES-A
Sestavení SMIME
Konverze PDF do archivního formátu PAdES-A
Synch. služba pro dopl. pole podpisu a označení QSC
Označení EML Synchronní služba pro označení QSC
Služby EPO Označení PDF
Konverze PAdES-A
Odeslání EML Odeslání emailu
SMTP Označení EML
Odeslání
Ověření podpisu/značky a označení časovým razítkem
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
Certifikační autorita
Časové razítko 24.09.2015 24
Dopady na technickou architekturu Vytvoření služeb pro práci s EPO: Využití tzv. HSM (Hardware Security Modul) boxů vs. systémové úložiště pro uložení SYST-CERT. Služby pro označení dokumentu elektronickou pečetí. Služby pro označení dokumentu elektronickým razítkem. Služby pro validaci elektronického podpisu, pečeti a razítka. Služby pro „přerazítkování“ – možnost využití služeb certifikační autority.
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
25
Příklad architektury po implementaci EPO RFC
RFC
SAP SRM
SAP TREX
SAP Portál - PT
ERP-1
XML
XML
SAP PI
ERP-2
https
SRM-SUS Dodav. portál LAC XML
Firewall
https
RFC
Firewall
SAP ADS
SRM-SUS
Integrovaný dodavatel RFC
SAP BW java
SAP BW ABAP
Služby EPO
Certifikační autorita
26 © 2015 con4PAS
Prostor pro dotazy
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
27
Děkujeme
Jméno Příjmení Role
[email protected] Michal Rosenbaum
Michal Rosenbaum Projektový manažer Jméno Příjmení Projektový manažer
[email protected] Role
[email protected] [email protected]
con4PAS Nákupní den - Vzhůru do oblak? © 2015 con4PAS
24.9.2015
28
Další program: Elektronizací nákupu k vyšší efektivitě a transparentnosti [ 30 min. ]
con4PAS Nákupní den - Vzhůru do oblak? Zámek Štiřín, 24. září 2015
Elektronický podpis a jeho implementace © 2015 con4PAS
24.09.2015
29
