Hlavní navigace

Kvalifikované elektronické pečeti: bude čím je vytvářet?

Autor: Depositphotos
Jiří Peterka

Zatímco kvalifikované prostředky pro vytváření elektronických podpisů jsou již běžně dostupné, jejich obdoba pro elektronické pečeti stále dostupná není. A to hrozí problémem.

Doba čtení: 17 minut

Před nedávnem jsem zde na Lupě psal o tom, jaké změny čekají už v září elektronické podepisování v rámci celé veřejné správy. Vše v důsledku konce dvouleté výjimky z povinností, které nám (již od roku 2016) ukládá unijní nařízení eIDAS. Jenže: tyto povinnosti se netýkají jenom elektronického podepisování, ale i elektronického pečetění. A zde je situace mnohem horší než u podepisování. Protože zatímco pro podepisování je vše potřebné již běžně dostupné (a problémem tak může být jen včas a správně nakoupit a začít používat), pro pečetění nejsou potřebné nástroje či služby zatím dostupné.

Problém se týká kvalifikovaných elektronických pečetí, na které bude veřejná správa (po letošním 19. září) muset přejít – a které vyžadují jak kvalifikované certifikáty pro elektronické pečeti, tak i kvalifikované prostředky pro vytváření elektronických pečetí. Jenže zatímco kvalifikované certifikáty (pro pečeti) se již vydávají, kvalifikované prostředky (pro pečeti) stále dostupné nejsou. A to ani v podobě certifikovaných čipových karet či USB tokenů (pro „ruční“ pečetění), ani v podobě tzv. HSM modulů (pro „strojové“ pečetění přímo u uživatele). Na obzoru je zatím jen služba pro vzdálené pečetění.

K problému se minulý týden vyjádřilo i ministerstvo vnitra. Zmiňuje následující možná řešení:

  • využít službu kvalifikovaného pečetění na dálku, kterou pod názvem „RemoteSeal“ chystá I.CA (popis)
  • pořídit si kvalifikovaný prostředek (pro vytváření elektronických pečetí) v podobě čipové karty či USB tokenu, až jej některý z tuzemských poskytovatelů služeb začne nabízet
  • dtto, pro prostředek v podobě tzv. HSM modulu – až jej některý z tuzemských poskytovatelů začne nabízet
  • poohlédnout se v zahraničí

Podle aktuálních informací od tří našich kvalifikovaných poskytovatelů (eIdentity, I.CA a PostSignum, viz závěr článku) by se situace ještě do září měla změnit. Nicméně i tak to bude spíše hodně pozdě než včas – protože jde o věci, jejichž nasazení do praxe nějakou chvíli trvá. Již jen kvůli délce výběrových řízení ve veřejné správě.

Ale zákon je zákon a jeho požadavkům je nutné dostát.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Proč pečetění, a ne podepisování?

Celá problematika elektronického pečetění je poněkud komplikovanější, a proto si ji dovolím nejprve postupně nastínit – aby bylo jasné, v čem celý problém kolem kvalifikovaných elektronických pečetí vlastně spočívá. Čtenáři znalí problematiky mohou tuto část článku přeskočit a pokračovat až popisem současné situace v závěru článku.

Začněme konstatováním, že ne vždy je vhodné či vůbec možné, aby se elektronické dokumenty (či zprávy) podepisovaly. Tedy ve smyslu úkonu konkrétní fyzické osoby, která by musela být připravena jej provést kdykoli, 24 hodin denně, 7 dnů v týdnu. Protože potřeba opatřit „něco elektronického“ nějakým autentizačním prvkem může vyvstat skutečně kdykoli.

Příkladem mohou být nejrůznější výpisy z veřejných rejstříků, které si žadatel může chtít stáhnout kdykoli, třeba uprostřed noci. Nebo může jít o elektronické podání, které může dorazit emailem na elektronickou podatelnu konkrétního úřadu také kdykoli – a na které je potřeba ihned reagovat automaticky generovanou odpovědí, potvrzující doručení. Nemluvě již o datových zprávách, přenášených skrze systém datových schránek – i ty by měl přepravující systém opatřovat svým autentizačním prvkem, a to kdykoli je někdo zadá k přepravě.

Po technické stránce by v takovýchto případech stačil elektronický podpis. Nicméně po právní (ani po praktické) stránce to není vhodné řešení. Již jen proto, že podpis „patří“ fyzické osobě a je jejím projevem vůle (nejčastěji souhlasu). V případech právě naznačeného charakteru ale není cílem projevit něčí vůli – nýbrž postarat se o zajištění integrity (neměnnosti) toho, co bylo podepsáno, a vyjádřit původ (od koho výpis či potvrzení pochází či kým je zpráva přepravována).

Zrovna u přepravovaných zpráv (včetně těch, které prochází systémem ISDS) by jejich podepisování navíc naráželo na to, že podepisující osoba se ani nesmí dívat do obsahu zprávy (seznamovat se s jejím obsahem), a tím méně pak má co vyjadřovat svou vůli k obsahu takovéto zprávy.   

Proto jsme si již v roce 2004 zavedli elektronické značky – po technické stránce jsou stejné jako elektronický podpis, ale liší se po právní stránce. Ta je nastavena tak, aby se mohlo jednat o autentizační prvek generovaný strojem. Samozřejmě ne nějak samovolně, podle vlastního uvážení stroje, ale podle člověkem nastavených pravidel. Elektronické značky proto nejsou projevem vůle a není s nimi spojen ani předpoklad seznámení se s obsahem toho, k čemu je značka připojována.

Nicméně: unijní nařízení eIDAS (nařízení č. 910/2014) přišlo s trochu odlišným konceptem elektronických pečetí. Odlišné je například to, že zatímco u našich značek se předpokládalo, že budou vytvářeny strojem (a nikoli ručně), u pečetí takovýto apriorní předpoklad není (i když v praxi asi bude často naplněn). Místo toho jsou elektronické pečeti koncipovány tak, že jde o alternativu k podpisu pro právnické osoby.

Jinými slovy: fyzické osoby se podepisují (používají elektronický podpis), zatímco právnické osoby pečetí (používají elektronické pečeti). Úřad, resp. orgán veřejné moci (přesněji: tzv. veřejnoprávní podepisující, viz minulý článek) je z tohoto pohledu řazen mezi právnické osoby, a jako takový tedy také používá pečeti (a nikoli podpisy).

Značky vs. pečeti

Dalším významným rozdílem mezi původními elektronickými značkami a novými elektronickými pečetěmi je ten, že značky šlo přidávat na jakékoli dokumenty (či zprávy). Tedy i na takové, které vytvořil někdo jiný. To u pečetí nejde – ty lze přidávat jen na „něco vlastního“. Důvod je ten, že cílem elektronických pečetí je zajistit integritu (neměnnost) a také původ toho, co je pečetí opatřeno. Takže když někdo přidá svou elektronickou pečeť na nějaký dokument či zprávu, vlastně tím říká „je to ode mne“  (resp. „já jsem původcem tohoto dokumentu či zprávy“). 

U elektronických pečetí, stejně jako u elektronických podpisů, existuje celá hierarchie jejich variant. Nejvýše v této hierarchii stojí kvalifikované elektronické pečeti, se kterými je spojena presumpce správnosti původu. Jinými slovy: když je něco opatřeno kvalifikovanou elektronickou značkou konkrétní právnické osoby (či úřadu), má se za prokázané, že „je to od ní“. A pokud by někdo tvrdil opak, nesl by důkazní břemeno – musel by ten opak dokazovat on.

Mimochodem, obdobná presumpce (pravosti) u kvalifikovaných elektronických podpisů chybí. Byla obsažena v naší původní právní úpravě (v §3 odst. 2 dnes již zrušeného zákona č. 227/2000 Sb., o elektronickém podpisu), ale v nové právní úpravě (vycházející z unijního nařízení eIDAS) ji nenajdeme.

Proč jsou potřeba kvalifikované prostředky (pro vytváření elektronických pečetí)?

Zatímco pro naše původní elektronické značky byly zapotřebí certifikáty speciálního typu, tzv. systémové certifikáty, pro pečetění jsou nutné jiné certifikáty – certifikáty pro elektronické pečeti. Zdůrazněme si, že jde o jiný typ certifikátu i oproti tomu, který je zapotřebí pro elektronický podpis.

Shodné je naopak to, že pro kvalifikované elektronické pečeti – stejně jako pro kvalifikovaný elektronický podpis – je zapotřebí kvalifikovaná varianta příslušného typu certifikátu. Pro kvalifikovanou elektronickou pečeť je tedy zapotřebí kvalifikovaný certifikát pro elektronickou pečeť, zatímco pro kvalifikovaný elektronický podpis je zapotřebí kvalifikovaný certifikát pro elektronický podpis

Zde, u certifikátů, ale problém není: kvalifikované certifikáty pro elektronické pečeti již vydávají všechny tři naše (původně akreditované) certifikační autority, dnes kvalifikovaní poskytovatelé služeb vytvářejících důvěru (tj. eIdentity, I.CA a PostSignum, v abecedním pořadí).

Problém je s dostupností kvalifikovaných prostředků pro vytváření elektronických pečetí. Protože obdobně jako u podpisů vyžaduje i kvalifikovaná varianta elektronických pečetí použití tzv. kvalifikovaného prostředku (pro vytváření elektronických pečetí).

Právnické osoby mají na vybranou, úřady nikoli

Zdůrazněme si, že potřeba kvalifikovaných prostředků (pro vytváření elektronických pečetí) se týká pouze veřejné správy (veřejnoprávních podepisujících) a také právnických osob, vykonávajících (veřejnoprávní) působnost – ale ostatních právnických osob nikoli.

Je to stejná situace jako u elektronických podpisů: veřejnoprávní podepisující (a osoby vykonávající veřejnoprávní působnost) mají povinnost používat kvalifikované varianty jak u podpisů, tak i u pečetí. A k nim potřebují i ony kvalifikované prostředky (pro vytváření elektronických podpisů, resp. pro vytváření elektronických pečetí).

Naproti tomu právnické osoby (pokud právě nevykonávají veřejnoprávní působnost) mají na výběr, a to i když jednají vůči veřejné správě – stačí jim „uznávaná“ varianta elektronického podpisu či pečeti a k ní kvalifikovaný prostředek nepotřebují. Pokud ho mají, mohou ho použít (protože uznávané elektronické podpisy i pečeti zahrnují i ty kvalifikované). Ale pokud ho nemají, vystačí i bez něj – protože mohou použít i „zaručenou elektronickou pečeť, založenou na kvalifikovaném certifikátu pro elektronickou pečeť“. Vše díky obdobné „národní specialitě“ v podobě uznávané varianty, jako u elektronických podpisů (viz minulý článek).

No a v rámci soukromoprávních jednání (tedy tam, kde ani jednou stranou není „někdo“ z veřejné správy) mohou právnické osoby použít jakoukoli elektronickou pečeť. Tedy i takovou, která ani nemusí být založena na asymetrické kryptografii, certifikátech, klíčích atd.

Jaká byla přechodná opatření? 

Přechod od původních elektronických značek k elektronickým pečetím pochopitelně neproběhl naráz, k jednomu konkrétnímu okamžiku. Místo toho byl – díky přechodným ustanovením v adaptačním zákoně (v §19 zákona č. 297/2016 Sb.) – rozložen do dvouletého přechodného období, které vlastně ještě stále probíhá (začalo 19. 9. 2016, trvá dva roky a vzhledem k ustanovení §605 odst. 2 NOZ končí „až o den později“, tedy až 19. 9. 2018).  

Zjednodušeně si toto dvouleté období můžeme představit jako dožívání původních elektronických značek (aby se dovyužívaly již dříve vydané systémové certifikáty) a postupný náběh elektronických pečetí. Postupný proto, že zpočátku nebyly k dispozici ještě ani kvalifikované certifikáty pro elektronické pečeti a našim autoritám trvalo určitou dobu, než pro jejich vydávání získaly potřebný kvalifikovaný statut.

Proto bylo (resp. stále ještě je) možné, v rámci dvouletého přechodného období, používat místo kvalifikovaných elektronických pečetí pouze takové pečeti, které nevyžadují použití kvalifikovaného prostředku (pro vytváření elektronických pečetí). A dokonce i takových pečetí, které nevyžadují ani kvalifikovaný certifikát (ale jen certifikát pro elektronickou pečeť, vydaný kvalifikovaným poskytovatelem služeb vytvářejících důvěru).  

Nicméně, a to si znovu zdůrazněme: dvouleté přechodné opatření skončí 19. září letošního roku a od následujícího dne bude celá veřejná správa muset používat již jen kvalifikované elektronické pečeti. Naopak právnické osoby (nevykonávající veřejnoprávní působnost) budou mít trvalou výjimku, obdobnou jako u elektronických podpisů (viz minulý článek), a kvalifikované prostředky ani nadále potřebovat nebudou. 

Kdy mají úřady podepisovat a kdy pečetit?

V souvislosti s elektronickými pečetěmi je důležité si uvědomit, že na úřadech (i u právnických osob vykonávajících veřejnoprávní působnost) mají dvě principiální možnosti, jak naložit s nějakým elektronickým dokumentem (či zprávou), kterou vyprodukují:

  • dokument může podepsat (opatřit svým elektronickým podpisem) někdo, kdo je k tomu oprávněn. Typicky příslušný úředník. Pak, jak jsme si popisovali již v minulém článku, po 19. září musí použít kvalifikovaný elektronický podpis – a k němu potřebuje jak kvalifikovaný certifikát, tak i kvalifikovaný prostředek pro vytváření elektronických podpisů (certifikovanou čipovou kartu či USB token).
  • dokument může zapečetit (opatřit svou pečetí) úřad jako takový (či právnická osoba vykonávající veřejnoprávní působnost). Pak, obdobně jako při podepisování, musí (po 19. září) použít kvalifikovanou elektronickou pečeť.  

To, kterou z těchto dvou variant v konkrétních případech volit, není na libovůli příslušného úřadu. Existuje na to závazné pravidlo, které upřednostňuje podepisování. Jde o již jednou citovaný §8 adaptačního zákona (připomenutí na následujícím obrázku), podle kterého má být použit podpis (a to: kvalifikovaný elektronický podpis oprávněné osoby) tam, kde je k tomu nějaký právní důvod (kdy podpis je povinnou náležitostí příslušného právního jednání), nebo tam, kde je to obvyklé (kde to vyplývá z povahy právního jednání). Pouze v ostatních případech by měly být použity pečeti (a to: kvalifikované elektronické pečeti).

Povšimněme si také jedné důležité věci: varianta podepsání je u veřejnoprávního podepisujícího (zjednodušeně: úřadu, resp. orgánu veřejné moci) i u právnické osoby vykonávající veřejnoprávní působnost (např. školy, STK) podmíněna právním jednáním. Ale pečetění je takto podmíněno už jen u právnických osob (vykonávajících veřejnoprávní působnost), a nikoli již u veřejnoprávních podepisujících.

Tomu je zřejmě třeba rozumět tak, že jakýkoli elektronický dokument (a tedy i zpráva jakožto zvláštní případ dokumentu), který vyprodukuje orgán veřejné moci, musí být opatřen nějakým elektronickým autentizačním prvkem. V určených případech (kde jde o právní jednání a o náležitost či je to obvyklé) to musí být podpis – a ve všech ostatních případech musí být připojena pečeť.

Ještě si to trochu upřesněme: povinnost opatřit (kvalifikovaným elektronickým) podpisem či (kvalifikovanou elektronickou) pečetí by se měla týkat všech dokumentů, které mohou existovat jako samostatné entity. Zjednodušeně: které si lze stáhnout jako soubor (a dále s ním nakládat jako s jakýmkoli souborem). Ostatně, podepisují se právě soubory.

Nemělo by se to týkat dokumentů (coby „konkrétního obsahu“), který tvoří běžný obsah webové stránky (ve smyslu vyjádření tohoto obsahu přímo v HTML kódu příslušné stránky, bez nabídky stažení v podobě souboru). Protože takovýto obsah by měl být autentizován tím, jak je autentizována webová stránka jako taková. Tedy certifikátem příslušného webového serveru. Tím by ale měl být kvalifikovaný certifikát pro autentizaci internetových (správně: webových) stránek (který je u nás už také vydáván), a nikoli „běžný“ serverový (SSL) certifikát.

Co tedy reálně pečetit?

Zkusme si nyní zodpovědět zajímavou otázku, důležitou pro praktickou volbu kvalifikovaného prostředku pro vytváření elektronických pečetí: kdy a co konkrétně se u nějakého typického úřadu bude pečetit?

Odpověď by (zjednodušeně) mohla znít asi takto:

  • pokud jde o „ručně vytvářené“ dokumenty, které produkují konkrétní úředníci v rámci své běžné úřední činnosti: tyto budou většinou podepisovány – protože budou spadat do kategorie dokumentů představujících právní jednání, a u kterých je podpis povinnou náležitostí (nebo podepsání vyplývá z povahy právního jednání). Zbude asi jen relativně málo takovýchto „ručně vytvářených“ dokumentů, které by se nepodepisovaly a kvůli tomu se musely pečetit
  • pokud jde o „strojově vytvářené dokumenty“, které jsou generovány nějak samočinně (strojem, resp. programem): zde bude situace nejspíše přesně obrácená. Jde o nejrůznější výpisy (hlavně z veřejných rejstříků) či automaticky generovaná potvrzení, která se dříve (strojově) opatřovala elektronickými značkami a dnes se opatřují pečetí.

Obdobně je tomu u výstupů z autorizované konverze z listinné do elektronické podoby: příslušné doložky se podle § 25 odst. 1 písm. h) zákona č. 300/2008 Sb. v případě „ruční“ konverze podepisují (opatřují kvalifikovaným elektronickým podpisem osoby, která konverzi provedla), a v případě „strojové“ (automatické) konverze pečetí (opatřují kvalifikovanou elektronickou pečeť subjektu, který konverzi provedl).

Moduly HSM vs. čipové karty

Kvalifikované prostředky pro vytváření elektronických pečetí se obecně označují „rozepsanější“ zkratkou QSealCD, od anglického Qualified Seal Creation Device. To pro odlišení od kvalifikovaných prostředků pro vytváření elektronických podpisů, které se nejčastěji označují zkratkou QSCD (Qualified Signature Creation Device) a někdy též zkratkou QSigCD.

Předchozí rozdělení (na „ručně“ a „strojově“ vytvářené dokumenty) je důležité pro volbu konkrétní podoby prostředku QSealCD. Tedy kvalifikovaného prostředku pro vytváření elektronických pečetí. Protože tyto prostředky mají dvě základní varianty:

  • jedna z nich je určena pro „ruční pečetění“, a tedy jen pro příležitostné použití – kdy nevadí, že samotné vytvoření pečeti nějakou chvíli trvá a uživatel se musí pokaždé autentizovat (obvykle: zadat PIN). Jde o prostředky v podobě čipové karty či USB tokenu, a tedy v zásadě o stejné prostředky jako pro elektronické podepisování – jen musí být certifikovány jako kvalifikované i pro pečetění (jako QSealCD)
  • druhá je určena pro „strojové pečetění“, a tedy pro časté (masové, objemové) použití – kdy jsou naopak kladeny vysoké požadavky na rychlost pečetění. Navíc zde z principu nepřipadá v úvahu, aby se konkrétní uživatel při každém jednotlivém pečetění autentizoval. Proto musí být takovéto prostředky samy o sobě dostatečně bezpečné a musí být provozovány bezpečným způsobem a v dobře zabezpečeném prostředí. Označují se jako HSM moduly, od Hardware Security Module, a jejich cena je pochopitelně podstatně vyšší než u čipových karet a USB tokenů.

Praktická volba mezi různými variantami QSealCD tak v praxi nebude až tak těžká: prostředek v podobě čipové karty či USB tokenu reálně připadá v úvahu jen pro „ručně vytvářené“ dokumenty, kterých vzniká relativně málo. Pokud by jich mělo být více a měly vznikat nějak systematičtěji, už by asi byl vhodnější HSM modul. No a tam, kde jde o „strojově generované“ dokumenty, je HSM modul nutností.

U HSM modulů přitom také existují dvě varianty: buď si takovýto modul může provozovat sám uživatel (právnická osoba), nebo jej může provozovat certifikační autorita (kvalifikovaný poskytovatel služeb vytvářejících důvěru). Tato druhá varianta přitom nemusí nutně znamenat, že jde o pečetění tzv. na dálku – protože HSM modul, spravovaný kvalifikovaným poskytovatelem, může být fyzicky umístěn i u uživatele/zákazníka. Samozřejmě za dodržení příslušných požadavků na bezpečnost a ochranu prostředí, ve kterém je zařízení umístěno a provozováno.

Důležité je, že pro kvalifikované elektronické pečeti musí být příslušný HSM modul certifikovaný jako kvalifikovaný prostředek – což dnes, v kontextu nařízení eIDAS, znamená, že musí být uveden na (unijním) seznamu kvalifikovaných prostředků (QSigCD i QSealCD). Bohužel v současné době zde není uveden žádný HSM modul, který by si mohl provozovat sám uživatel. Jsou zde jen HSM moduly, které musí provozovat a spravovat kvalifikovaný poskytovatel. Ať již je takovýto HSM modul umístěn přímo u poskytovatele, nebo naopak u zákazníka (ale stále provozován a spravován poskytovatelem).

Stejně tak jsou na seznamu kvalifikovaných prostředků i takové, které mají podobu čipové karty a jsou certifikovány nejenom jako QSCD (resp. QSigCD), ale i jako QSealCD. Tedy jako kvalifikovaný prostředek nejenom pro vytváření elektronických podpisů, ale i pro vytváření kvalifikovaných pečetí.

Čipová karta ProID+Q

Nás konkrétně může zajímat hlavně jeden z nich: čipová karta ProID+Q. Její kontaktní čip je založen na technologii od společnosti Gemalto, která je certifikována jako QSigCD i jako QSealCD, viz následující obrázek.

Čipovou kartu ProID+Q si u nás již můžete koupit, třeba od PostSignum již za 797 Kč (s DPH). A oprávněna ji vydávat je i společnost eIdentity. Problém je ale v tom, že obě společnosti ji zatím vydávají jen jako QSCD, resp. QSigCD. Tedy jen jako kvalifikovaný prostředek pro vytváření elektronických podpisů. Nikoli jako QSealCD, neboli jako kvalifikovaný prostředek pro vytváření kvalifikovaných pečetí.

Důvod jsme si vlastně popisovali již v minulém článku: konkrétní prostředek musí (jako QSigCD či jako QSealCD) podporovat („znát“) i systémy příslušného poskytovatele (certifikační autority) – aby při generování žádosti o vystavení nového certifikátu měly jistotu, že soukromý klíč je generován uvnitř prostředku a není možné ho „dostat ven“. Protože jen v takovém případě si poskytovatel může troufnout ve vydávaném certifikátu nastavit příslušný příznak v položce QC Statement, indikující uložení klíče v kvalifikovaném prostředku.

Kromě toho musí příslušný poskytovatel řádně oznámit dozorovému orgánu (u nás MV ČR), že takovýto prostředek chce začít vydávat (jako QSigCD či QSealCD). A pokud je vše v pořádku, dozorový orgán zapíše vydávaný prostředek do příslušného národního seznamu (vydávaných kvalifikovaných prostředků).

V případě čipové karty ProID+Q jde ale stále jen o uvedení na seznamu (a vydávání) jako kvalifikovaný prostředek pro vytváření elektronických podpisů (jako QSCD, resp. QSigCD), a nikoli jako kvalifikovaný prostředek pro vytváření elektronických pečetí (jako QSealCD).

Co chystá PostSignum a eIdentity?

Podle vyjádření společnosti PostSignum je ale i varianta karty ProID+Q „pro pečeti“ na obzoru:

aktuálně máme v nabídce pouze čipové karty PROID+Q, které sice v tuto chvíli nabízíme pouze jako QSignCD, ale od minulého týdne máme na MV podanou ke schválení žádost s potřebnou dokumentací, abychom tyto čipové karty mohli nabízet i jako QSealCD. Termín tedy aktuálně záleží na rychlosti posouzení naší žádosti na MV. Předpokládáme, že k tomu dojde v průběhu července, takže od srpna bychom je mohli mít v nabídce s kompletní podporou pro vydávání kvalifikovaných certifikátů pro elektronickou pečeť.

Pokud jde o HSM moduly, zde se prý PostSignum chce orientovat na moduly provozované přímo zákazníkem (a ne na vzdálené pečetění, viz dále). Zde ale naráží na nedostupnost takových HSM modulů, které by byly kvalifikované a mohl je provozovat přímo zákazník (viz výše).

To společnost eIdentity mi odpověděla v tom smyslu, že vůči použití karty ProID+Q jako QSealCD jsou skeptičtější (kvůli malé rychlosti a nutnosti zadávat PIN) a chtějí se orientovat spíše na HSM moduly, sice umístěné u zákazníka, ale provozované a spravované poskytovatelem.

Co chystá I.CA?

Ještě další možnost kvalifikovaného pečetění – jako službu v podobě pečetění na dálku – hodlá nabízet společnost I.CA. Svou budoucí službu s názvem RemoteSeal (popis, technické řešení) představila již počátkem dubna na semináři časopisu eGovernment

Zjednodušeně jde o variantu, kdy je HSM modul umístěný u poskytovatele a je jím také provozovaný a spravovaný. Zákazník má u sebe jen klienta (SW modul), který z „místního“ dokumentu, který má být opatřen pečetí, získá otisk a ten odešle k poskytovateli, kde je v HSM modulu vytvořena požadovaná pečeť. Ta je pak zaslána zpět a připojena k příslušnému dokumentu (který jako takový neopouští systém zákazníka).

Nicméně i tato služba RemoteSeal zatím teprve čeká na svůj ostrý start. Jak mi napsali z I.CA:

V současné době je řešení nasazeno v testovacím prostředí a využívá jej cca 10 klientů z veřejné správy. Proběhla také kontrola MVČR a v nejbližší době bychom měli obdržet správní rozhodnutí o zařazení služby na TL – protože ale dle eIDAS nejde přímo o kvalifikovanou službu, bude TL CZ, služba 78, rozšířen o : <ns5:Qualifier uri=„http://uri.etsi.org/TrstSvc/Trus­tedList/SvcInfoExt/QCQSCDMa­nagedOnBehalf“/> Předpokládaný termín zprovoznění produkčního prostředí je po dohodě s klienty červenec/srpen.
Našli jste v článku chybu?