Ustawa o podpisie elektronicznym

Art. 5. Ust 2.

Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

Art. 6. Ust 1.

Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny.

Bezpieczny podpis elektroniczny

Ustawa o podpisie elektronicznym z 18 września 2001 roku:

„Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi”.

Bezpieczny podpis elektroniczny, jest odpowiednikiem podpisu odręcznego i podobnie jak on pełni funkcje:

• Uwierzytelnienia (ang. authentication)

• Identyfikacji (ang. identification)

• Oświadczenia wiedzy (declaration of knowledge)

• Oświadczenia woli (declaration of will).

Bezpieczny podpis elektroniczny dodatkowo może służyć do:

• potwierdzenia integralności danych,

• potwierdzenia autorstwa wiadomości.

Podpis elektroniczny bezpieczny, a zwykły

• Bezpieczny podpis elektroniczny w Polsce został powołany do istnienia na mocy Ustawy o Podpisie Elektronicznym.

• Bezpieczny podpis elektroniczny jest dokonywany z użyciem kwalifikowanego certyfikatu, wydawanego jedynie przez akredytowane centra certyfikacji (w 2008 w Polsce Certum, Kir, Sigillum).

• Podstawową różnicą pomiędzy podpisem bezpiecznym, a tzw. „zwykłym” jest moc prawna - tylko bezpieczny podpis elektroniczny ma zagwarantowaną moc prawną podpisu odręcznego, czyli może być przedstawiony w sądzie jako potwierdzający wiedzę/wolę danej osoby.

• Bezpieczny podpis elektroniczny jest wykonywany przy użyciu „bezpiecznego urządzenia”, a więc zestawu komponentów spełniających określone normy technologiczne (podane w rozporządzeniu Rady Ministrów).

• Zwykły podpis elektroniczny nie musi spełniać wielu szczegółowych norm niezbędnych dla podpisu bezpiecznego, jednak jego status prawny nie jest potwierdzony ustawowo. Przy komunikowaniu się z urzędami wymagany jest podpis bezpieczny.

Certyfikat elektroniczny

Definicja (ustawa o podpisie elektronicznym). Certyfikat - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby. W praktyce

Stworzono (przyjęte w całym świecie) normy określające jednolity format certyfikatu elektronicznego. Nosi on nazwę X.509 (aktualnie w wersji 3). Certyfikaty obecne w tym standardzie są niewielkimi plikami rozpoznawanymi przez większość systemów operacyjnych i używanymi przez oprogramowanie podczas składania i weryfikacji podpisu elektronicznego, a także do licznych innych zastosowań. Certyfikaty elektroniczne są niepodrabialne, ponieważ same są zabezpieczone podpisem cyfrowym.

Normy, standardy, akty prawne...

• Standard X.509 v3 opisany w RFC 2459 - opisujący sposób użycia asymetrycznych algorytmów kryptograficznych w celu składania podpisu elektronicznego oraz jego weryfikacji.

• Ustawa o podpisie elektronicznym z dnia 18 września 2001 r.

• Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. Nr 1094

• Dyrektywa i normy UE - Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 o wspólnotowej infrastrukturze podpisów elektronicznych: Polityki i regulaminy certyfikacji - w repozytorium Urzędu Certyfikacji.

• Więcej informacji - strony internetowe centrów certyfikacji - np. www.sigillum.pl.

Ochrona danych osobowych

Przepis prawny:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

• Osoby i instytucje przechowujące dane osobowe są zobowiązane do przestrzegania przepisów wynikających z ustawy o ochronie danych osobowych. W szczególności dane gromadzone w punktach rejestracji i punktach weryfikacji tożsamości muszą spełniać rygory tej ustawy.

• Oznacza to m.in., że dane osobowe klientów musza być przechowywane w zamykanych pomieszczeniach i zabezpieczane przed dostępem osób postronnych.

• Dane komputerowe zawierające informacje podlegające ochronie muszą być chronione zarówno organizacyjnie (kontrola dostępu do pomieszczeń, nie udostępnianie tych osobom nieuprawnionym), sprzętowo (zabezpieczenia dostępu do komputerów i softwarowo (programy antywirusowe, firewalle).

• Inspektorzy weryfikujący dane klientów muszą uzyskać od GIODO zezwolenie na przetwarzanie danych, czyli uzyskać status administratora danych osobowych.

Odpowiedzialność karna

Ustawa o ochronie danych osobowych

• Art. 49.

1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 50.

Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 51.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

5. Art. 52.

6. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

7. Art. 53.

8. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

9. Art. 54.

10. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Odpowiedzialność karna

Ustawa o podpisie elektronicznym

• Art. 45.

• 45.Kto świadczy usługi certyfikacyjne jako kwalifikowany podmiot świadczący usługi certyfikacyjne bez uprzedniego zawarcia wymaganej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom tych usług, podlega grzywnie do 1.000.000 złotych.

• Art. 46.

• Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi określonemu w ustawie nie informuje osoby ubiegającej się o certyfikat o warunkach uzyskania i używania certyfikatu podlega grzywnie do 30.000 złotych.

• Art. 47.

• Kto składa bezpieczny podpis elektroniczny za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

• Art. 48.

• Kto, świadcząc usługi certyfikacyjne, kopiuje lub przechowuje dane służące do składania bezpiecznego podpisu lub poświadczenia elektronicznego lub inne dane, które mogłyby służyć do ich odtworzenia, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

• Art. 49.

1. Kto, świadcząc usługi certyfikacyjne, wydaje certyfikat zawierający nieprawdziwe dane, o których mowa w art. 20 ust. 1, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

2. Tej samej karze podlega osoba, która w imieniu podmiotu świadczącego usługi certyfikacyjne umożliwia wydanie certyfikatu, o którym mowa w ust. 1.

3. Tej samej karze podlega osoba, która posługuje się certyfikatem, o którym mowa w ust. 1.

Art. 50.

Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi, o którym mowa w art. 21 ust. 2 pkt 5 i 6, zaniecha unieważnienia certyfikatu, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

Art. 51.

Kto, świadcząc usługę znakowania czasem jako kwalifikowany podmiot świadczący usługi certyfikacyjne, umożliwia oznaczenie danych czasem innym niż z chwili wykonywania tej usługi oraz poświadcza elektronicznie tak powstałe dane, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

Art. 52.

1. Kto, będąc obowiązanym do zachowania tajemnicy związanej ze świadczeniem usług certyfikacyjnych, ujawnia lub wykorzystuje, wbrew warunkom określonym w ustawie, informacje objęte tą tajemnicą, podlega grzywnie do 1.000.000 złotych lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

2. Jeżeli sprawca dopuszcza się czynu określonego w ust. 1 jako podmiot świadczący usługi certyfikacyjne lub jako kontroler albo w celu osiągnięcia korzyści majątkowej lub osobistej, podlega grzywnie do 5.000.000 złotych lub karze pozbawienia wolności do lat 5 albo obu tym karom łącznie.

15. Art. 53.

16. Karom określonym w art. 45-51 podlega także ten, kto dopuszcza się czynów, o których mowa w tych przepisach, działając w imieniu lub w interesie innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej

Odpowiedzialność karna

Kodeks karny

• Art. 267.

• § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

• Art. 268.

• § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.

Infrastruktura klucza publicznego

Podstawowe pojęcia - algorytm, klucz kryptograficzny

• Każdy szyfr, czy mechanizm uwierzytelniania posługuje się kluczem kryptograficznym.

• Klucz kryptograficzny - parametr (zbiór danych), który steruje operacjami szyfrowania lub deszyfrowania informacji) - def. ogólna, nabiera konkretnego znaczenia w połączeniu z właściwym algorytmem szyfrowym.
  - np.: kluczem może być wielkość przesunięcia dla szyfru Cezara (=3), fraza hasła podawanego wartownikowi, współczesny klucz algorytmów DES, RSA itd.
  
  
  

Podstawowe pojęcia - algorytm, klucz kryptograficzny

• Każdy szyfr, czy mechanizm uwierzytelniania posługuje się kluczem kryptograficznym.

• Klucz kryptograficzny - parametr (zbiór danych), który steruje operacjami szyfrowania lub deszyfrowania informacji) - def. ogólna, nabiera konkretnego znaczenia w połączeniu z właściwym algorytmem szyfrowym.- np.: kluczem może być wielkość przesunięcia dla szyfru Cezara (=3), fraza hasła podawanego wartownikowi, współczesny klucz algorytmów DES, RSA itd.

• 
  

Typy współczesnych algorytmów szyfrowych

• Algorytmy symetryczne (współcześnie używane - np. DES, 3DES).- Istnieje jeden klucz, który służy zarówno do zaszyfrowania, jak i odszyfrowania informacji.

• Algorytmy asymetryczne (współcześnie używane - np. RSA) .- Istnieje para kluczy, z których jeden służy do szyfrowania, a drugi do odszyfrowywania informacji.

Szyfrowanie symetryczne

• Mamy tylko jeden klucz, który zarówno szyfruje dane, jak i odszyfrowuje je.

• Jest to najstarszy typ szyfrowania.

• Zwykle szyfrowanie symetryczne jest prostsze - tak koncepcyjnie, jak i obliczeniowo - od szyfrowania asymetrycznego.

• Duża szybkość działania - to podstawowa zaleta tego rodzaju szyfrowania.

• Mnogość znanych algorytmów.

• Główna wada w porównaniu do szyfrowania asymetrycznego: w zdecydowanej większości zastosowań klucz szyfrujący musi być w całości tajny. Uwierzytelnianie i szyfrowanie na masową skalę jest tu więc prawie niemożliwe, bo każda para nadawca - odbiorca wiadomości wymaga zastosowania osobnego klucza.

• Współczesne, najczęściej używane algorytmy to DES i 3DES, AES.

• Aktualnie szyfrowanie symetryczne jest bardzo często stosowane w połączeniu z szyfrowaniem asymetrycznym - symetrycznie szyfrowane są właściwe dane, a asymetrycznie tylko klucz szyfrowy.

Szyfrowanie asymetryczne

Użytkownik (zwykle właściciel certyfikatu, choć może być nim np. program komputerowy) posiada unikalną parę kluczy kryptograficznych. W odróżnieniu od kryptografii symetrycznej, tutaj klucze nie są w całości tajne.

• Klucz prywatny znany jest tylko użytkownikowi. Służy on do deszyfrowania i generowania podpisów.

• Klucz publiczny jest udostępniony wszystkim uczestnikom wymiany informacji. Umożliwia szyfrowanie wiadomości wysyłanych do właściciela klucza prywatnego i weryfikowanie podpisów.

• Klucze są powiązane ze sobą kryptograficznie.

Kryptografia asymetryczna - szyfrowanie

• Dane zaszyfrowane przy pomocy klucza publicznego można rozszyfrować jedynie kluczem prywatnym.

• Nie da się odszyfrować danych za pomocą klucza je szyfrującego

Funkcja skrótu

Funkcja skrótu (ang. hash, funkcja „haszująca”) jest to przekształcenie powodujące utworzenie reprezentacji z dokumentu. Funkcja ta pełni ważną rolę przy tworzeniu podpisu elektronicznego. Własności:

• Z danych dowolnie dużych generuje wartość o relatywnie krótką - np. dla skrótu SHA1 - 160 bitów (co odpowiada 20 znakom pisarskim).

• Jest mocno wrażliwa na zmiany w oryginalnych danych (zmiana jednego bitu powoduje trudną do przewidzenia modyfikację całego skrótu).

• Prawdopodobieństwo istnienia informacji o tych samych skrótach jest bardzo małe i prawie niemożliwe jest wygenerowanie dokumentu o tym samym skrócie co zadany (przy 160 bitach jest ok. 1048 kombinacji).

• Jest nieodwracalna - nie można obliczyć oryginalnych danych na podstawie ich skrótu.

• Znajduje zastosowanie w wielu operacjach instytucji klucza publicznego.

Istota podpisywania elektronicznego

• Podpisywanie elektroniczne danych od strony algorytmicznej sprowadza się do:

• Obliczenia funkcji skrótu z danych do podpisania

• Zaszyfrowaniu obliczonego skrótu za pomocą klucza prywatnego osoby podpisującej.

• Zaszyfrowany kluczem prywatnym skrót z wiadomości jest właściwym podpisem elektronicznym tej wiadomości.

• Podpis elektroniczny ma sens jedynie w powiązaniu z samą wiadomością, dlatego jest do niej dołączany tworząc „podpisany dokument”.

• Ponieważ same dane podpisu elektronicznego nie zawierają informacji o osobie podpisującej (są ciągiem bitów nie mającym prostej interpretacji), to informacja o podpisującym musi być dołączana w postaci dodatkowej struktury certyfikatu elektronicznego.

Podpis elektroniczny - weryfikacja

Sprawdzenie poprawności podpisu polega na:

• Odszyfrowaniu dołączonego podpisu kluczem publicznym,

• Utworzeniu skrótu z dokumentu oryginalnego,

• Porównaniu wyników z dwóch poprzednich punktów - jeśli są identyczne, to znaczy, że podpis pasuje do dokumentu.

PKI - infrastruktura klucza publicznego

• Mamy technologię, do identyfikacji, szyfrowania itp. Ale…

• To zwykle nie wystarczy, do jej w pełni wartościowego użycia w normalnym obrocie prawnym i gospodarczym.

Potrzebne jest jeszcze przełożenie samej techniki na zaufanie, że za złożonym podpisem elektronicznym stoi określona osoba.

• Inaczej mówiąc - ktoś musi pilnować tego, aby wydawanie kluczy do podpisu było wiarygodne. Potrzebne są usługi Zaufanej Trzeciej Strony, a głównym ich instrumentem jest Certyfikat Elektroniczny.

• Zaufaną trzecią stroną jest w PKI Urząd Certyfikacji, czyli instytucja, która zajmuje się weryfikacją tożsamości osób, którym wydawane są certyfikaty i, która czuwa nad tym, aby dane zawarte w certyfikacie były zgodne ze stanem faktycznym.

Certyfikat elektroniczny

Co zawiera certyfikat?

• klucz publiczny (jest on powiązany z chronionym przez właściciela certyfikatu kluczem prywatnym),

• informacje o właścicielu certyfikatu, ew. także o firmie - sponsorze,

• informacje o przeznaczeniu certyfikatu oraz jego okresie ważności,

• informacje o wydawcy certyfikatu.

Certyfikat podpisany jest kluczem prywatnym Urzędu certyfikacji, który certyfikat wystawił. Certyfikat z założenia może być publikowany i przekazywany bez obawy o utratę poufności. Wiarygodność certyfikatu poświadcza urząd certyfikacji (CA), który ten certyfikat wystawia i później podpisuje.

Certyfikat elektroniczny - informatycznie

• Patrząc od strony informatycznej, certyfikat jest plikiem (zwykle o rozszerzeniu „crt”) zawierającym niezbędne informacje.

• Pliki crt są odczytywane przez oprogramowanie systemowe (np. Windows, Uniks); mogą być kasowane, kopiowane, wysyłane pocztą elektroniczną itp.

• Oprogramowanie systemowe prezentuje właściwości certyfikatu: zawartość pól opisujących wydawcę i posiadacza certyfikatu oraz zakres zastosowań.

• Dane certyfikatu są podpisane przez urząd certyfikacji, co zapewnia ich integralność (każda zmiana danych zawartych w certyfikacie jest rozpoznawalna podczas weryfikacji) i chroni przed sfałszowaniem.

• Aby certyfikat mógł posłużyć do szyfrowania i podpisywania należy go zarejestrować w systemie operacyjnym komputera.

Urząd certyfikacji CA

• Podstawową jednostką w strukturze PKI jest Urząd Certyfikacji - CA (ang. Cerification Authority), czyli organizacja ciesząca się zaufaniem publicznym weryfikująca tożsamość jednostek i wydające certyfikaty.

• CA stosuje ponadprzeciętne środki zabezpieczania informacji w celu utrzymania i pogłębiania zaufania, utrzymuje odpowiednią infrastrukturę sieciową, publikuje dane niezbędne dla prawidłowego funkcjonowania podpisu elektronicznego w ramach struktury PKI.

• Urzędy certyfikacji mogą funkcjonować jako niezależne organizacje tzw. RootCA (wierzymy takiemu urzędowi z założenia lub z „innych” powodów).

• Urzędy certyfikacji mogą funkcjonować w hierarchii zaufania z

• urzędami nadrzędnymi (RootCA) - potwierdzającymi zaufanie innych urzędów

• urzędami podrzędnymi (SubCA)

• Na szczycie hierarchii zaufania znajduje się zwykle jakaś szczególnie ważna instytucja. Np. dla hierarchii polskich urzędów wydających certyfikaty kwalifikowane „rootem” jest Narodowy Bank Polski (Centrast).

• Cofnięcie zaufania dla urzędu certyfikacji powoduje, że wydane przez niego certyfikaty stają się „niezaufane”.

Zarządzanie zaufaniem certyfikatów.

• Certyfikat z nieznanego źródła jest przez system operacyjny komputera (także zaświadczenie certyfikacyjne) jest widziany jako „niezaufany”.

• Certyfikaty nie mające statusu zaufanych skutkują wyświetlaniem komunikatów ostrzegawczych przy weryfikacji podpisów złożonych z ich użyciem.

• Użytkownik może zdecydować, czy potraktuje nieznany systemowi operacyjnemu certyfikat jako zaufany (a więc pochodzący od wiarygodnego źródła), czy też pozostawi w stanie niezaufanym.

• Jeśli certyfikat jest ważny i uznany jako „zaufany”, to wszystkie prawidłowe podpisy złożone za jego pomocą będą traktowane jako „poprawne”.

• Zainstalowanie zaświadczenia certyfikacyjnego urzędu certyfikacji wystawiającego dany certyfikat powoduje uznanie za zaufane wszystkich certyfikatów wystawionych przez ten urząd (usunięcie zaświadczenia z rejestru systemowego spowoduje cofnięcie zaufania dla jego certyfikatów).

• W podobny sposób usunięcie zaświadczenia certyfikacyjnego rootCA powoduje cofnięcie zaufania dla podległych mu urzędów SubCA.

• Zaświadczenia certyfikacyjne urzędu certyfikacji, nadające „zaufanie” jego certyfikatom znajdują się w repozytorium. Dla Sigillum są one dostępne pod adresem:

• Zasady bezpieczeństwa

Przechowywanie kluczy prywatnych

Klucze prywatne powinny być szczególnie chronione, bo dostęp do nich umożliwiłby osobie niepowołanej podejmowanie zobowiązań w naszym imieniu. Przykłady nośników kluczy: Karta kryptograficzna (tzw. Smart Card). Przykład - karta kryptograficzne Sigillum (SETEC) zawiera 32 kB pamięci; obsługuje szyfrowania: asymetryczne RSA 1024 bit, symetryczne DES, 3DES, MAC (realizowane na karcie). Może być nośnikiem kluczy certyfikatów kwalifikowanych i zwykłych. Tokeny kryptograficzne (np. tokeny usb) - bezpieczeństwo podobne jak w przypadku karty Smart Card. Pliki pkcs#12 (tylko do certyfikatów komercyjnych). Natywne metody przechowywania kluczy narzucone przez oprogramowanie - np. serwer WWW, Microsoft Windows, itd. (tylko do certyfikatów komercyjnych).

Przechowywanie kluczy prywatnych

Klucze prywatne powinny być szczególnie chronione, bo dostęp do nich umożliwiłby osobie niepowołanej podejmowanie zobowiązań w naszym imieniu. Przykłady nośników kluczy: Karta kryptograficzna (tzw. Smart Card). Przykład - karta kryptograficzne Sigillum (SETEC) zawiera 32 kB pamięci; obsługuje szyfrowania: asymetryczne RSA 1024 bit, symetryczne DES, 3DES, MAC (realizowane na karcie). Może być nośnikiem kluczy certyfikatów kwalifikowanych i zwykłych. Tokeny kryptograficzne (np. tokeny usb) - bezpieczeństwo podobne jak w przypadku karty Smart Card. Pliki pkcs#12 (tylko do certyfikatów komercyjnych). Natywne metody przechowywania kluczy narzucone przez oprogramowanie - np. serwer WWW, Microsoft Windows, itd. (tylko do certyfikatów komercyjnych).

Podstawy bezpieczeństwa informacji

• Poufność - zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym.

• Integralność - zapewnienie dokładności i kompletności informacji oraz metod przetwarzania.

• Dostępność - zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

Zasoby wrażliwe należące do Subskrybenta

• Umowa

• Karta kryptograficzna

• Passphraze - hasło służące do unieważniania certyfikatu/ów

Możliwe zagrożenia wewnętrzne system

• Błąd operatora - błędnie wpisane dane, błąd literowy, nadmiarowy znak/symbol

• Zaniedbanie - niedopełnienie obowiązków, popadnięcie rutynę

• Nieumyślna ingerencja współpracownika

• Samodzielne przeróbki - nieautoryzowane dokonywanie zmiana np. danych

• Samodzielne testowanie zabezpieczeń - sprawdzanie co się stanie gdy, …

Zagrożenia zewnętrzne

Kradzież z włamaniem Oszustwo Włamanie hackera Wirusy - który w sposób celowy powiela się bez zgody użytkownika Konie trojańskie - oprogramowanie umożliwiające wykonanie operacji niedozwolonych osobie do tego nie upoważnionej bez wiedzy właściciela Oprogramowanie szpiegujące

Zagrożenia losowe

• Awaria systemu teleinformatycznego

• Awaria zasilania

• Pożar

• Zalanie

Rodzaje zabezpieczeń

• Zabezpieczenia fizyczne - czujniki, detektory, zamki

• Zabezpieczenia teleinformatyczne - firewall, oprogramowanie antywirusowe

• Zabezpieczenia proceduralne - określone sposoby postępowania

• Zdrowy rozsądek

Zabezpieczenia teleinformatyczne

• Login, hasło

• Karty kryptograficzne

• Oprogramowanie antywirusowe

• Łaty do programów

• Firewall'e - śluza bezpieczeństwa

• Kopie zapasowe

Zabezpieczenia proceduralne

• Przechowywanie oraz tworzenie silnych haseł

• Zasada czystego biurka - wszystkie dane wrażliwe jeżeli nie są wykorzystywane powinny być odpowiednio zabezpieczone i przechowywane

• Wygaszony monitor

• Dostęp do komputera tylko dla upoważnionych - blokowanie komputera po odejściu od biurka

Ochrona danych osobowych

Definicje pojęć

Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

• Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

• Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Administrator danych - organ, instytucja, jednostka organizacyjna, podmiot lub osoba (...), decydujące o celach i środkach przetwarzania danych osobowych.

Przetwarzanie danych - jakakolwiek operacja wykonywana na danych osobowych, taka jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza ta, którą wykonuje się w systemach informatycznych.

Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Ochrona danych osobowych

Wymagania dot. przetwarzania danych:

• Osoba, której dane dotyczą, wyrazi na to zgodę,

• Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

• Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

• Jest niezbędne do wykonania określonych prawem zadań, realizowanych dla dobra publicznego,

• Jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

Usunięcie danych osobowych nie wymaga zgody osoby zainteresowanej

Ochrona danych osobowych

Zabezpieczenia zbiorów danych osobowych:

• Fizyczne

• Organizacyjne

• Informatyczne

Ochrona danych osobowych

Przetwarzając dane osobowe należy pamiętać, że:

• Zabrania się nieuprawnionego: przeglądania, kopiowania, modyfikowania oraz usuwania danych osobowych,

• Wszelkie dokumenty i wydruki, zawierające dane osobowe po zakończeniu pracy powinny być umieszczone w zamykanych szafkach,

• Nie można przekazać danych w żadnej formie czy to w postaci elektronicznej czy też w postaci wydruku osobom trzecim, które nie są uprawnione do dostępu do nich,

• Po zakończeniu pracy wszelkie dokumenty, wydruki i pliki elektroniczne zawierające dane osobowe, które przestały być użyteczne należy zniszczyć w sposób uniemożliwiający ich odczytanie,

Zastosowanie podpisu elektronicznego

Ogólne zasady kryptografii - wstęp

Terminy:

• Kryptografia (ang. cryptography) pochodzi z j. greckiego i oznacza „ukrytą wiadomość”. Podobne terminy: encryption (szyfrowanie), decryption (rozszyfrowywanie).

• Podpis elektroniczny nie tylko do podpisywania. Mówi się „podpis elektroniczny”; mamy „Ustawę o podpisie elektronicznym”, jednak od strony terminologicznej sprawa jest dość zawikłana. Najczęściej termin „podpis elektroniczny” symbolizuje nie tylko podpisywanie cyfrowe dokumentów, ale także powiązane z nim: szyfrowanie wiadomości, znakowanie czasem, usługi zaufanej trzeciej strony i inne. Zastosowania te wykraczają poza tradycyjne znaczenie słowa „podpis”.

• PKI - Public Key Infrastrukture (Infrastruktura klucza publicznego) - zbiorczy termin używany do określenia infrastruktury sprzętowej, programistycznej, prawnej i organizacyjnej pozwalający na praktyczne wykorzystanie mechanizmów podpisu elektronicznego.

Idea podpisu cyfrowego

Zabezpieczanie danych cyfrowych przed sfałszowaniem musi więc opierać się na innych metodach niż proste dołączanie podpisu odręcznego. Metody takie zostały opracowane i są oparte o techniki kryptograficzne, czyli opierające się na szyfrowaniu danych. W taki właśnie sposób działa elektroniczny odpowiednik podpisu odręcznego - podpis elektroniczny. Rozwiązania zastosowane w podpisie elektronicznym nie są przeniesieniem mechanizmów znanych z podpisywania ręcznego - w szczególności podpis ten nie ma związku z umiejętnością pisania odręcznego, ani z charakterem pisma podpisującego. Podpis elektroniczny może być stosowany tylko do danych cyfrowych. Podpisu takiego nie drukuje się, nie przedstawia w postaci graficznej.

Istota podpisu cyfrowego

W warstwie technologicznej podpisywanie elektroniczne polega na dodawaniu do oryginalnej wiadomości specjalnie spreparowanego ciągu danych. Ten ciąg danych konfrontowany z dokumentem pozwala na potwierdzenie:

• Integralności - a więc potwierdza, że aktualnie przedstawione dokument jest zgodny z przedstawionym do podpisu

• Faktu użycia odpowiedniego klucza prywatnego - w konsekwencji zwykle potwierdzenie, że podpisu dokonała określona osoba.

Podpis elektroniczny wg Ustawy o Podpisie Elektronicznym

1. jest przyporządkowany wyłącznie do osoby składającej ten podpis,

2. jest sporządzony za pomocą urządzeń, z wykorzystaniem danych; środki te podlegają wyłącznej kontroli osoby składającej podpis elektroniczny,

3. jest powiązany z danymi, do których został dołączony, .w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (Ustawa)

4. może określać maksymalną kwotę zawieranych transakcji (*)

Gdzie można stosować dokumenty elektroniczne (z podpisem)

• Umowy zawierane w drodze elektronicznej

• Aukcje elektroniczne

• Systemy obiegu dokumentów wewnętrzne i zewnętrzne

• Wnioski i podania, np. administracyjne

• Sprawozdania do GIIF

• Deklaracje do ZUS

• Faktury VAT

• Komunikacja z KRS

• Komunikacja z GIODO

• Deklaracje podatkowe (system e-Deklaracje)

• Komunikacja on-line z częścią banków

Podpis cyfrowy a odręczny - różnice

Podpis ręczny	Podpis cyfrowy
Przypisany jednej osobie Niemożliwy do podrobienia Uniemożliwiający wyparcie się go przez autora Łatwy do weryfikacji przez osobę niezależną Łatwy do wygenerowania
Jest związany nierozłącznie z dokumentem Taki sam dla wszystkich dokumentów Stawiany na każdej stronie dokumentu	Może być składowany i transmitowany niezależnie od dokumentu Jest funkcją dokumentu Obejmuje cały dokument

Certyfikaty kwalifikowane i niekwalifikowane - różnice

Ograniczenia w użytkowaniu bezpiecznego podpisu elektronicznego i certyfikatu kwalifikowanego:

• Certyfikat kwalifikowany może być używany jedynie do składania podpisu elektronicznego na dokumentach lub uwierzytelniania użytkownika (np. GIIF).

• Nie mogą być stosowane np. do logowania do systemu operacyjnego szyfrowania danych, podpisywania poczty elektronicznej (choć same załączniki do poczty mogą być podpisane bezpiecznym podpisem elektronicznym).

• Certyfikaty kwalifikowane mogą być używane tylko z bezpiecznymi aplikacjami i urządzeniami, tzn. spełniającymi wymogi ustawy o podpisie elektronicznym, o czym mówi oświadczenie producenta.

Certyfikaty nie będące kwalifikowanymi nie posiadają takich ograniczeń.

Miejsce przechowywania klucza prywatnego

Nośnikiem klucza prywatnego powiązanego z certyfikatem kwalifikowanym jest urządzenie kryptograficzne (np. karta mikroprocesorowa lub token), które musi posiadać odpowiedni certyfikat bezpieczeństwa. Także generowanie kluczy do bezpiecznego podpisu elektronicznego musi być realizowane w bezpiecznym komponencie sprzętowym. Oznacza to, że nie istnieją kopie klucza prywatnego powiązanego z certyfikatem kwalifikowanym i jedynym miejscem jego składowania jest czip na karcie kryptograficznej. Certyfikaty nie będące kwalifikowanymi mogą być przechowywane na komputerze użytkownika w postaci plików (zwykle plików pkcs#12), dyskietce, płycie CD, ew. (podobnie jak klucze do certyfikatów kwalifikowanych) w urządzeniu kryptograficznym. Użytkownik ma pełna swobodę w wyborze nośnika certyfikatu.

Skutki prawne

Podpis elektroniczny weryfikowany przy pomocy certyfikatu kwalifikowanego wywołuje skutki prawne podpisu odręcznego. Jest to gwarantowane zapisami Ustawy o Podpisie Elektronicznym. Podpis elektroniczny weryfikowany przy pomocy certyfikatu niekwalifikowanego wywołuje skutki prawne podpisu odręcznego jeśli obie strony zawarły wcześniej umowę o wzajemnym uznaniu podpisów weryfikowanych przy pomocy certyfikatów niekwalifikowanych.

Zastosowania podpisu elektronicznego:

Ogólne zasady kryptografii

Współczesne techniki szyfrowe - fakt podstawowy

Wszystkie dane komputerowe są w środowisku informatycznym zapisane jako liczby np.:

• Tekst - każda litera alfabetu, znak pisarski ma swój numer, po którym jest rozpoznawany (strona kodowa).

• Grafika - obrazy są zapisywane w postaci liczb określających jasność i kolor każdego piksela obrazu.

• Dźwięki są przez komputer widziane jako ciągi liczb określających wartość sygnału akustycznego w kolejnych chwilach czasu itp.

• I inne…

Liczby powstałe z tych danych można w dowolnie łączyć i dzielić, przez co z kilku małych liczb można tworzyć większe, będące agregatami danych wejściowych. Ten fakt jest podstawą wniosku, że niemal wszystkie używane współcześnie dane można zaszyfrować. Tylko techniki szyfrowe zapewniają bezpieczeństwo w przypadku danych cyfrowych, które łatwo mogą być powielane, czy też modyfikowane bez zostawiania żadnych śladów pozwalających stwierdzić fakt manipulacji.

Ogólne zasady kryptografii

Dlaczego wprowadzono podpis elektroniczny? Próby podpisywania danych cyfrowych za pomocą metod przejętych z podpisu odręcznego natrafiają na dwa podstawowe problemy:

• Zeskanowany podpis odręczny daje się powtórnie skopiować - zatem łatwo jest taki podpis sfałszować wklejając jego obraz do nowego dokumentu, a nie istnieją metody, które pozwoliłyby na odróżnienie dokumentu oryginalnie podpisanego od opatrzonego przeklejonym podpisem.

• Dokument cyfrowy, nawet jeśli byłby opatrzony legalnym podpisem w postaci zeskanowanego obrazu pisma ręcznego, łatwo jest później niezauważalnie zmodyfikować - np. zmienić wartość transakcji już po dodaniu zeskanowanego podpisu.

Ogólne zasady kryptografii

Idea podpisu cyfrowego cd.

• Patrząc od strony informatycznej, podpisywanie cyfrowe polega na dodawaniu do oryginalnego dokumentu niewielkich porcji specjalnie spreparowanych danych.

• Dane te są możliwe do obliczenia tylko dzięki kryptograficznemu przetworzeniu dwóch elementów:

• Treści dokumentu

• Klucza prywatnego osoby podpisującej (tajnego ciągu danych)

• Technologia została tak opracowana, że przy dzisiejszym poziomie techniki komputerowej praktycznie niemożliwe jest sfałszowanie takiego podpisu (stworzenie go bez znajomości klucza prywatnego). Inaczej mówiąc nie jest możliwe wyliczenie przez osoby postronne danych podpisu pasujących jednocześnie do klucza prywatnego osoby podpisującej i nowego (czyli zapewne podstawionego) dokumentu.

Ogólne zasady kryptografii

Podpisywanie cyfrowe - jak to działa?

Istotą podpisywania danych jest zaszyfrowanie skrótu wiadomości kluczem prywatnym. Oprogramowanie podpisujące:

• tworzy z wiadomości skrót,

• zaszyfrowuje powstały skrót kluczem prywatnym osoby podpisującej - tak uzyskujemy „podpis”,

• po dołączeniu podpisu do pliku oryginalnej wiadomości otrzymujemy „podpisany dokument”.

Podpis elektroniczny - korzyści

1. Użycie klucza prywatnego udowadnia świadomą decyzję właściciela klucza - stanowi więc oświadczenie wiedzy (w innych sytuacjach także woli).

2. Poprawna weryfikacja podpisu gwarantuje integralność dokumentu, czyli jego zgodność z oryginałem (co do najdrobniejszego szczegółu).

3. Łatwość użycia - podpisywanie sprowadza się do wskazania dokumentu, wywołania opcji „podpis”, wybrania certyfikatu i wprowadzania PINu.

4. Precyzyjna i łatwa weryfikacja - w odróżnieniu od podpisu odręcznego, do weryfikacji podpisu cyfrowego nie jest niezbędna wiedza grafologiczna.

5. Łatwość użycia w sieci, szybkiego zebrania podpisów z wielu miejsc.

6. Możliwość użycia znaczników czasu, potwierdzających czas podpisania.

7. Dzięki użyciu certyfikatów, możliwość stosowania znacznie bardziej precyzyjnych (w porównaniu do podpisu odręcznego) opisów podmiotów składających podpisy (np. podanie kwoty granicznej transakcji itp..).

8. Uzyskanie możliwości odwołania ważności podpisu (dzięki listom CRL)

9. Podpisywanie nie tylko przez ludzi, ale i np. serwery, urządzenia sieciowe…

10. Mnogość dodatkowych, przyszłościowych zastosowań…

Korzyści z zastosowania podpisu elektronicznego

Usprawnienie pracy w zakresie przesyłania, przetwarzania i składowania informacji poprzez:

• wyeliminowanie fizycznego obiegu dokumentów

• wyeliminowanie wielu zbędnych kontaktów bezpośrednich

• umożliwienie dostępu do dokumentów bez zaangażowania jakiejkolwiek obsługi

• skrócenie czasu podpisywania dokumentów i obsługi spraw

• usprawnienie procesu archiwizacji dokumentów

• możliwość natychmiastowego zweryfikowania upoważnień finansowych (*)

Obniżenie kosztów związanych z obsługą interesantów, przetwarzaniem i składowaniem informacji poprzez:

• optymalizacja czasu pracy

• zmniejszenie ilości wysyłanych przesyłek tradycyjnych zwłaszcza „poleconych”

• optymalizację lokali i środków przeznaczonych do obsługi klientów/partnerów oraz używanych do wewnętrznej obsługi firmy,

• zmniejszenie kosztów wykonywania ekspertyz dokumentów.

Co zapewnia nam zastosowanie podpisu elektronicznego

Poufność Integralność Wiarygodność Niezaprzeczalność

Certyfikat elektroniczny - okres ważności

Certyfikat - identyfikacja podmiotu certyfikatu

Kluczowym polem w certyfikacie jest pole „Podmiot” (ang. „Subject”) - dzięki niemu wiadomo z czyim podpisem mamy do czynienia. Pole to zawiera dane o posiadaczu certyfikatu, a w szczególności jego nazwę / nazwisko. W przypadku, gdy Subskrybent dodatkowo związany jest z organizacją (np. jest pracownikiem), to w certyfikacie mogą znaleźć się dane tej organizacji - np. dane firmy. Nazwa podmiotu jest zbiorem tzw. atrybutów, z których każdy zawiera inny fragment nazwy Subskrybenta.
W certyfikacie kwalifikowanym przewidziano także pole z informacją o kwocie granicznej transakcji, jaką można zawrzeć za jego pomocą. Urząd certyfikacji wydający certyfikat zobowiązany jest do zamieszczania w tym polu prawdziwych i poprawnych (sprawdzonych) danych, dlatego weryfikacja podmiotu jest podstawowym obowiązkiem inspektora rejestracji.

Podział certyfikatów

Certyfikat kwalifikowany - spełnia wymogi Ustawy o Podpisie Elektronicznym; wywołuje skutki prawne identyczne z użyciem podpisu ręcznego. Zastosowanie certyfikatu kwalifikowanego jest ograniczone wyłącznie do podpisywania dokumentów.

Certyfikaty nie kwalifikowane („komercyjne”, „zwykłe”, „popularne”) mają szerszy zakres zastosowania: oprócz podpisywania dokumentów, także do podpisywanie poczty elektronicznej, szyfrowanie, logowanie, podpisywanie oprogramowania i inne. .Użycie certyfikatu komercyjnego też może wywoływać skutki prawne, jednak aby umowa była wiążąca, strony powinny wcześniej zawrzeć osobną umowę podpisaną odręcznie

Zaświadczenia certyfikacyjne - wg nomenklatury stosowanej w UoPE nie są „certyfikatami”, ponieważ nie są przypisane do osoby fizycznej. Identyfikują urząd certyfikacji. i mają identyczny format. W mowie potocznej zaświadczenia certyfikacyjne są często nazywane „certyfikatami urzędu”. Mimo że UoPE wiąże termin „certyfikat” z osobą fizyczną, to w praktyce PKI stosuje certyfikaty (niekwalifikowane) nie związane z osobami - np. certyfikaty serwera, kontrolera domen, czy innego urządzenia.

Certyfikat, a prywatność

• Certyfikat kwalifikowany zawiera tylko: imię, nazwisko, numer PESEL lub NIP, adres poczty elektronicznej. Są to dane przewidziane przez UoPE - podstawowe, niezbędne dla efektywnej identyfikacji osoby. Są one stosowne do celu jaki ma pełnić certyfikat w strukturze PKI - zaświadczać o kontakcie z konkretną osobą.

• Numer NIP lub PESEL jest konieczny ze względu na to, że samo imię i nazwisko nie identyfikuje jednoznacznie osoby (jest w Polsce wielu Janów Kowalskich).

• Dodatkowo w certyfikacie mogą być umieszczone dane firmy (jeśli to firma jest jego sponsorem): nazwa i adres oraz stanowisko. Większość tych informacji z założenia jest jawna.

• Certyfikat kwalifikowany nie zawiera innych (w szczególności bliższych) danych o osobie prywatnej, ani firmie. Danych tych nie można umieścić w certyfikacie nawet na życzenie subskrybenta.

• Certyfikaty niekwalifikowane mogą zawierać dodatkowe dane, umieszczane na życzenie subskrybenta i zależy to od typu certyfikatu i polityki centrum certyfikacji wydającego dany certyfikat. Klient może zdecydować, czy chce aby jego certyfikat kwalifikowany był publikowany w bazie LDAP.

Znacznik czasu

W wielu sytuacjach do prawidłowego funkcjonowania dokumentu otoczeniu prawnym prawie niezbędne okazuje się dodatkowe potwierdzenie istnienia dokumentu w określonym momencie. Służy do tego znacznik czasu.

Znacznik czasu:

• Jest integralną częścią podpisu elektronicznego i łączy dane o:

• czasie wystawienia

• dokumencie, którego dotyczy (jest z tym dokumentem kryptograficznie powiązany za pomocą funkcji skrótu)

• urzędzie znacznika czasu.

• Dane o czasie pobiera nie z ustawień komputera, ale z niezależnego serwera. Dlatego do jego zastosowania niezbędny jest dostęp do sieci Internet. Weryfikacja znacznika czasu może odbyć się już offline.

• Znacznik czasu jest podpisany przez urząd certyfikacji go wydający (a więc jest niemożliwy do podrobienia przez osoby postronne).

• Narzędziem przewidzianym przez Ustawę o Podpisie elektronicznym i niesie ze sobą tzw. „skutki daty pewnej” (o ile podmiot wystawiający znaczniki czasu uzyska wpis na listę kwalifikowanych podmiotów świadczących tego rodzaju usługi).

Certyfikaty - weryfikacja

Aby stwierdzić, czy dany certyfikat zachowuje swoją ważność należy:

• zweryfikować, czy certyfikat jest prawidłowo podpisany przez CA (robi to automatycznie oprogramowanie systemowe podczas wczytywania certyfikatu)

• sprawdzić, czy sam CA nie został odwołany (lista ARL).

• pobrać listę unieważnionych certyfikatów CRL wygenerowaną przez CA i sprawdzić, czy szukany certyfikat na niej się znajduje.

• Niezależnie od powyższej weryfikacji, sprawdzamy okres ważności. Po jego upływie certyfikat zachowuje swoją funkcjonalność, jednak po jego otwarciu pojawia się informacja o upłynięciu okresu ważności.

• Do prawidłowej i pełnej weryfikacji certyfikatu niezbędny jest dostęp do Internetu.

• Podczas weryfikacji podpisu elektronicznego weryfikacja certyfikatu odbywa się automatycznie.

Oprogramowanie do podpisu elektronicznego

Dla certyfikatów kwalifikowanych (tylko do podpisywania plików):

• Niezbędne jest oprogramowanie dedykowane do bezpiecznego podpisu elektronicznego (musi spełnić zadość konieczności zapewnienia zgodności z UoPE).

• Do roku 2007 każde centrum certyfikacji stosowało własne, niekompatybilne wzajemnie, formaty plików. Ostatnio odbywa się wdrażanie jednolitego w całej Polsce (i wielu innych krajach europejskich) formatu XAdES.

Dla certyfikatów zwykłych (wielość zastosowań):

• Programy pochodzące z różnych źródeł zwykle są kompatybilne z ogólnie przyjętym standardem. Umożliwiają podpisywanie, szyfrowanie, uwierzytelnianie.

• Oprogramowanie systemowe Windows, Unix

• Programy pocztowe - np. Outlook, Outlook Express, The Bat, Thunderbird…

• Inne: Adobe Acrobat, AutoCad, Microsoft Office (Word, Excel, Powerpoint) itp. …

Formaty plików podpisu dokumentów

• Podpis elektroniczny może być wewnętrzny lub zewnętrzny.

• Postać zewnętrzna to utrzymanie rozdziału na dwie struktury (pliki): wiadomość i (oddzielnie) podpis do tej wiadomości.

• Postać wewnętrzna podpisu elektronicznego łączy podpisywaną wiadomość i dane podpisu w jedną strukturę (zwykle jeden plik). Jest ona powszechniejsza, ponieważ utrzymywanie wzajemnie dopełniających się informacji w jednym miejscu zmniejsza niebezpieczeństwo ich rozłączenia.

• W Sigillum do 2007 roku stosowane były 2 formaty plików sdoc i SignPro. Aktualnie podstawowym programem Sigillum jest Sigillum SignPro. Obsługuje on nie tylko podpisy Sigillum, ale wszystkich polskich kwalifikowanych centrów certyfikacji (także KiR i Unizeto).

• Sigillum Sign (nie „Pro”) podpisujący w formacie sdoc stosuje się rzadziej, a program ten ostatnio służy głównie do weryfikacji podpisu elektronicznego (jest on całkowicie darmowy i nie wymaga zakupu certyfikatu Sigillum).

• Niestety, jak na razie, nie doszło do pełnego międzynarodowego zunifikowania formatów podpisu dokumentu i jedynie podpis poczty elektronicznej jest jednolity na całym świecie.

Oprogramowanie do podpisu elektronicznego

• Do wykorzystania certyfikatów kwalifikowanych, a także komercyjnych z kluczami zapisanymi na karcie kryptograficznej, niezbędne jest oprogramowanie mające możliwość współpracy z kartą tego rodzaju (nie każdy program do podpisu potrafi wykorzystać klucz z karty). Pośredniczenie pomiędzy systemem operacyjnym komputera, a kartą kryptograficzną jest realizowane przez oprogramowanie typu middleware.

• W przypadku kart Sigillum typu multisign programem tego rodzaju jest aplikacja Cryptocard Suite produkcji Cryptotech, która także umożliwia zarządzanie funkcjami karty (m.in. Zmiana PINu, blokowanie karty itp.).

• Aby różne programy do podpisu elektronicznego mogły skorzystać z kluczy obecnych na karcie kryptograficznej, niezbędne jest zarejestrowanie w systemie certyfikatu z karty (służy do tego też program CryptoCard Suite).

• W przypadku niektórych programów nie udaje się wykorzystać ogólnego oprogramowania systemowego, a wtedy konieczne jest wyszukanie sterowników tworzonych przez innych producentów (np. program pocztowy The Bat! w wersji darmowej nie obsługuje podpisu za pomocą karty kryptograficznej).

Właściwości programu Sigillum SignPro

Program do bezpiecznego podpisywania plików Sigillum Sign Pro może podpisywać zbiory dyskowe w dowolnym formacie. Od lipca 2007 program Sigillum SignPro umożliwia podpisywanie plików (także ze znakowaniem czasem) w następujących formatach: SMIME CMS PKCS7 XML (XAdES). Program weryfikuje podpisy wszystkich polskich kwalifikowanych centrów certyfikacji. Oprócz tego, dla natywnego formatu SignPro dostępna jest opcja szyfrowania danych do określonego odbiorcy (niezbędne jest wcześniejsze zarejestrowanie certyfikatu tej osoby). Możliwe jest podpisywanie wielu plików na raz (jedno wprowadzenie kodu PIN).

Szyfrowanie i podpisywanie poczty elektronicznej

Do zabezpieczania poczty elektronicznej stosuje się certyfikaty niekwalifikowane. Używane certyfikaty powinny spełniać pewne warunki:

• muszą mieć status certyfikatów „zaufanych” - do tego niezbędna jest rejestracja zaświadczenia certyfikacyjnego urzędu wydającego certyfikat.

• Podpisywanie - adres poczty elektronicznej wpisany do certyfikatu musi dokładnie odpowiadać adresowi przypisanemu do konta nadawcy (MS Outlook sam rozpoznaje obecność certyfikatu mogącego posłużyć do podpisania wiadomości pocztowej (po jego zarejestrowaniu w magazynie osobistym Windows).

• Szyfrowanie - adres e-mail wpisany w certyfikat musi być zgodny z aktualnym adresem odbiorcy (trzeba powiązać certyfikat z właściwościami kontaktu)

Odbiór zaszyfrowanej wiadomości:

Osoba odbierająca zaszyfrowaną wiadomość, do jej odczytania będzie musiała użyć klucza prywatnego (czyli np. wpisać PIN do karty kryptograficznej), dla osób nie mających dostępu do klucza prywatnego wiadomość będzie nieczytelna.

Weryfikacja podpisu poczty elektronicznej

Po weryfikacji podpisu poczty e-mail program pocztowy wyświetla komunikaty związane z: ważnością użytego certyfikatu poprawnością podpisu Zwykle programy pocztowe umożliwiają zarządzanie zaufaniem dla użytych certyfikatów. W takim układzie możliwe jest „zaufanie” tylko certyfikatowi nadawcy urzędowi certyfikacji wystawiającemu certyfikat Możliwe jest także zrezygnowanie z wyświetlania informacji o poprawności podpisu cyfrowego.

Podsumowanie

Technologia podpisu elektronicznego łączy w całość kilka elementów:

• Kryptografię i międzynarodowe standardy - jako podstawę koncepcyjną.

• Strukturę organizacyjną i technologiczną (urzędy certyfikacji, sieć Internet, sprzęt komputerowy) - jako narzędzie realizacyjne.

• Rozwiązania prawne (w Polsce związane przede wszystkim z Ustawą o Podpisie elektronicznym) - służące do powiązania tej technologii z systemem prawnym i gospodarczym.

Nastąpiło już wprowadzenie podpisu elektronicznego w większości krajów świata, a w szczególności w UE. W Polsce aktualnie realizuje się doskonalenie systemu i wdrożenia w:

• Administracji (już działające projekty to m.in.: e-faktura, e-Deklaracje, dostęp do GIIF, GIODO, dostęp online do KRS)

• Obrocie gospodarczym i zastosowaniach prawnych (wdrożenia m.in. w bankach Nordea, Millennium, BPH, dostęp do aukcji elektronicznych PPP, e-Przetarg COIG).

• Planowane jest wprowadzenie dowodów osobistych zawierających moduł kryptograficzny umożliwiający podpisywanie elektroniczne danych.

Efektem zamierzonym jest stan, w którym zdecydowana większość czynności prawnych będzie mogła być realizowana zdalnie - bez konieczności wizyty w urzędach, bankach itp.

Przewodnik dla Inspektorów dotyczący obsługi klienta

Sigillum PCCE ma w swojej ofercie zarówno:

• kwalifikowane certyfikaty zgodne z Ustawą o podpisie elektronicznym służące tylko i wyłącznie do składania oświadczeń woli użytkownika

• komercyjne certyfikaty służące m. in. do podpisywania i/lub szyfrowania poczty elektronicznej

Wszelkie istotne informacje na temat produktów Sigillum PCCE można odnaleźć na stronie internetowej www.sigillum.plW celu zakupienia usług certyfikacyjnych zawsze konieczny jest osobisty kontakt przyszłego właściciela certyfikatu z Inspektorem ds. Rejestracji Potwierdzenie zapłaty w przypadku klienta indywidualnego (Subskrybenta) Musi zostać przedstawione w Punkcie Rejestracji nie później niż w momencie zawarcia Umowy Klient zbiorowy (Zamawiający) uiszcza opłatę po wydaniu certyfikatu i wystawieniu faktury

DOKUMENTY NIEZBĘDNE DO PRZYGOTOWANIA UMÓW o świadczenie usług certyfikacyjnych

• Wypełniony formularz zgłoszenia certyfikacyjnego przesyłany do Punktu Rejestracji pocztą e-mailową. Wzór jest zamieszczony na stronie internetowej: www.sigillum.pl.

• Alternatywną metodą jest wprowadzenie odpowiednich danych bezpośrednio na stronie internetowej http://epr.sigillum.pl/Login.aspx.

Taka procedura kontaktu pozwala na wcześniejsze przygotowanie umowy i skrócenie czasu potrzebnego na wizytę w Punkcie Rejestracji.

Podstawowe dokumenty tożsamości

• dowód osobisty

• paszport (jeżeli występuje jako dokument podstawowy, niezbędne jest przedstawienie oryginalnych dokumentów nadania numeru PESEL odpowiednio dla certyfikatów kwalifikowanych i/lub komercyjnych).

Podstawowe dokumenty tożsamości

• prawo jazdy

• w przypadku obcokrajowców - Karta Stałego Pobytu, oryginalne dokumenty nadania numeru NIP i PESEL;

• tajne hasło niezbędne w przypadku konieczności zawieszenia lub unieważnienia certyfikatu, złożone z min. 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. !, @, #, *, &, +). Może być dostarczone do Punktu Rejestracji wcześniej w zaklejone i podpisanej kopercie lub przygotowane na miejscu w Punkcie Rejestracji.

UWAGA: W przypadku certyfikatów komercyjnych w zależności od rodzaju wymagane są jeden lub dwa dokumenty tożsamości.

Klient zbiorowy (Zamawiający)

DOKUMENTY NIEZBĘDNE DO PRZYGOTOWANIA UMÓW o świadczenie usług certyfikacyjncyh

• Wypełniony formularz zgłoszenia certyfikacyjnego przesyłany do Punktu Rejestracji pocztą e-mail. Alternatywną drogą jest wprowadzenie danych bezpośrednio na stronie internetowej http://epr.sigillum.pl/Login.aspx. Wzór jest zamieszczony na stronie internetowej: www.sigillum.pl.

Dokumenty wymagane podczas weryfikacji Zamawiającego przy nabywaniu usług certyfikacyjnych Sigillum PCCE

CHARAKTER ZAMAWIAJĄCEGO	DOKUMENTY JEDNOZNACZNIE OKREŚLAJĄCE ZAMAWIAJĄCEGO
Indywidualna działalność gospodarcza, a także notariusze, radcy prawni, adwokaci prowadzący indywidualne kancelarie, lekarze, stomatolodzy, farmaceuci	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (zaświadczenie o wpisie do ewidencji działalności gospodarczej) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy, z następującymi wyjątkami: notariusz - akt nominacji i wyznaczenia siedziby przez Ministra Sprawiedliwości; radca prawny - wypis z listy radców prawnych wydany przez Okręgową Izbę Radców Prawnych; adwokat - zaświadczenie z Okręgowej Rady Adwokackiej o prowadzeniu działalności w kancelarii adwokackiej; lekarze, stomatolodzy, farmaceuci - zezwolenie na wykonywanie praktyk lekarskich lub zaświadczenie o wpisie do rejestru praktyk lekarskich; zaświadczenie o Regonie i NIP; pełnomocnictwo szczególne jeżeli umowę zawiera pełnomocnik.
Spółka cywilna	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; zaświadczenie o wpisie do ewidencji działalności gospodarczej z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; zaświadczenie o Regonie i NIP; pełnomocnictwo szczególne w przypadku gdy umowę zawiera jeden wspólnik lub pełnomocnik.
Spółka jawna Spółka partnerska Spółka komandytowa Spółka komandytowo-akcyjna Spółka z o.o. Spółka akcyjna	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (odpis z rejestru handlowego) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Przedsiębiorstwo państwowe	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (odpis z rejestru przedsiębiorstw państwowych) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Spółdzielnie	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (odpis z rejestru spółdzielni) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Fundacje	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (odpis z rejestru fundacji) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Stowarzyszenia	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; odpis z Krajowego Rejestru Sądowego (odpis z rejestru stowarzyszeń) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Kościoły (archidiecezje, diecezje, parafie) i związki wyznaniowe (gminy wyznaniowe, związki gmin)	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; dekret odpowiedniej władzy kościelnej poświadczający powołanie na funkcję (arcy)biskupa lub proboszcza lub dokumenty poświadczające udział w zarządzie gminy wyznaniowej lub związku gmin; pełnomocnictwo szczególne udzielone przez osoby uprawnione do reprezentacji wskazane wyżej.
Partie polityczne, związki zawodowe	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; partia polityczna - odpis z ewidencji partii politycznych prowadzonej przez Sąd Okręgowy w Warszawie z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; związek zawodowy - odpis z Krajowego Rejestru Sądowego (odpis z rejestru związków zawodowych prowadzonego przez Sąd Okręgowy w Warszawie) z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy; pełnomocnictwo szczególne w przypadku osób nieujawnionych w rejestrze.
Jednostki samorządu terytorialnego: - gminy, - powiaty - województwa Osobami uprawnionymi do zawierania umów są: - wójt, burmistrz lub prezydent - starosta, - marszałek województwa,	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; poświadczenie funkcji (np. akt mianowania na stanowisko) lub pełnomocnictwo szczególne wystawione przez właściwy organ. zaświadczenie o Regonie i NIP.
Zakłady budżetowe lub gospodarstwa pomocnicze	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; decyzja dysponenta części budżetowej o utworzeniu zakładu budżetowego lub gospodarstwa pomocniczego; dokument potwierdzający prawo do reprezentacji jednostki lub pełnomocnictwo szczególne w przypadku zawierania umowy przez pełnomocnika.
Jednostki budżetowe	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; poświadczenie pełnienia funkcji przez właściwy organ poprzez pismo urzędowe z pieczęcią; pełnomocnictwo szczególne w przypadku zawierania umowy przez pełnomocnika.
Pozostałe jednostki organizacyjne	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; statut jednostki (o ile istnieje); dokument potwierdzający prawo reprezentacji danej jednostki organizacyjnej lub pełnomocnictwo szczególne; odpis z właściwego rejestru z datą nie wcześniejszą niż 6 miesięcy przed datą podpisania umowy.
Pozostałe jednostki organizacyjne	dokumenty tożsamości osoby upoważnionej do zawarcia umowy zgodne z aktualnymi Politykami i Regulaminami certyfikacji Sigillum PCCE; wypis z rejestru Ministra Edukacji Narodowej, Ministra Sportu, Ministerstwa Nauki i Szkolnictwa Wyższego; poświadczenie pełnienia funkcji (rektor, dyrektor szkoły); zaświadczenie o nadaniu numeru NIP i Regon.

Wizyta w Punkcie Rejestracji z Infrastrukturą

1. Podpisanie umowy z Zamawiającym

1. Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji

2. Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

3. Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.

2. Podpisanie umowy z Subskrybentem - natychmiastowy odbiór certyfikatu

1. Subskrybent okazuje dokumenty tożsamości

2. Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

3. Należy poinformować Subskrybenta o konieczności przygotowania tajnego hasła, które będzie niezbędne w przypadku zaistnienia konieczności zawieszenia lub unieważnienia certyfikatu, hasło powinno mieć minimum 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. *, &, #, !). Hasło może być przygotowane na miejscu w Punkcie Rejestracji lub dostarczone wcześniej przez Subskrybenta w zaklejonej i podpisanej kopercie.

4. Inspektor ds. Rejestracji generuje certyfikat/ certyfikaty i umieszcza je na odpowiednim nośniku:

1. karta kryptograficzna w przypadku certyfikatu kwalifikowanego

2. karta kryptograficzna lub dowolny nośnik (CD, pendrive) w przypadku certyfikatów komercyjnych

5. Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;

6. Inspektor ds. Rejestracji przekazuje Subskrybentowi zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz płytę CD z nizędnym oprogramowaniem

Wizyta w Punkcie Rejestracji z Infrastrukturą

1. Podpisanie umowy z Zamawiającym

1. Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji

2. Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

3. Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.

2. Podpisanie umowy z Subskrybentem - natychmiastowy odbiór certyfikatu

1. Subskrybent okazuje dokumenty tożsamości

2. Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

3. Należy poinformować Subskrybenta o konieczności przygotowania tajnego hasła, które będzie niezbędne w przypadku zaistnienia konieczności zawieszenia lub unieważnienia certyfikatu, hasło powinno mieć minimum 8 znaków w tym: duża litera, mała litera, cyfra, znak specjalny (np. *, &, #, !). Hasło może być przygotowane na miejscu w Punkcie Rejestracji lub dostarczone wcześniej przez Subskrybenta w zaklejonej i podpisanej kopercie.

4. Inspektor ds. Rejestracji generuje certyfikat/ certyfikaty i umieszcza je na odpowiednim nośniku:

1. karta kryptograficzna w przypadku certyfikatu kwalifikowanego

2. karta kryptograficzna lub dowolny nośnik (CD, pendrive) w przypadku certyfikatów komercyjnych

5. Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;

6. Inspektor ds. Rejestracji przekazuje Subskrybentowi zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz płytę CD z nizędnym oprogramowaniem

Wizyta w Punkcie Rejestracji bez Infrastruktury (Punkt weryfikacji tożsamości)

1. Podpisanie umowy z Zamawiającym

1. Zamawiający okazuje dokumenty tożsamości oraz dokumenty jednoznacznie określające Zamawiającego określone w Polityce certyfikacji

2. Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

3. Zamawiający sprawdza i podpisuje przygotowana przez Inspektora ds. Rejestracji Umowę z Zamawiającym, Formularz zgłoszeniowy oraz pozostałe załączniki.

2. Podpisanie umowy z Subskrybentem - odbiór certyfikatu po 14 dniach roboczych

PIERWSZA WIZYTA

1. Po okazaniu dokumentów tożsamości przez Subskrybenta Inspektor ds. Rejestracji sprawdza wiarygodność oraz kopiuje oryginały dokumentów;

2. Subskrybent sprawdza i podpisuje Umowę Subskrybencką, Formularz zgłoszenia certyfikującego oraz pozostałe załączniki.

DRUGA WIZYTA

1. Subskrybent potwierdza prawidłowość danych zawartych w certyfikacie podpisując dokument „Raport z zawartości certyfikatu”;

2. Inspektor ds. Rejestracji przekazuje zapisane na nośniku certyfikat/ certyfikaty, czytnik (w przypadku certyfikatu wydanego na karcie kryptograficznej) oraz niezbędne oprogramowanie do karty.

Unieważnienie/zawieszenie/ uchylenie zawieszenia certyfikatu

W przypadku gdy Subskrybent lub Zamawiający wybiorą możliwość zgłoszenia zmiany stanu ważności certyfikatu poprzez stawienie się osobiste w godzinach pracy Punktu Rejestracji:

1. Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości;

2. Inspektor ds. Rejestracji prosi o wypełnienie i podpisanie dyspozycji zawieszenia/ uchylenia zawieszenia/ unieważnienia certyfikatu;

3. Inspektor ds. Rejestracji prosi o podanie tajnego hasła;

DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI

Zarówno Subskrybent jak i zamawiający w przypadku dyspozycji certyfikatem w zakresie Unieważnienie/zawieszenie/ uchylenie zawieszenia certyfikatu przy braku tajnego hasła (zgubienie zapomnienie itp.) muszą stawić się osobiście w Punkcie Rejestracji

KLIENT INDYWIDUALNY (SUBSKRYBENT)

1. Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości;

2. Inspektor ds. Rejestracji prosi o wypełnienie i podpisanie dyspozycji zawieszenia/ uchylenia zawieszenia/ unieważnienia certyfikatu

DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI

KLIENT ZBIOROWY (ZAMAWIAJĄCY)

1. Inspektor ds. Rejestracji weryfikuje tożsamość na podstawie okazanego dowodu tożsamości. Sprawdza umocowanie przedstawiciela w organizacji (na podstawie oryginalnych dokumentów nie starszych niż 6 miesięcy)

2. Inspektor ds. Rejestracji poprosi o wypełnienie dyspozycji zawieszenia/ uchylenia zawieszenia/unieważnienia certyfikatu

DOPIERO WTEDY NASTAPI REALIZACJA ŻĄDANEJ DYSPOZYCJI

1

---