ELEKTRONSKI PODPIS IN ELEKTRONSKO POSLOVANJE DRŽAV EU (SLOVENIJA: ŠPANIJA)
Države EU, 23 uradnih jezikov, 27 članic, med katere spada tudi Slovenija ob vstopu leta 2004, ki še vedno velja za relativno mlado članico EU ter Španija, ki je vstopila leta 1986, katera spada med eno izmed starejših članic, se da primerjati med seboj glede implementacije direktive EU, kako so vpeljale materijo elektronskega podpisa in elektronskega poslovanja v svoj pravni red. Bolj ali majn se razlikujejo po načinu, kako so določile pravno veljavnost elektronske oblike in enakovrednost varnega elektronskega podpisa in pisne oblike. Države ki so reformirale svoje civilne zakonike so: Nemčija, Francija, Nizozemska. Ostale države pa so to materijo splošno uredile po zakonu o elektronskem podpisu, med katere spada tudi Španija in Slovenija.
Decembra 2008 so bila na straneh ICT objavljena tri področja, na katera opozarja Evropska komisija, kot pomembne čezmejne probleme, ki jih je potrebno rešiti čimprej, med drugimi tudi področje eID (eIdentity, eSignature, eIdentification) kot osnova vsega čezmejnega elektronskega povezovanja ne glede na področje delovanja (electronic identity managemente eIDM).Eden od ključnih projektov EU s tega področja je uvedba e-osebnih izkaznic, katerega namen je zagotoviti čezmejne e-storitve na različnih področjih z uporabo nacionalnih eID. Enostaven dostop do javnih storitev v vsej EU je ključnega pomena za državljane, ki potujejo iz poslovnih, študijskih in drugih razlogov, ter za pospeševanje mobilnosti delavcev v EU.Na spletnih straneh IDABC [IDABC] je objavljen načrt aktivnosti poimenovan European action plan on eSignatures and eIdentification [EUActionPlan eID]. Novembra 2008 pa je Evropska komisija sprejela še dopolnitev, Action plan on eSignatures and eIdentification to facilitate the provision of cross-border public services in the Single Market [EUActionPlan eID2008].Na podlagi sprejetih aktivnosti je Evropska komisija podprla pilotni projekt STORK, katerega cilj je lažji dostop do javnih e-storitev v vsej EU z enotno elektronsko identiteto, kot so na primer pridobivanje prejemkov socialne varnosti in nadomestil za brezposelnost ali izpolnjevanje obrazcev za davčno napoved. Načrtuje se povezovanje in uskladitev obstoječih nacionalnih sistemov in možnost identifikacije uporabnika e-storitev z nacionalnim eID.
Pa si poglejmo skupne projekte, ki so jih izvajali tako v Španiji kot v Sloveniji. Eden izmed takih se imenuje Bridge/Gateway Certification Authority [BGCA1, BGCA2] Cilj projekta je bil omogočiti medsebojno povezovanje overiteljev digitalnih potrdil javnih uprav držav EU, vzpostavljena naj bi bila skupna agencija za overovitev digitalnih potrdil posameznih držav članic EU, z namenom zagotavljanja veljavnosti teh potrdil v drugih državah EU. Zagotavljala naj bi interoperabilnost e-certifikatov med uslužbenci javnih uprav, hkrati na obeh nivojih nacionalnem in panevropskem, in tako omogoča varno izmenjavo e-pošte in e-podpisa. Projekt je pripravil tako organizacijska in tehnična poročila potrebna za implementacijo storitve. Poseben poudarek je bil na izmenjavi podatkov med overitelji s protokolom TSL (Trust Service Provider List).Sodelovale so lahko le članice, ki so imele vzpostavljeno PKI. Slovenija je sodelovala z digitalnima potrdiloma SIGEN-CA in SIGOV-CA.
eEurope Smart Card Charter proof of concept and holistic solution [eEpoch] je bil projekt, katerega namen je bil poiskati tehnične rešitve evropske pametne kartice (eEurope Smart Card Charter) in s tem omogočiti interoperabilnost državljanov na področju elektronske identifikacije, avtorizacije in podpisa. Državljani naj bi imeli možnost elektronske interakcijo s svojimi nacionalnimi in občinskimi upravami ter drugimi evropskimi institucijami, hkrati pa bi isto kartico lahko uporabljali tudi v storitvah e-poslovanja. Pilotni projekt je bil zaključen 2004 in je bil izveden v Franciji, Nemčiji, Italiji, Izraelu, Uk ter Španiji, Nat. Development (Leader: DGP)
Secure idenTity acrOss boRders linKed, namen projekta t.i.
STORK je omogočiti čezmejno priznavanje in uporabo elektronskih identitet in s tem državljanom EU olajšati dostop do elektronskih storitev uprav držav članic. Državljanom EU bi tako omogočili, da izkažejo svojo identiteto v elektronskih čezmejnih upravnih postopkih z uporabo eID (gesla, elektronske osebne izkaznice, digitalna potrdila …), prejetega v svoji državi. Projekt bo povezal nekaj čezmejnih projektov, ki bazirajo na nacionalnih eID (sprememba naslova, elektronska dostava dokumentov, mobilnost študentov, "varen" internet za otroke, čezmejna platforma za avtorizacijo). Testirani bodo najbolj uveljavni eID in postavljene enotne specifikacije za prepoznavanje različnih nacionalnih eID. http://www.eid-stork.eu/Cilj projekta je skupni evropski sistem za prepoznavanje e-identifikacij z namenom omogočiti prepoznavanje nacionalnih digitalnih potrdil povsod po EU: enotna specifikacijav EU pri uporabi eID, interoperabilnost avtorizacije eID, postavitev enotne vstopne točke za dostop do Javne uprave v državah EU z uporabo nacionalnih eID. Novi sistem bo državljanom tako omogočil varno elektronsko identifikacijo in komunikacijo z javno preko katerekoli druge mobilne naprave.S pomočjo svoje elektronske identitete v matični državi se bo lahko študent npr. vpisal na tujo univerzo.Projekt je pod okriljem Evropske komisije, Information Society Programms [STORK-ISP].V projektu sodelujejo: Avstrija, Belgija, Estonija, Francija, Nemčija, Italija, Luksemburg, Nizozemska, Portugalska, Slovenija, Španija, Švedska, UK, Islandija(kot članica EU gospodarskega prostora). Predstavitev slovenske vključitve je na spletnem portalu MJU [STORKmju]. V projekt se bodo vključili številni manjši čezmejni projekti, ki bodo temeljili na že obstoječih sistemih.
Validation Authority Solution cross border recognition of e-signatures [VASolution], DNV (Det Norske Veritas) je prevzel vlogo globalnega in nevtralnega centra preverjanja e-podpisa (Validation Authority) oziroma eID certifikatov s tretje strani. VASolution je implementiran kot on-line servis pri Business and Banking Solutions (BBS) na Norveškem.Poročilo o izvedbi projekta: ocena kakovost in vrednost zaupanja CA in izdanih eID, preverjanje e-podpisa različnih formatov pri transakcijah in na dokumentih, ocena kakovost e-podpisa.VASolution trenutno nudi storitve znotraj EU, njihov cilj pa je vključiti tudi standarde in direktive ameriških, azijskih in drugih svetovnih CA. Opis storitve in uporabljene rešitve najdemo v poročilu Description Of VA Services To Relying Parties (V1.0)
Widening Setting Processes for Electronic Signatures [SPES] projekt je razvil digitalno potrdilo, s katerim se lahko državljan identificira v komunikaciji z javnim ali privatnim sektorjem, in omogoča varen prenos podatkov v okviru lokalnega okolja (občina, mesto). Uporabljena je bila PKI tehnologija in razvita v partnerskih mestih. W-SPES je nadaljeval projekt SPES s poudarkom na interoperabilnosti znotraj EU. Rešiti je bilo potrebno prepoznavanje digitalnega potrdila v različnih mestih EU. Glavni cilji projekta: razširiti področje uporabe, povezati in uporabiti izkušnje institucij javne uprave na tem področju, utrditi uporabo digitalnega podpisa v državah EU za čimvečje število storitev.V projektu so sodelovala mesta EU, pri nas se je pridružil Koper, ki razvija tri storitve: interna mestna storitev javne administracije JANA (Public procurement internal workflow),povratna informacija o status vloge (Information on the status of citizen’s applications),gradbena lokacijska informacija (Building location information).Projekt se je zaključil januarja 2008.
Španija je bila prva država na svetu, ki je že leta 1999 zakonsko uredila področje e- podpisa. V tem času je pridobila veliko izkušenj na področju e-identifikacije in opravljanju e-storitev javne uprave.V okviru javne uprave je leta 2003 tekel projekt izdajanja digitalnih potrdil na osnovi PKI tehnologije, ki jih hranijo na pametnih karticah. Tukaj se gre za način da zaposleni dostopajo, izpolnjujejo in popisujejo 40 e-obrazcev za potrebe notranje korespondence v javni upravi, kar pripomore k večji učinkovitosti, prihranku časa in denarja ( Electronic Identity White Paper V 1.0, 2003; Spanish Ministry e-identifies its employees). Ta projekt je predstavljal začetek projekta nacionalne e-OI, ki jo je začela izdajati policijska uprava. E-OI je bil eden glavnih elementov oziroma orodje za razširejno uporabo e-podpisa. Po spremembi zakona junija 2003 so pričakovali hiter razvoj. Pripomogel je k razširitvi uporabe digitalnega potrdila za e-trgovino in e-upravo. Digitalno potrdilo jamči za e-avtentikacijo, verodostojnost in nezatajljivost. Nov zakon pa je dajal tudi več svobode privatnemu sketorju za razvoj e-trga. (Spanish Government approves new bill on electronic signature) Do konca leta 2004 so predvideli izdati 6,5 milijonov e-OI.
Elektronski podpis (ang. electronic signature), kot ga opredeljuje Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP-UPB1) v Sloveniji, je niz podatkov v elektronski obliki, ki je vsebovan, dodan ali logično povezan z drugimi podatki (npr. z elektronskim dokumentom), in je namenjen preverjanju pristnosti teh podatkov in identifikaciji podpisnika. Varen elektronski podpis (ang. advanced electronic signature) je elektronski podpis, ki zadošča dodatnim pogojem. Po ZEPEP-UPB1 gre za elektronski podpis, ki izpolnjuje naslednje zahteve: povezan izključno s podpisnikom, iz njega mogoče zanesljivo ugotoviti podpisnika, ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom, povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi.Prav zahteva po neokrnjenosti podatkov je ena od osrednjih lastnosti varnega elektronskega podpisa v primerjavi z lastnoročnim. Elektronski podpis, ki temelji na asimetrični (javni) kriptografiji (ang. public key cryptography), je v praksi edina tehnična rešitev, ki jo lahko danes uporabimo za varne elektronske podpise. Elektronski podpis zagotavlja torej pristnost podatkov in jih varuje pred spremembami s kriptografskimi metodami. Kriptografija je matematična veda, ki se ukvarja z zakrivanjem podatkov s pomočjo matematičnih operacij. Asimetrična kriptografija uporablja par ključev: zasebni ključ (ang. private key) je skrivni podatek, ki ga poseduje samo njegov imetnik (v primeru podpisovanja podpisnik), javni ključ (ang. public key) pa je dostopen vsem (v primeru podpisovanja vsem, ki preverjajo podpis).
Digitalno potrdilo velja da je javni ključ je potrebno povezati z njegovim imetnikom in ga javno objaviti. Asimetrična kriptografija v ta namen uporablja infrastrukturo javnih ključev (ang. PKI, Public Key Cryptography). PKI s pomočjo digitalnih potrdil, ki jih izdajajo overiteljske agencije poskrbi za povezavo javnih ključev z objekti iz realnega sveta (npr. ljudmi, strežniki, informacijskimi sistemi ipd.), razpečavo javnih ključev in vzpostavitev zaupanja v javne ključe.
Pa si poglejmo na primeru Carinske uprave Republike Slovenije kako je možna je tudi elektronska komunikacija v zvezi s trošarinami. Najprej se sklene sporazum, ki opredeljuje vrsto poslovne dejavnosti, nato pa se registrirajo digitalna potrdila za uporabo digitalnih podpisov. Carinska uprava Republike Slovenije je dne 1.1.2007 nadgradila dotedanjo računalniško izmenjavo podatkov (RIP). V poslovanje s strankami je uvedla XML podatkovne strukture in elektronski podpis, ki je pogoj za brezpapirno poslovanje v okviru sistema za elektronsko poslovanje CURS. Elektronski podpis predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa:
- identiteto imetnika digitalnega potrdila
- nezatajljivost lastništva podpisanih e-podatkov in
- celovitost (integriteto) sporočila, kar pomeni, da samo del podatkov ni mogoče spremeniti ali drugače popraviti brez (vednosti) podpisnika.
Vsak uporabnik, ki želi brezpapirno poslovati s CURS, mora najprej skleniti, dogovor o uporabi informacijskega sistema za elektronsko poslovanje Carinske uprave Republike Slovenije, v katerem uporabnik in CURS opredelita svoj medsebojni odnos. Po sklenitvi dogovora mora vsak uporabnik v okviru e-poslovanja prijaviti digitalna potrdila, s pomočjo katerih je v okviru e-poslovanja dovoljeno elektronsko podpisovati dokumente v imenu uporabnika. CURS določa, da smejo elektronske dokumente v imenu uporabnika podpisovati samo imetniki osebnih kvalificiranih digitalnih potrdil, katerih potrdila so overjena pri enem od slovenskih overiteljev in so hkrati prijavljena v sistemu za elektronsko poslovanje CURS.Uporabniki sistema za elektronsko poslovanje CURS morajo pri e-poslovanju, poleg ostalega, še posebej upoštevati Zakon o elektronskem poslovanju in elektronskem podpisu (v nadaljevanju ZEPEP) in zagotoviti dolgoročno revizijsko varno hrambo elektronskih dokumentov v skladu z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhiva (v nadaljevanju ZVDAGA).
Vsa sporočila, ki se v elektronski obliki izmenjujejo s Carinsko upravo Republike Slovenije, morajo biti podpisana z elektronskim podpisom. Za ta namen se smejo uporabljati samo kvalificirana digitalna potrdila enega od naslednjih overiteljev digitalnih potrdil:
Evropska komisija je že v preteklosti začela javno posvetovanje o elektronskem podpisu in elektronski identifikaciji, da bi izboljšala nizko stopnjo zaupanja potrošnikov in podjetij v spletno poslovanje. Namen javnega posvetovanja je zagotoviti prispevek ustvarjalcem politik o tem, kako lahko elektronski podpis in elektronska identifikacija (e-ID) ter overjanje prispevajo k razvoju enotnega evropskega digitalnega trga. K sodelovanju pri posvetovanju so bili vabljeni vsi iz vrst civilne družbe, industrije, gospodarskega sektorja, akademskega sveta in javne uprave, ki sodelujejo pri razvoju in uporabi elektronske identifikacije, elektronskega overjanja in elektronskega podpisa za t.i. Digitalno agendo.Vsi se zavedamo da je razvoj v današnjem času zelo hiter, od posamezne države pa je odvisno koliko vlaga, da ostaja v koraku s časom.
VIRI:
