eiDAS وخدمات التوصيل المؤهلة: ما هي وما مدى انتشارها

نشرت: 2022-10-27

في هذا المنشور ، سنركز على قضية رئيسية وموضوعية ، مع بعض التحديثات المهمة في الأفق. سنبدأ بالمسائل التقنية والتشريعية ، لكن لها تأثير يومي على حياة كل فرد منا: كأفراد وكشركات.

نحن نتحدث عن الخدمة الإلكترونية للتسليم المؤهل والمعروف باسم SERCQ. لذلك ، من الجيد أن نبدأ بالإطار المتعلق باللوائح الحالية ؛ سنصل إلى ذلك في القسم التالي.

بعد ذلك ، سننظر في الاختلافات بين SERCQ (خدمة التسليم الإلكتروني المعتمد المؤهل) و SERC (خدمة التسليم الإلكتروني المعتمدة) ثم نركز على PEC ، وهو خاص بالنظام البيئي الرقمي والتشريعي الإيطالي. هنا ، لاحظ أن التطورات الجديدة قادمة في هذا المجال ، وكلها تهدف إلى وضع PEC ضمن المعايير الأوروبية الموحدة.

دعنا ننتقل بالترتيب.

عبارة جديدة تحث المستخدم على اتخاذ إجراء

خدمة تسليم الشهادات الإلكترونية المؤهلة و eIDAS

دعنا نفك بسرعة اختصارًا آخر يكمن وراء هذه المناقشة: eIDAS (خدمات تحديد الهوية الإلكترونية والمصادقة والثقة) هي اللائحة الأوروبية 910/2014 التي تركز على خدمات التعريف الإلكتروني والثقة للمعاملات الإلكترونية في السوق الداخلية.

توفر eIDAS أساسًا تنظيميًا مشتركًا للتفاعلات الإلكترونية الآمنة بين المواطنين والشركات والإدارات العامة في الاتحاد الأوروبي . بالإضافة إلى ذلك ، تتناول eIDAS الأمن والشفافية والفعالية للخدمات الإلكترونية ومعاملات الأعمال التجارية الإلكترونية والتجارة الإلكترونية.

من بين أمور أخرى ، قدمت هذه اللائحة خدمة التسليم الإلكتروني المعتمد ( SERC ) وخدمة التسليم الإلكتروني المعتمد ( SERCQ ). يمكن أن يكون هذان الاختصاران مضللين ومربكين. في الواقع ، يجب أن نولي اهتمامًا وثيقًا ، حيث توجد اختلافات حاسمة بين النظامين ، والتي لها تأثيرات حاسمة على المستوى القانوني والبيروقراطي بشكل عام.

وفي هذا الصدد ، فإن المادتين 43 و 44 هما الأكثر أهمية بالنسبة لنا. سنشرح ذلك بالتفصيل أدناه:

  • المادة 43: الآثار القانونية لخدمة التوصيل الإلكتروني المعتمد
  1. لا يجوز حرمان البيانات المرسلة والمستلمة عن طريق خدمة التوصيل الإلكتروني المعتمد من الآثار القانونية والمقبولية كدليل في إجراءات المحكمة لمجرد شكلها الإلكتروني أو لأنها لا تفي بمتطلبات خدمة التوصيل الإلكتروني المعتمدة المؤهلة.
  2. يجب أن تتمتع البيانات المرسلة والمستلمة عن طريق خدمة التوصيل الإلكتروني المعتمدة المؤهلة بافتراض سلامة البيانات ، وإرسال هذه البيانات من قبل المرسل المحدد ، واستلامها من قبل المستلم المحدد ، ودقة تاريخ ووقت الإرسال والاستلام المشار إليه بواسطة خدمة توصيل إلكتروني مؤهلة ومعتمدة.
  • المادة 44: متطلبات خدمات التوصيل الإلكتروني المعتمدة المؤهلة
  1. يجب أن تستوفي خدمات التوصيل الإلكتروني المؤهلة المتطلبات التالية:

(أ) يجب أن يتم توفيرها من قبل واحد أو أكثر من مقدمي خدمات الثقة المؤهلين ؛

(ب) ضمان تحديد هوية المرسل بمستوى عالٍ من الأمان ؛

(ج) ضمان تحديد هوية المتلقي قبل نقل البيانات ؛

(د) يتم تأمين إرسال البيانات واستلامها بتوقيع إلكتروني متقدم أو ختم إلكتروني متقدم لمزود خدمة ثقة مؤهل لاستبعاد إمكانية حدوث تغييرات غير قابلة للكشف في البيانات ؛

(هـ) الإشارة بوضوح إلى أي تغييرات تطرأ على البيانات اللازمة لإرسالها أو تلقيها إلى مرسل البيانات ومتلقيها ؛

(و) تتم الإشارة إلى تاريخ ووقت الإرسال والاستلام وأي تغيير يطرأ على البيانات بواسطة طابع زمني إلكتروني مؤهل.

عند نقل البيانات بين اثنين أو أكثر من مقدمي خدمات الثقة المؤهلين ، فإن المتطلبات الواردة في (أ) إلى (و) تنطبق على جميع مقدمي خدمات الثقة المؤهلين.

2. يجوز للهيئة ، عن طريق تنفيذ الإجراءات ، تحديد الأرقام المرجعية للمعايير المطبقة على عمليات إرسال واستقبال البيانات. يفترض الامتثال للمتطلبات المشار إليها في الفقرة 1 عندما تفي عملية إرسال البيانات واستلامها بهذه المعايير. يتم اعتماد إجراءات التنفيذ هذه وفقًا لإجراءات الفحص المشار إليها في المادة 48 (2).

الاختلافات بين خدمة التوصيل الإلكتروني المعتمدة (SERC) وخدمة التوصيل الإلكتروني المعتمدة المؤهلة (SERCQ)

هنا ، نصل إلى نقطة حساسة وهامة ، تلك المتعلقة بالاختلافات بين SERC و SERCQ . لائحة eIDAS التي ذكرناها أعلاه هي شاملة في هذا الصدد. لكن دعونا نلخصها أدناه ، بشكل حاد وواضح.

تمكن SERC من نقل البيانات بين أطراف ثالثة إلكترونيًا ، وتوفر أدلة بشأن معالجة البيانات المرسلة ، بما في ذلك الدليل على إرسال البيانات واستلامها ، وتحمي البيانات المرسلة من مخاطر الضياع أو تلف السرقة أو التعديل غير المصرح به. كما أنه يفي بالمبادئ المطلوبة لـ "دقة تاريخ ووقت الإرسال والاستلام". ما تفتقر إليه SERC هو ضمانات ، بمستويات عالية من الأمان ، لتحديد هوية المرسل ، أولاً وقبل كل شيء. ثم المتلقي ، في المراحل السابقة لنقل البيانات. وهذه هي بالضبط الميزات والمعايير التي تضمنها الخدمة الإلكترونية للتسليم المعتمد (SERCQ). في سياق الاتحاد الأوروبي ، أصبحت أنظمة SERC و SERCQ منتشرة على جميع المستويات. إيطاليا ، في هذا الصدد ، هي حالة شاذة.

حاليًا ، لدينا فقط PEC في إيطاليا. ومع ذلك ، فإن التشريع الإيطالي يسمح بالفعل باستخدام خدمات SERCQ: مترجم ، إنها مسألة وقت فقط قبل أن تنتشر على نطاق واسع هنا أيضًا. يمكن أن يكون التحضير لهذا مسبقًا ميزة تنافسية مهمة.

أيضا ، انتبه إلى جانب آخر. هناك بعض التطورات المهمة في الأفق فقط على جبهة PEC ، والتي قد تتكيف قريبًا مع معايير SERCQ. سنتحدث عن هذا في القسم التالي.

يشير مستقبل PEC نحو SERCQ

PEC (البريد الإلكتروني المعتمد) شيء نعرفه جميعًا. إنها الآن أداة يومية لشريحة كبيرة من المهنيين وغيرهم. وفقًا لأحدث البيانات المتاحة ، هناك أكثر من 14 مليون عنوان PEC نشط ؛ بينما ، في عام 2016 ، كان هناك ما بين 7 و 8 ملايين.

للتبسيط ، يمكن القول أن PEC يتوافق مع الخطاب المسجل القديم مع إيصال الإرجاع ؛ وكما أشرنا أعلاه ، إنها ميزة إيطالية بالكامل تتكيف مع المعايير الأوروبية. لكن دعونا نمضي قدما بالترتيب.

ما هو مؤكد هو أن PEC يمكن اعتبارها خدمة تسليم إلكترونية معتمدة (SERC) ، لأنها تلبي المتطلبات المنصوص عليها في المادة 43 من لائحة eIDAS التي نقلناها أعلاه. احذر ، مع ذلك: لا يمكن اعتبارها خدمة توصيل إلكتروني معتمدة ومعتمدة (SERCQ).

التمييز ، في الواقع ، هو ما عزلناه بالفعل أعلاه: الضمانات على المرسل والمتلقي. على وجه الخصوص ، في الوقت الحاضر ، لا يوجد أي شرط للتحقق من هوية مقدم الطلب من صندوق PEC. علاوة على ذلك ، لا يوجد أيضًا أي شرط على المشغل للخضوع لعمليات تدقيق الامتثال الإلزامية من قبل الهيئات المعينة. وإليك سبب وصول الرسائل غير المرغوب فيها وبعض عمليات الاحتيال أحيانًا إلى صندوق الوارد الخاص بصناديق البريد المعتمدة: لدى PEC إجراءات أكثر بساطة (وبالتالي أقل أمانًا) لتحديد مقدمي الطلبات (على سبيل المثال ، أخف وزناً وأكثر قابلية للتحايل ، على سبيل المثال ، من تلك المتوفرة لـ SPID).

ومع ذلك ، فإن الخبر السار هو أن PEC لا تقف مكتوفة الأيدي . تمت مناقشة تطورها لبعض الوقت الآن ، ويبدو المسار محددًا بشكل جيد في اتجاه إدراجه ضمن خدمات التسليم الإلكتروني المعتمدة المؤهلة.

هناك نوعان من الاختصارات التي يجب وضعها في الاعتبار في هذا المسار: ETSI و REM . ETSI هو المعهد الأوروبي لمعايير الاتصالات. هذه هي المعايير المخصصة لقابلية التشغيل البيني على مستوى الاتحاد الأوروبي لأنظمة التوقيع الرقمي وأنظمة REM. وهنا الاختصار الثاني: البريد الإلكتروني المسجل. تتضمن بروتوكولات REM بالفعل PEC الإيطالي.

يكفي القول أنه تم إنشاء مجموعة عمل في عام 2019 بين وكالة Digital Italy ومشغلي PEC و Uninfo و Assocertificatori التي تعمل على وضع اللمسات الأخيرة على القواعد الفنية اللازمة لجعل PEC "مرتبة" حتى تتمكن من أن تكون متوافقة مع المعايير الأوروبية المطلوبة لخدمة التسليم الإلكتروني المعتمد المؤهل (SERCQ).

هذا لتجنب إنشاء أدوات بديلة. في الواقع ، فإن استبدال أداة مستخدمة على نطاق واسع مثل إدارة تجربة العملاء (CEM) سيكون بطيئًا وغير فعال للغاية وغير اقتصادي بالتأكيد.

ما وراء الامتثال - فرص الرقمنة الناضجة

عندما نتحدث عن الرقمنة والهوية الرقمية والمصادقة وأنظمة الشهادات ، يجب ألا ننسى هذا أبدًا: هذه ليست مجرد إنجازات ، بل فرص يجب اغتنامها . بادئ ذي بدء ، هناك مزايا كبيرة من حيث الأمان والشفافية والراحة وزيادة الكفاءة.

ولكن هناك كلمة رئيسية إضافية يجب وضعها في الاعتبار دائمًا: التكامل . هذه كلمة أساسية تكون حاسمة تمامًا عندما ننتقل من عالم الأفراد إلى مجال الشركات.

باختصار ، ثورة حقيقية تتحول إلى دوامة من التحسين المستمر!