eiDAS dan layanan pengiriman yang memenuhi syarat: apa itu dan seberapa luas mereka

Diterbitkan: 2022-10-27

Dalam posting ini, kami akan fokus pada masalah utama dan topikal, dengan beberapa pembaruan penting di cakrawala. Kami akan mulai dengan masalah teknis dan legislatif, tetapi ini memiliki dampak sehari-hari pada kehidupan kita semua: baik sebagai individu maupun sebagai perusahaan.

Kita berbicara tentang Layanan Elektronik Pengiriman Bersertifikat Berkualitas, yang dikenal sebagai SERCQ. Oleh karena itu, ada baiknya untuk memulai dengan kerangka yang terkait dengan peraturan saat ini; kita akan membahasnya di bagian berikutnya.

Selanjutnya, kita akan melihat perbedaan antara SERCQ (Qualified Certified Electronic Delivery Service) dan SERC (Certified Electronic Delivery Service) dan kemudian fokus pada PEC , yang khusus untuk ekosistem digital dan legislatif Italia. Di sini, perhatikan bahwa perkembangan baru akan datang di bidang ini, dan semuanya ditujukan untuk menempatkan PEC dalam standar Eropa terpadu.

Mari kita lanjutkan secara berurutan.

Ajakan bertindak baru

Layanan pengiriman sertifikat elektronik yang memenuhi syarat dan eIDAS

Mari kita segera membongkar akronim lain yang ada di balik diskusi ini: eIDAS (Layanan Identifikasi, Otentikasi, dan Kepercayaan elektronik) adalah Peraturan Eropa 910/2014 yang berfokus pada layanan identifikasi dan kepercayaan elektronik untuk transaksi elektronik di pasar internal.

eIDAS memberikan dasar peraturan umum untuk interaksi elektronik yang aman antara warga, bisnis, dan administrasi publik di Uni Eropa . Selain itu, eIDAS membahas keamanan, transparansi, dan efektivitas layanan elektronik serta transaksi e-bisnis dan e-niaga.

Peraturan tersebut antara lain memperkenalkan Certified Electronic Delivery Service ( SERC ) dan Qualified Certified Electronic Delivery Service ( SERCQ ). Kedua akronim ini bisa menyesatkan dan membingungkan. Bahkan, kita harus memperhatikan dengan seksama, karena ada perbedaan yang menentukan antara kedua sistem , yang memiliki dampak yang menentukan di tingkat hukum dan birokrasi secara lebih umum.

Dalam hal ini, pasal 43 dan 44 adalah yang paling menarik bagi kami. Kami akan menjelaskannya secara rinci di bawah ini:

  • Pasal 43: Dampak hukum dari layanan pengiriman elektronik bersertifikat
  1. Data yang dikirim dan diterima melalui layanan pengiriman elektronik bersertifikat tidak dapat disangkal akibat hukum dan dapat diterimanya sebagai bukti dalam proses pengadilan hanya karena bentuk elektroniknya atau karena tidak memenuhi persyaratan layanan pengiriman elektronik bersertifikat yang memenuhi syarat.
  2. Data yang dikirim dan diterima oleh layanan pengiriman elektronik bersertifikat yang memenuhi syarat harus memenuhi asumsi integritas data, pengiriman data tersebut oleh pengirim yang teridentifikasi, penerimaannya oleh penerima yang teridentifikasi, dan keakuratan tanggal dan waktu pengiriman dan penerimaan yang ditunjukkan oleh layanan pengiriman elektronik bersertifikat yang memenuhi syarat.
  • Pasal 44: Persyaratan untuk layanan pengiriman elektronik bersertifikat yang memenuhi syarat
  1. Layanan pengiriman elektronik bersertifikat yang memenuhi syarat harus memenuhi persyaratan berikut:

(a) mereka harus disediakan oleh satu atau lebih penyedia layanan perwalian yang memenuhi syarat;

(b) memastikan identifikasi pengirim dengan tingkat keamanan yang tinggi;

(c) memastikan identifikasi penerima sebelum transmisi data;

(d) pengiriman dan penerimaan data dijamin dengan tanda tangan elektronik canggih atau segel elektronik canggih dari penyedia layanan kepercayaan yang memenuhi syarat untuk mengecualikan kemungkinan perubahan yang tidak terdeteksi pada data;

(e) setiap perubahan pada data yang diperlukan untuk mengirim atau menerimanya ditunjukkan dengan jelas kepada pengirim dan penerima data;

(f) tanggal dan waktu pengiriman dan penerimaan dan setiap perubahan pada data ditunjukkan dengan stempel waktu elektronik yang memenuhi syarat.

Jika data ditransfer antara dua atau lebih penyedia layanan trust yang memenuhi syarat, persyaratan dalam (a) hingga (f) akan berlaku untuk semua penyedia layanan trust yang memenuhi syarat.

2. Komisi dapat, melalui tindakan pelaksanaan, menetapkan nomor referensi standar yang berlaku untuk proses pengiriman dan penerimaan data. Kepatuhan terhadap persyaratan sebagaimana dimaksud dalam ayat 1 dianggap apabila proses pengiriman dan penerimaan data memenuhi standar tersebut. Tindakan pelaksanaan ini harus diambil sesuai dengan prosedur pemeriksaan sebagaimana dimaksud dalam Pasal 48(2).

Perbedaan antara layanan pengiriman elektronik bersertifikat (SERC) dan layanan pengiriman elektronik bersertifikat (SERCQ) yang memenuhi syarat

Di sini, kita sampai pada poin sensitif dan penting, yaitu mengenai perbedaan antara SERC dan SERCQ . Peraturan eIDAS yang kami kutip di atas sudah lengkap dalam hal ini. Tapi mari kita rangkum di bawah ini, dengan tajam, dan jelas.

SERC memungkinkan transmisi data antara pihak ketiga secara elektronik, memberikan bukti mengenai pemrosesan data yang dikirimkan, termasuk bukti bahwa data telah dikirim dan diterima, dan melindungi data yang dikirimkan dari risiko kehilangan, kerusakan akibat pencurian, atau modifikasi yang tidak sah. Itu juga memenuhi prinsip-prinsip yang diperlukan "keakuratan tanggal dan waktu pengiriman dan penerimaan." Apa yang kurang SERC adalah jaminan, dengan tingkat keamanan yang tinggi, identifikasi pengirim, pertama-tama. Kemudian dari penerima, pada tahapan sebelum pengiriman data. Dan inilah tepatnya fitur dan standar yang dijamin oleh Electronic Service for Qualified Certified Delivery (SERCQ). Dalam konteks Uni Eropa, sistem SERC dan SERCQ sekarang tersebar luas, di semua tingkatan. Italia, dalam hal ini, adalah sebuah anomali.

Saat ini, kami hanya memiliki PEC di Italia. Undang-undang Italia, bagaimanapun, sudah mengizinkan penggunaan layanan SERCQ: diterjemahkan, hanya masalah waktu sebelum mereka menyebar luas di sini juga. Mempersiapkan ini sebelumnya dapat menjadi keunggulan kompetitif yang penting.

Juga, perhatikan aspek lain. Ada beberapa perkembangan penting di cakrawala hanya di bagian depan PEC, yang mungkin segera beradaptasi dengan standar SERCQ. Kita akan membicarakan ini di bagian selanjutnya.

Masa depan PEC mengarah ke SERCQ

PEC (Certified Electronic Mail) adalah sesuatu yang kita semua kenal. Sekarang menjadi alat sehari-hari untuk segmen besar profesional dan lain-lain. Menurut data terbaru yang tersedia, ada lebih dari 14 juta alamat PEC aktif ; sedangkan, pada 2016, ada antara 7 dan 8 juta.

Sederhananya, dapat dikatakan bahwa PEC sesuai dengan surat terdaftar lama dengan tanda terima pengembalian; dan, seperti yang kami tunjukkan di atas, itu adalah kekhasan semua-Italia yang, bagaimanapun, beradaptasi dengan standar Eropa. Tapi mari kita lanjutkan secara berurutan.

Yang pasti PEC dapat dianggap sebagai Certified Electronic Delivery Service (SERC), karena memenuhi persyaratan yang diatur dalam Pasal 43 peraturan eIDAS yang kami kutip di atas. Namun, berhati-hatilah: ini tidak dapat dianggap sebagai Layanan Pengiriman Elektronik Bersertifikat yang Memenuhi Syarat (SERCQ).

Perbedaannya, sebenarnya, adalah apa yang telah kami isolasi di atas: jaminan pada pengirim dan penerima. Secara khusus, saat ini, tidak ada ketentuan untuk verifikasi pasti identitas pemohon kotak PEC. Selain itu, juga tidak ada persyaratan bagi operator untuk menjalani audit kepatuhan wajib oleh badan yang ditunjuk. Inilah mengapa spam dan beberapa penipuan terkadang bahkan masuk ke kotak masuk kotak surat bersertifikat: PEC memiliki prosedur yang lebih disederhanakan (sehingga kurang aman) untuk mengidentifikasi pemohon (misalnya, lebih ringan dan dapat dielakkan daripada yang disediakan untuk SPID).

Kabar baiknya, bagaimanapun, adalah bahwa PEC tidak tinggal diam . Evolusinya telah dibahas untuk beberapa waktu sekarang, dan jalannya tampaknya sudah ditandai dengan baik ke arah penyertaannya di antara Layanan Pengiriman Elektronik Bersertifikat yang Memenuhi Syarat.

Ada dua akronim yang perlu diingat di jalur ini: ETSI dan REM . ETSI adalah Institut Standar Telekomunikasi Eropa. Ini adalah standar yang didedikasikan untuk interoperabilitas sistem tanda tangan digital dan sistem REM di seluruh Uni Eropa. Dan inilah akronim kedua kami: Surat Elektronik Terdaftar. Protokol REM sudah termasuk PEC Italia.

Tanpa tersesat dalam hal teknis, cukup dikatakan bahwa pada tahun 2019 telah dibentuk kelompok kerja antara Digital Italy Agency, operator PEC, Uninfo, dan Assocertificatori yang sedang menyelesaikan aturan teknis yang diperlukan untuk membuat PEC “meningkatkan” sehingga dapat sesuai dengan standar Eropa yang disyaratkan untuk Layanan Pengiriman Elektronik Bersertifikat yang Memenuhi Syarat (SERCQ).

Hal ini untuk menghindari terciptanya alat-alat alternatif. Faktanya, mengganti alat yang banyak digunakan dan digunakan seperti CEM akan lambat, sangat tidak efisien, dan tentu saja tidak ekonomis.

Melampaui kepatuhan – peluang digitalisasi yang matang

Ketika kita berbicara tentang digitalisasi, identitas digital, otentikasi, dan sistem sertifikasi, kita tidak boleh melupakan ini: ini bukan hanya pemenuhan, tetapi juga peluang yang harus diambil . Pertama-tama, ada keuntungan besar dalam hal keamanan, transparansi, kenyamanan, dan peningkatan efisiensi.

Tetapi ada kata kunci tambahan yang harus selalu diingat: integrasi . Ini adalah kata kunci yang mutlak menentukan ketika kita berpindah dari ranah individu pribadi ke ranah perusahaan.

Singkatnya, revolusi nyata, yang berubah menjadi spiral optimasi berkelanjutan!