eiDAS и квалифицированные службы доставки: что это такое и насколько они распространены

Опубликовано: 2022-10-27

В этом посте мы сосредоточимся на крупной и актуальной проблеме с некоторыми важными обновлениями на горизонте. Мы начнем с технических и законодательных вопросов, но они ежедневно влияют на жизнь всех нас: как отдельных лиц, так и компаний.

Мы говорим об электронной службе квалифицированной сертифицированной доставки, известной как SERCQ. Поэтому хорошо начать с структуры, связанной с текущими правилами; мы вернемся к этому в следующем разделе.

Далее мы рассмотрим различия между SERCQ (квалифицированная сертифицированная служба электронной доставки) и SERC (сертифицированная служба электронной доставки), а затем сосредоточимся на PEC , которая характерна для итальянской цифровой и законодательной экосистемы. Здесь отметим, что в этой области идут новые разработки, и все они направлены на то, чтобы привести ПЭК в соответствие с едиными европейскими стандартами.

Давайте по порядку.

Новый призыв к действию

Квалифицированный сервис доставки электронных сертификатов и eIDAS

Давайте быстро раскроем еще одну аббревиатуру, лежащую в основе этого обсуждения: eIDAS (электронная идентификация, аутентификация и услуги доверия) — это европейский регламент 910/2014, который фокусируется на услугах электронной идентификации и доверия для электронных транзакций на внутреннем рынке.

eIDAS обеспечивает общую нормативную базу для безопасного электронного взаимодействия между гражданами, предприятиями и государственными органами в Европейском союзе . Кроме того, eIDAS обеспечивает безопасность, прозрачность и эффективность электронных услуг и транзакций электронного бизнеса и электронной коммерции.

Среди прочего, этот регламент ввел Сертифицированную службу электронной доставки ( SERC ) и Квалифицированную сертифицированную службу электронной доставки ( SERCQ ). Эти два сокращения могут ввести в заблуждение и сбить с толку. На самом деле, мы должны уделять пристальное внимание, поскольку между двумя системами существуют существенные различия , которые в целом оказывают решающее влияние на юридический и бюрократический уровень.

В этом отношении для нас представляют наибольший интерес статьи 43 и 44. Мы объясним их подробно ниже:

  • Статья 43. Юридические последствия сертифицированной службы электронной доставки
  1. Данные, отправленные и полученные с помощью сертифицированной службы электронной доставки, не могут быть лишены юридической силы и допустимости в качестве доказательств в судебном разбирательстве только из-за их электронной формы или несоответствия требованиям квалифицированной сертифицированной службы электронной доставки.
  2. Данные, отправленные и полученные квалифицированной сертифицированной электронной службой доставки, должны иметь презумпцию целостности данных, отправки таких данных идентифицированным отправителем, их получения идентифицированным получателем, а также точности даты и времени отправки и получения, указанных квалифицированная сертифицированная электронная служба доставки.
  • Статья 44. Требования к квалифицированным сертифицированным службам электронной доставки
  1. Квалифицированные сертифицированные электронные службы доставки должны отвечать следующим требованиям:

(a) они должны быть предоставлены одним или несколькими квалифицированными поставщиками трастовых услуг;

(b) обеспечить идентификацию отправителя с высоким уровнем безопасности;

(c) обеспечить идентификацию получателя до передачи данных;

(d) отправка и получение данных защищены расширенной электронной подписью или расширенной электронной печатью квалифицированного поставщика услуг доверия, чтобы исключить возможность необнаруживаемых изменений данных;

(e) любые изменения данных, необходимые для их отправки или получения, четко указаны отправителю и получателю данных;

(f) дата и время отправки и получения, а также любые изменения данных указываются квалифицированной электронной отметкой времени.

Если данные передаются между двумя или более квалифицированными поставщиками доверительных услуг, требования пунктов (a)–(f) применяются ко всем квалифицированным поставщикам доверительных услуг.

2. Комиссия может посредством имплементационных актов установить номера ссылок стандартов, применимых к процессам отправки и получения данных. Соответствие требованиям, указанным в параграфе 1, предполагается, если процесс отправки и получения данных соответствует этим стандартам. Эти имплементационные акты должны быть приняты в соответствии с процедурой рассмотрения, указанной в Статье 48(2).

Различия между сертифицированной электронной службой доставки (SERC) и квалифицированной сертифицированной электронной службой доставки (SERCQ)

Здесь мы подходим к чувствительному и важному моменту, касающемуся различий между SERC и SERCQ . Регулирование eIDAS, которое мы цитировали чуть выше, является исчерпывающим в этом отношении. Но давайте резюмируем это ниже, резко и ясно.

SERC обеспечивает передачу данных между третьими сторонами в электронном виде, предоставляет доказательства обработки переданных данных, в том числе доказательства того, что данные были отправлены и получены, а также защищает передаваемые данные от риска потери, кражи, повреждения или несанкционированного изменения. Он также соответствует требуемым принципам «точности даты и времени отправки и получения». Чего не хватает SERC , так это гарантий при высоком уровне безопасности, в первую очередь, идентификации отправителя. А затем получателя, на этапах, предшествующих передаче данных. И это именно те функции и стандарты, которые гарантирует Электронная служба квалифицированной сертифицированной доставки (SERCQ). В контексте Европейского Союза системы SERC и SERCQ в настоящее время широко распространены на всех уровнях. Италия в этом отношении представляет собой аномалию.

В настоящее время у нас есть только PEC в Италии. Однако итальянское законодательство уже разрешает использование услуг SERCQ: в переводе это лишь вопрос времени, когда они широко распространятся и здесь. Подготовка к этому заранее может стать важным конкурентным преимуществом.

Также обратите внимание на еще один аспект. На горизонте ожидаются некоторые важные разработки исключительно в области PEC, которые вскоре могут адаптироваться к стандартам SERCQ. Мы поговорим об этом в следующем разделе.

Будущее PEC указывает на SERCQ

PEC (сертифицированная электронная почта) — это то, с чем мы все знакомы. Теперь это повседневный инструмент для большого сегмента профессионалов и других людей. По последним доступным данным, существует более 14 миллионов активных адресов PEC ; в то время как в 2016 году их было от 7 до 8 миллионов.

Упрощая, можно сказать, что ПЭК соответствует старому заказному письму с уведомлением о вручении; и, как мы указывали выше, это общеитальянская особенность, которая, однако, адаптируется к европейским стандартам. Но давайте по порядку.

Не вызывает сомнений то, что PEC можно считать сертифицированной службой электронной доставки (SERC), поскольку она соответствует требованиям, изложенным в статье 43 регламента eIDAS, который мы цитировали выше. Однако будьте осторожны: это не может считаться квалифицированной сертифицированной службой электронной доставки (SERCQ).

Различие, по сути, состоит в том, что мы уже выделили чуть выше: в гарантиях отправителя и получателя. В частности, в настоящее время не предусмотрена определенная проверка личности заявителя ящика УИК. Кроме того, также не требуется, чтобы оператор проходил обязательные проверки соответствия со стороны уполномоченных органов. Вот почему спам и некоторые мошеннические сообщения иногда даже попадают в папку «Входящие» сертифицированных почтовых ящиков: PEC имеет более упрощенные (и, следовательно, менее безопасные) процедуры идентификации запрашивающих (более легкие и обходимые, например, чем процедуры, предусмотренные для SPID).

Хорошая новость, однако, заключается в том, что ПЭК не стоит на месте . Его эволюция обсуждается уже некоторое время, и кажется, что путь к его включению в число квалифицированных сертифицированных служб электронной доставки уже хорошо обозначен.

На этом пути следует помнить две аббревиатуры: ETSI и REM . ETSI — Европейский институт стандартов телекоммуникаций. Это стандарты, предназначенные для функциональной совместимости систем цифровой подписи и систем REM в масштабах всего Европейского Союза. А вот и наша вторая аббревиатура: Registered Electronic Mail. Протоколы REM уже включают итальянский PEC.

Не вдаваясь в технические подробности, достаточно сказать, что в 2019 году была создана рабочая группа между агентством Digital Italy, операторами PEC, Uninfo и Assocertificatori, которая дорабатывает технические правила, необходимые для повышения рейтинга PEC, чтобы он мог соответствовать европейским стандартам, необходимым для квалифицированной сертифицированной службы электронной доставки (SERCQ).

Это делается для того, чтобы избежать создания альтернативных инструментов. На самом деле замена такого широко используемого и развернутого инструмента, как CEM, была бы медленной, очень неэффективной и, безусловно, нерентабельной.

Помимо соответствия требованиям — возможности зрелой цифровизации

Когда мы говорим о цифровизации, цифровой идентификации, системах аутентификации и сертификации, мы никогда не должны забывать об этом: это не просто достижения, а возможности, которыми нужно воспользоваться . Прежде всего, это большие преимущества с точки зрения безопасности, прозрачности, удобства и повышения эффективности.

Но есть еще одно ключевое слово, о котором всегда следует помнить: интеграция . Это ключевое слово, которое имеет абсолютно решающее значение, когда мы переходим от сферы частных лиц к сфере компаний.

Словом, настоящая революция, которая превращается в спираль непрерывной оптимизации!