eiDAS และบริการจัดส่งที่ผ่านการรับรอง: มันคืออะไรและแพร่หลายแค่ไหน

ในโพสต์นี้ เราจะเน้นที่ประเด็นหลักและประเด็นเฉพาะ โดยมีการอัปเดตที่สำคัญบางส่วนในเร็วๆ นี้ เราจะเริ่มต้นด้วยประเด็นทางเทคนิคและด้านกฎหมาย แต่สิ่งเหล่านี้มีผลกระทบในชีวิตประจำวันของพวกเราทุกคน ทั้งในฐานะบุคคลและในฐานะบริษัท

เรากำลังพูดถึง บริการอิเล็กทรอนิกส์ของการจัดส่งที่ผ่านการรับรองที่ผ่านการรับรอง หรือ ที่เรียกว่า SERCQ เป็นการดีที่จะเริ่มต้นด้วยกรอบที่เกี่ยวข้องกับกฎระเบียบปัจจุบัน เราจะไปที่หัวข้อถัดไป

ต่อไป เราจะมาดูความแตกต่างระหว่าง SERCQ (Qualified Certified Electronic Delivery Service) และ SERC (Certified Electronic Delivery Service) จากนั้นจึงเน้นที่ PEC ซึ่งเจาะจงสำหรับระบบนิเวศดิจิทัลและกฎหมายของอิตาลี ในที่นี้ โปรดทราบว่าการพัฒนาใหม่กำลังมาในด้านนี้ และทั้งหมดนี้มีจุดมุ่งหมายเพื่อให้ PEC อยู่ในมาตรฐานยุโรปที่เป็นหนึ่งเดียว

มาดำเนินการตามลำดับ

บริการจัดส่งใบรับรองอิเล็กทรอนิกส์ที่ผ่านการรับรองและ eIDAS

เรามาแกะคำย่ออื่นที่อยู่เบื้องหลังการสนทนานี้กันอย่างรวดเร็ว: eIDAS (บริการระบุตัวตนอิเล็กทรอนิกส์ การตรวจสอบสิทธิ์ และความน่าเชื่อถือ) คือ ระเบียบยุโรป 910/2014 ที่เน้นไปที่บริการระบุตัวตนทางอิเล็กทรอนิกส์และความน่าเชื่อถือสำหรับธุรกรรมทางอิเล็กทรอนิกส์ในตลาดภายใน

eIDAS กำหนดหลักเกณฑ์ ทั่วไปสำหรับการโต้ตอบทางอิเล็กทรอนิกส์ที่ปลอดภัยระหว่างพลเมือง ธุรกิจ และหน่วยงานภาครัฐในสหภาพ ยุโรป นอกจากนี้ eIDAS ยังระบุถึงความปลอดภัย ความโปร่งใส และประสิทธิภาพของบริการอิเล็กทรอนิกส์และธุรกรรมอีคอมเมิร์ซและอีคอมเมิร์ซ

เหนือสิ่งอื่นใด ข้อบังคับนี้แนะนำบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง ( SERC ) และบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง ( SERCQ ) คำย่อทั้งสองนี้อาจทำให้เข้าใจผิดและสับสน ที่จริงแล้ว เราต้องให้ความสนใจอย่างใกล้ชิด เนื่องจากมี ความแตกต่างที่ชัดเจนระหว่างสองระบบ ซึ่งมีผลกระทบอย่างเด็ดขาดในระดับกฎหมายและระบบราชการโดยทั่วไปมากกว่า

ในเรื่องนี้ บทความ 43 และ 44 เป็นที่สนใจของเรามากที่สุด เราจะอธิบายรายละเอียดด้านล่าง:

• ข้อ 43: ผลทางกฎหมายของบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง

1. ข้อมูลที่ส่งและรับโดยบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองจะไม่ถูกปฏิเสธผลกระทบทางกฎหมายและการยอมรับเป็นหลักฐานในการพิจารณาคดีในศาลเพียงเพราะรูปแบบอิเล็กทรอนิกส์ของพวกเขาหรือเนื่องจากไม่เป็นไปตามข้อกำหนดของบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง
2. ข้อมูลที่ส่งและรับโดยบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองจะต้องได้รับการสันนิษฐานถึงความสมบูรณ์ของข้อมูล การส่งข้อมูลดังกล่าวโดยผู้ส่งที่ระบุ การรับโดยผู้รับที่ระบุ และความถูกต้องของวันที่และเวลาของการส่งและรับที่ระบุโดย บริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง

• ข้อ 44: ข้อกำหนดสำหรับบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง

1. บริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรองจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:

(a) ผู้ให้บริการทรัสต์จะให้บริการโดยผู้ให้บริการทรัสต์ที่มีคุณสมบัติอย่างน้อยหนึ่งราย

(b) ตรวจสอบให้แน่ใจว่ามีการระบุตัวตนของผู้ส่งที่มีความปลอดภัยในระดับสูง

(c) ตรวจสอบให้แน่ใจว่ามีการระบุตัวผู้รับก่อนการส่งข้อมูล

(d) การส่งและรับข้อมูลได้รับการรักษาความปลอดภัยด้วยลายเซ็นอิเล็กทรอนิกส์ขั้นสูงหรือตราประทับอิเล็กทรอนิกส์ขั้นสูงของผู้ให้บริการทรัสต์ที่มีคุณสมบัติเหมาะสม เพื่อแยกความเป็นไปได้ของการเปลี่ยนแปลงข้อมูลที่ไม่สามารถตรวจพบได้

(จ) การเปลี่ยนแปลงใด ๆ กับข้อมูลที่จำเป็นในการส่งหรือรับข้อมูลจะถูกระบุอย่างชัดเจนต่อผู้ส่งและผู้รับข้อมูล

(f) วันที่และเวลาที่ส่งและรับและการเปลี่ยนแปลงใด ๆ กับข้อมูลจะถูกระบุโดยการประทับเวลาอิเล็กทรอนิกส์ที่ผ่านการรับรอง

ในกรณีที่ข้อมูลถูกถ่ายโอนระหว่างผู้ให้บริการทรัสต์ที่มีคุณสมบัติสองรายขึ้นไป ข้อกำหนดใน (a) ถึง (f) จะนำไปใช้กับผู้ให้บริการทรัสต์ที่มีคุณสมบัติทั้งหมด

2. คณะกรรมาธิการอาจกำหนดหมายเลขอ้างอิงของมาตรฐานที่ใช้กับกระบวนการส่งและรับข้อมูลโดยใช้วิธีการดำเนินการ การปฏิบัติตามข้อกำหนดที่อ้างถึงในวรรค 1 ให้สันนิษฐานไว้ก่อนว่ากระบวนการส่งและรับข้อมูลเป็นไปตามมาตรฐานเหล่านั้น การดำเนินการเหล่านี้จะต้องนำมาใช้ตามขั้นตอนการตรวจสอบที่อ้างถึงในมาตรา 48(2)

ความแตกต่างระหว่างบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง (SERC) และบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง (SERCQ)

ในที่นี้ เรามาถึงจุดที่ละเอียดอ่อนและสำคัญ ประเด็นที่เกี่ยวกับความแตกต่างระหว่าง SERC และ SERCQ กฎระเบียบ eIDAS ที่เรายกมาข้างต้นนั้นมีความครบถ้วนสมบูรณ์ในเรื่องนี้ แต่ขอสรุปไว้ด้านล่างอย่างเฉียบคมและชัดเจน

SERC ช่วยให้สามารถส่งข้อมูลระหว่างบุคคลที่สามทางอิเล็กทรอนิกส์ ให้หลักฐานเกี่ยวกับการประมวลผลข้อมูลที่ส่ง รวมถึงหลักฐานที่แสดงว่าข้อมูลนั้นส่งและรับแล้ว และปกป้องข้อมูลที่ส่งจากความเสี่ยงของการสูญหาย ความเสียหายจากการถูกขโมย หรือการแก้ไขโดยไม่ได้รับอนุญาต นอกจากนี้ยังเป็นไปตามหลักการที่กำหนดของ "ความถูกต้องของวันที่และเวลาของการส่งและรับ" สิ่งที่ SERC ขาดไปคือการรับประกันด้วยความปลอดภัยระดับสูงในการระบุตัวตนของผู้ส่งก่อนอื่น แล้วของผู้รับในขั้นตอนก่อนการส่งข้อมูล และนี่คือคุณสมบัติและมาตรฐานที่ได้รับการรับรองโดย Electronic Service for Qualified Certified Delivery (SERCQ) ในบริบทของสหภาพยุโรป ระบบ SERC และ SERCQ แพร่หลายในทุกระดับ อิตาลีในแง่นี้เป็นความผิดปกติ

ขณะนี้ เรามี PEC เฉพาะ ในอิตาลีเท่านั้น อย่างไรก็ตาม กฎหมายของอิตาลีอนุญาตให้ใช้บริการของ SERCQ ได้อยู่แล้ว: แปลแล้ว ต้องใช้เวลาอีกไม่นานก่อนที่จะเผยแพร่ในที่นี้เช่นกัน การเตรียมตัวล่วงหน้าอาจเป็นข้อได้เปรียบในการแข่งขันที่สำคัญ

ยังให้ความสนใจกับแง่มุมอื่น มีการพัฒนาที่สำคัญบางอย่างบนขอบฟ้าด้าน PEC เท่านั้น ซึ่งอาจปรับให้เข้ากับมาตรฐาน SERCQ ในไม่ช้า เราจะพูดถึงเรื่องนี้ในหัวข้อถัดไป

อนาคตของ PEC มุ่งสู่ SERCQ

PEC (Certified Electronic Mail) เป็นสิ่งที่เราทุกคนคุ้นเคย ปัจจุบันเป็นเครื่องมือในชีวิตประจำวันสำหรับมืออาชีพกลุ่มใหญ่และอื่นๆ ตามข้อมูลล่าสุดที่มีอยู่ มีที่ อยู่ PEC ที่ใช้งานอยู่มากกว่า 14 ล้านที่อยู่ ; ในขณะที่ในปี 2559 มีจำนวนระหว่าง 7 ถึง 8 ล้านคน

พูดง่ายๆ ได้ว่า PEC สอดคล้องกับจดหมายลงทะเบียนฉบับเก่าพร้อมใบเสร็จรับเงิน และดังที่เราได้กล่าวไว้ข้างต้น มันเป็นลักษณะเฉพาะของอิตาลีทั้งหมดซึ่งกำลังปรับให้เข้ากับมาตรฐานยุโรป แต่ให้เราดำเนินการตามลำดับ

สิ่งที่แน่นอนคือ PEC ถือได้ว่าเป็นบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรอง (SERC) เนื่องจากเป็นไปตามข้อกำหนดที่กำหนดไว้ในมาตรา 43 ของระเบียบ eIDAS ที่เรายกมาข้างต้น อย่างไรก็ตาม ระวัง: ไม่ถือว่าเป็นบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง (SERCQ)

อันที่จริง ความแตกต่างคือสิ่งที่เราได้แยกออกมาแล้วข้างต้น: การรับประกันผู้ส่งและผู้รับ โดยเฉพาะอย่างยิ่งในปัจจุบันยังไม่มีข้อกำหนดสำหรับการยืนยันตัวตนของผู้สมัครกล่อง PEC นอกจากนี้ยังไม่มีข้อกำหนดสำหรับผู้ปฏิบัติงานที่จะต้องได้รับการตรวจสอบการปฏิบัติตามข้อกำหนดโดยหน่วยงานที่ได้รับมอบหมาย นี่คือสาเหตุที่บางครั้งสแปมและกลโกงบางอย่างถึงกับส่งเข้าไปในกล่องจดหมายของกล่องจดหมายที่ผ่านการรับรอง: PEC มีขั้นตอนที่ง่ายกว่า (จึงมีความปลอดภัยน้อยกว่า) สำหรับการระบุผู้ร้องขอ (เช่น เบากว่าและสามารถหลีกเลี่ยงได้มากกว่าที่กำหนดไว้สำหรับ SPID)

ข่าวดีก็คือว่า PEC ไม่ได้หยุด นิ่ง วิวัฒนาการของมันได้รับการกล่าวถึงมาระยะหนึ่งแล้ว และเส้นทางนี้ดูเหมือนจะถูกทำเครื่องหมายไว้อย่างดี ในทิศทางของการรวมเข้ากับบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง

มีคำย่อสองคำที่ควรคำนึงถึงในเส้นทางนี้ : ETSI และ REM ETSI เป็นสถาบันมาตรฐานโทรคมนาคมแห่งยุโรป เหล่านี้เป็นมาตรฐานที่อุทิศให้กับระบบลายเซ็นดิจิทัลและระบบ REM ที่ทำงานร่วมกันทั่วทั้งสหภาพยุโรป และนี่คือตัวย่อที่สองของเรา: Registered Electronic Mail โปรโตคอล REM รวม PEC ของอิตาลีแล้ว

โดยไม่หลงทางด้านเทคนิค ก็พอจะพูดได้ว่า มีการจัดตั้งคณะทำงานขึ้นในปี 2019 ระหว่าง Digital Italy Agency, ผู้ดำเนินการ PEC, Uninfo และ Assocertificatori ที่กำลังสรุปกฎทางเทคนิคที่จำเป็นเพื่อให้ PEC “อันดับขึ้น” ได้ เป็นไปตามมาตรฐานยุโรปที่จำเป็นสำหรับบริการจัดส่งทางอิเล็กทรอนิกส์ที่ผ่านการรับรองที่ผ่านการรับรอง (SERCQ)

เพื่อหลีกเลี่ยงการสร้างเครื่องมือทางเลือก อันที่จริง การเปลี่ยนเครื่องมือที่ใช้กันอย่างแพร่หลายและปรับใช้อย่าง CEM จะช้า ไม่มีประสิทธิภาพมาก และไม่ประหยัดอย่างแน่นอน

นอกเหนือจากการปฏิบัติตามข้อกำหนด – โอกาสในการแปลงเป็นดิจิทัลอย่างเต็มที่

เมื่อเราพูดถึงการทำให้เป็นดิจิทัล อัตลักษณ์ดิจิทัล การรับรองความถูกต้อง และระบบการรับรอง เราต้องไม่ลืมสิ่งนี้: สิ่งเหล่านี้ไม่ใช่แค่การปฏิบัติตามข้อกำหนดเท่านั้น แต่ ยังมีโอกาสที่จะ ถูก ยึดครอง ประการแรก มี ข้อดีอย่างมาก ในแง่ของ ความปลอดภัย ความโปร่งใส ความสะดวก และ ประสิทธิภาพที่ เพิ่มขึ้น

แต่มีคำหลักเพิ่มเติมที่ควรจำไว้เสมอ: การบูรณา การ นี่เป็นคำสำคัญที่ชี้ขาดอย่างยิ่งเมื่อเราเปลี่ยนจากขอบเขตของปัจเจกมาเป็นของบริษัท

ในระยะสั้นการปฏิวัติที่แท้จริงซึ่งกลายเป็นเกลียวของการเพิ่มประสิทธิภาพอย่างต่อเนื่อง!