eiDAS 和合格的送货服务:它们是什么以及它们的普及程度

已发表: 2022-10-27

在这篇文章中,我们将专注于一个主要和热门的问题,一些重要的更新即将到来。 我们将从技术和立法问题开始,但这些都对我们所有人的生活产生日常影响:无论是作为个人还是作为公司。

我们谈论的是合格认证交付的电子服务,称为SERCQ。 因此,最好从与当前法规相关的框架开始; 我们将在下一节中讨论。

接下来,我们将看看SERCQ (合格的认证电子交付服务)和SERC (认证的电子交付服务)之间的区别,然后关注PEC ,它是意大利数字和立法生态系统特有的。 在这里,请注意,该领域正在出现新的发展,所有这些都旨在将 PEC 置于统一的欧洲标准中。

让我们按顺序进行。

新的号召性用语

合格的电子证书交付服务和eIDAS

让我们快速解开这个讨论背后的另一个首字母缩略词: eIDAS (电子身份识别、身份验证和信任服务)是欧洲法规 910/2014,专注于内部市场电子交易的电子身份识别和信任服务。

eIDAS 为欧盟公民、企业和公共管理部门之间的安全电子交互提供了通用监管基础 此外,eIDAS 还解决了电子服务以及电子商务和电子商务交易的安全性、透明度和有效性。

除其他外,该法规引入了认证电子交付服务 ( SERC ) 和合格认证电子交付服务 ( SERCQ )。 这两个首字母缩写词可能会产生误导和混淆。 事实上,我们必须密切关注,因为这两种制度之间存在决定性差异,在更广泛的法律和官僚层面产生决定性影响。

在这方面,我们最感兴趣的是第 43 条和第 44 条。 我们将在下面详细解释:

  • 第四十三条 经认证的电子配送服务的法律效力
  1. 通过经认证的电子交付服务发送和接收的数据,不得仅因其电子形式或不符合合格的经认证的电子交付服务的要求而被剥夺法律效力和作为法庭诉讼证据的可采性。
  2. 具有资质的经认证的电子递送服务发送和接收的数据应享有数据完整性推定,该数据由指定的发送者发送,由指定的接收者接收,发送和接收的日期和时间的准确性由指定的发送者指定。合格的认证电子交付服务。
  • 第四十四条:合格认证电子配送服务的要求
  1. 合格的经认证的电子交付服务应符合以下要求:

(a) 它们应由一个或多个合格的信托服务提供者提供;

(b) 确保以高度安全的方式识别发件人;

(c) 确保在数据传输前识别接收者;

(d) 数据的发送和接收由合格的信托服务提供商的高级电子签名或高级电子印章保护,以排除无法检测到数据更改的可能性;

(e) 为发送或接收数据而对数据进行的任何更改均已明确告知数据的发送者和接收者;

(f) 发送和接收的日期和时间以及对数据的任何更改均由合格的电子时间戳指示。

如果数据在两个或多个合格的信托服务提供者之间传输,(a)至(f)中的要求应适用于所有合格的信托服务提供者。

2. 委员会可以通过实施法案确定适用于发送和接收数据过程的标准的参考编号。 如果发送和接收数据的过程符合这些标准,则应假定符合第 1 段中提到的要求。 这些实施条例应按照第 48 条第 2 款规定的审查程序通过。

认证电子交付服务 (SERC) 与合格认证电子交付服务 (SERCQ) 的区别

在这里,我们来到一个敏感而重要的点,即SERCSERCQ之间的区别。 我们上面引用的eIDAS 法规在这方面是详尽无遗的。 但是,让我们在下面清晰而清晰地总结一下。

SERC支持在第三方之间以电子方式传输数据,提供有关传输数据处理的证据,包括数据已发送和接收的证据,并保护传输的数据免受丢失、被盗损坏或未经授权的修改的风险。 它还符合“发送和接收日期和时间的准确性”的要求原则。 SERC首先缺乏的是对发件人身份识别的高度安全性保证。 然后是接收方,在数据传输之前的阶段。 而这些正是合格认证交付电子服务 (SERCQ) 所保证的功能和标准。 在欧盟的背景下, SERCSERCQ系统现在在各个层面都很普遍。 在这方面,意大利是一个反常现象。

目前,我们在意大利只有PEC 。 然而,意大利立法已经允许使用 SERCQ 服务:翻译过来,它们在这里也广泛传播只是时间问题。 提前为此做好准备可能是一项重要的竞争优势。

另外,要注意另一个方面。 仅在 PEC 方面就有一些重要的发展,可能很快就会适应 SERCQ 标准。 我们将在下一节讨论这个问题。

PEC 的未来指向 SERCQ

PEC (认证电子邮件)是我们都熟悉的东西。 它现在是大部分专业人士和其他人的日常工具。 根据最新的可用数据,有超过 1400 万个活跃的 PEC 地址 而在 2016 年,这一数字在 7 到 800 万之间。

简单来说,可以说PEC对应的是有回执的旧挂号信; 而且,正如我们上面所指出的,这是一个全意大利的特色,然而,它正在适应欧洲的标准。 但让我们按顺序进行。

可以肯定的是, PEC 可以被视为认证电子交付服务(SERC),因为它符合我们上面引用的 eIDAS 法规第 43 条中规定的要求。 但是请注意:它不能被视为合格的认证电子交付服务(SERCQ)。

事实上,区别就是我们在上面已经分离出来的:对发送者和接收者的保证。 尤其是,目前并没有规定对 PEC 箱的申请人身份进行一定的验证。 此外,运营商也无需接受指定机构的强制性合规审计。 这就是为什么垃圾邮件和一些诈骗有时甚至会进入认证邮箱的收件箱的原因:PEC 具有更简化(因此不太安全)的程序来识别请求者(例如,比为 SPID 提供的程序更轻松、更容易规避)。

然而,好消息是PEC 并没有停滞不前 它的演变已经讨论了一段时间,并且在将其包含在合格的认证电子交付服务中的方向上似乎已经很明显了。

在这条路径上需要记住两个首字母缩略词: ETSIREM ETSI 是欧洲电信标准协会。 这些是专用于欧盟范围内数字签名系统和 REM 系统互操作性的标准。 这是我们的第二个首字母缩略词:注册电子邮件。 REM 协议已经包括意大利 PEC。

在不迷失技术的情况下,只需说数字意大利机构、PEC 运营商、Uninfo 和 Assocertificatori 于 2019 年成立了一个工作组,该工作组正在最终确定使 PEC “排名”所需的技术规则,以便它能够符合合格认证电子交付服务 (SERCQ) 所需的欧洲标准。

这是为了避免创建替代工具。 事实上,取代像 CEM 这样广泛使用和部署的工具将是缓慢的、非常低效的,而且肯定是不经济的。

超越合规——成熟数字化的机遇

当我们谈论数字化、数字身份、身份验证和认证系统时,我们绝不能忘记这一点:这些不仅仅是实现,而是可以抓住的机会 首先,安全性、透明性、便利性、提高效率方面很大的优势

但是还有一个额外的关键字应该始终牢记在心:集成 当我们从个人领域转向公司领域时,这是一个绝对决定性的关键词。

简而言之,一场真正的革命,变成一个不断优化的螺旋!