eiDAS 和合格的送貨服務:它們是什麼以及它們的普及程度

已發表: 2022-10-27

在這篇文章中,我們將專注於一個主要和熱門的問題,一些重要的更新即將到來。 我們將從技術和立法問題開始,但這些都對我們所有人的生活產生日常影響:無論是作為個人還是作為公司。

我們談論的是合格認證交付的電子服務,稱為SERCQ。 因此,最好從與當前法規相關的框架開始; 我們將在下一節中討論。

接下來,我們將看看SERCQ (合格的認證電子交付服務)和SERC (認證的電子交付服務)之間的區別,然後關注PEC ,它是意大利數字和立法生態系統特有的。 在這裡,請注意,該領域正在出現新的發展,所有這些都旨在將 PEC 置於統一的歐洲標準中。

讓我們按順序進行。

新的號召性用語

合格的電子證書交付服務和eIDAS

讓我們快速解開這個討論背後的另一個首字母縮略詞: eIDAS (電子身份識別、身份驗證和信任服務)是歐洲法規 910/2014,專注於內部市場電子交易的電子身份識別和信任服務。

eIDAS 為歐盟公民、企業和公共管理部門之間的安全電子交互提供了通用監管基礎 此外,eIDAS 還解決了電子服務以及電子商務和電子商務交易的安全性、透明度和有效性。

除其他外,該法規引入了認證電子交付服務 ( SERC ) 和合格認證電子交付服務 ( SERCQ )。 這兩個首字母縮寫詞可能會產生誤導和混淆。 事實上,我們必須密切關注,因為這兩種制度之間存在決定性差異,在更廣泛的法律和官僚層面產生決定性影響。

在這方面,我們最感興趣的是第 43 條和第 44 條。 我們將在下面詳細解釋:

  • 第四十三條 經認證的電子配送服務的法律效力
  1. 通過經認證的電子交付服務發送和接收的數據,不得僅因其電子形式或不符合合格的經認證的電子交付服務的要求而被剝奪法律效力和作為法庭訴訟證據的可採性。
  2. 具有資質的經認證的電子遞送服務發送和接收的數據應享有數據完整性推定,該數據由指定的發送者發送,由指定的接收者接收,發送和接收的日期和時間的準確性由指定的發送者指定。合格的認證電子交付服務。
  • 第四十四條:合格認證電子配送服務的要求
  1. 合格的經認證的電子交付服務應符合以下要求:

(a) 它們應由一個或多個合格的信託服務提供者提供;

(b) 確保以高度安全的方式識別發件人;

(c) 確保在數據傳輸前識別接收者;

(d) 數據的發送和接收由合格的信託服務提供商的高級電子簽名或高級電子印章保護,以排除無法檢測到數據更改的可能性;

(e) 為發送或接收數據而對數據進行的任何更改均已明確告知數據的發送者和接收者;

(f) 發送和接收的日期和時間以及對數據的任何更改均由合格的電子時間戳指示。

如果數據在兩個或多個合格的信託服務提供者之間傳輸,(a)至(f)中的要求應適用於所有合格的信託服務提供者。

2. 委員會可以通過實施法案確定適用於發送和接收數據過程的標準的參考編號。 如果發送和接收數據的過程符合這些標準,則應假定符合第 1 段中提到的要求。 這些實施條例應按照第 48 條第 2 款規定的審查程序通過。

認證電子交付服務 (SERC) 與合格認證電子交付服務 (SERCQ) 的區別

在這裡,我們來到一個敏感而重要的點,即SERCSERCQ之間的區別。 我們上面引用的eIDAS 法規在這方面是詳盡無遺的。 但是,讓我們在下面清晰而清晰地總結一下。

SERC支持在第三方之間以電子方式傳輸數據,提供有關傳輸數據處理的證據,包括數據已發送和接收的證據,並保護傳輸的數據免受丟失、被盜損壞或未經授權的修改的風險。 它還符合“發送和接收日期和時間的準確性”的要求原則。 SERC首先缺乏的是對發件人身份識別的高度安全性保證。 然後是接收方,在數據傳輸之前的階段。 而這些正是合格認證交付電子服務 (SERCQ) 所保證的功能和標準。 在歐盟的背景下, SERCSERCQ系統現在在各個層面都很普遍。 在這方面,意大利是一個反常現象。

目前,我們在意大利只有PEC 。 然而,意大利立法已經允許使用 SERCQ 服務:翻譯過來,它們在這裡也廣泛傳播只是時間問題。 提前為此做好準備可能是一項重要的競爭優勢。

另外,要注意另一個方面。 僅在 PEC 方面就有一些重要的發展,可能很快就會適應 SERCQ 標準。 我們將在下一節討論這個問題。

PEC 的未來指向 SERCQ

PEC (認證電子郵件)是我們都熟悉的東西。 它現在是大部分專業人士和其他人的日常工具。 根據最新的可用數據,有超過 1400 萬個活躍的 PEC 地址 而在 2016 年,這一數字在 7 到 800 萬之間。

簡單來說,可以說PEC對應的是有回執的舊掛號信; 而且,正如我們上面所指出的,這是一個全意大利的特色,然而,它正在適應歐洲的標準。 但讓我們按順序進行。

可以肯定的是, PEC 可以被視為認證電子交付服務(SERC),因為它符合我們上面引用的 eIDAS 法規第 43 條中規定的要求。 但是請注意:它不能被視為合格的認證電子交付服務(SERCQ)。

事實上,區別就是我們在上面已經分離出來的:對發送者和接收者的保證。 尤其是,目前並沒有規定對 PEC 箱的申請人身份進行一定的驗證。 此外,運營商也無需接受指定機構的強制性合規審計。 這就是為什麼垃圾郵件和一些詐騙有時甚至會進入認證郵箱的收件箱的原因:PEC 具有更簡化(因此不太安全)的程序來識別請求者(例如,比為 SPID 提供的程序更輕鬆、更容易規避)。

然而,好消息是PEC 並沒有停滯不前 它的演變已經討論了一段時間,並且在將其包含在合格的認證電子交付服務中的方向上似乎已經很明顯了。

在這條路徑上需要記住兩個首字母縮略詞: ETSIREM ETSI 是歐洲電信標準協會。 這些是專用於歐盟範圍內數字簽名系統和 REM 系統互操作性的標準。 這是我們的第二個首字母縮略詞:註冊電子郵件。 REM 協議已經包括意大利 PEC。

在不迷失技術的情況下,只需說數字意大利機構、PEC 運營商、Uninfo 和 Assocertificatori 於 2019 年成立了一個工作組,該工作組正在最終確定使 PEC “排名”所需的技術規則,以便它能夠符合合格認證電子交付服務 (SERCQ) 所需的歐洲標準。

這是為了避免創建替代工具。 事實上,取代像 CEM 這樣廣泛使用和部署的工具將是緩慢的、非常低效的,而且肯定是不經濟的。

超越合規——成熟數字化的機遇

當我們談論數字化、數字身份、身份驗證和認證系統時,我們絕不能忘記這一點:這些不僅僅是實現,而是可以抓住的機會 首先,安全性、透明性、便利性、提高效率方面很大的優勢

但是還有一個額外的關鍵字應該始終牢記在心:集成 當我們從個人領域轉向公司領域時,這是一個絕對決定性的關鍵詞。

簡而言之,一場真正的革命,變成一個不斷優化的螺旋!