facebook LinkedIN LinkedIN - follow
Hlavní strana -> Časopis IT Systems -> Rok 2019 -> IT Systems 4/2019 -> Kvalifikovaná pečeť
IT SYSTEMS 4/2019 , DMS/ECM - Správa dokumentů

Kvalifikovaná pečeť

Michal Hanzal

Elektronické pečetěníV září loňského roku vypršela přechodná zákonná možnost použití elektronických značek na místo elektronických pečetí. Což zejména pro množství státních organizací znamenalo nutnost zabývat se tím, jak naplní literu zákona a začnou své elektronické dokumenty opatřovat kvalifikovanými elektronickými pečetěmi.


Definice elektronických pečetí

Hlavními předpisy definující elektronické pečetě v ČR jsou eIDAS a zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZoSVD). Podobně jako u elektronických podpisů se rozlišují úrovně elektronických pečetí:

  • Zaručené elektronické pečetě (eIDAS, čl. 3, odst. 26; čl. 36) – v praxi zaručená pečeť znamená, že je vytvořena podle technických standardů AdES a pomocí certifikátu, který odpovídá požadavkům eIDAS (eIDAS, příloha III).
  • Uznávané elektronické pečetě (ZoSVD, §9, odst. 2) – platí požadavky na zaručenou pečeť, a navíc musí být použit kvalifikovaný certifikát.

Kvalifikované elektronické pečetě (eIDAS, čl. 3, odst. 27) – opět platí požadavky na uznávanou elektronickou pečeť, ale navíc je nutné, aby byly vytvářeny prostřednictvím kvalifikovaných prostředků pro vytváření elektronických pečetí (tzv. QSCD).

Pečetě jsou využívány právnickými osobami k prokázání původu elektronickou pečetí opatřeného dokumentu, nebo obecně elektronických dat, tzn. toho, že zapečetěný dokument (data) vznikl v určité organizaci. Fyzická osoba nemůže disponovat elektronickou pečetí, a naopak právnická osoba nemůže disponovat elektronickým podpisem (v rámci právnických osob elektronickými podpisy disponují její zaměstnanci).

Povinnost použití elektronických pečetí

Použití elektronických pečetí v definovaných úrovních určuje ZoSVD a to takto:

  • Kvalifikovanou elektronickou pečeť mají povinnost používat veřejnoprávní podepisující při výkonu své působnosti (§8).
  • Alespoň uznávanou (lze dobrovolně použít i kvalifikovanou) elektronickou pečeť mají povinnost používat subjekty, které jednají vůči veřejnoprávnímu podepisujícímu (§9).

Jakoukoli úroveň elektronické pečetě lze použít ve všech ostatních případech. Např. obchodní korporace mohou při komunikaci mezi sebou nebo s fyzickými osobami dobrovolně použít kvalifikovanou, uznávanou, zaručenou úroveň elektronické pečetě, nebo také žádnou (§10). Záleží tedy na dohodě (smluvním vztahu) mezi danými subjekty.

QSCD – kvalifikované prostředky pro vytváření elektronických pečetí

Pro vytváření kvalifikovaných pečetí je nutné použít kvalifikovaných prostředků pro vytváření elektronických pečetí, tzv. QSCD zařízení (někdy též QSealCD, z anglického Qualified Seal Creation Device). QSCD jsou speciální, zpravidla hardwarová, zařízení, určená k práci s kryptografickými klíči a k provádění kryptografických operací. V praxi se setkáváme zejména s hardwarovými QSCD v podobě USB tokenů, čipových karet, nebo specializovaných serverových zařízení HSM (z anglického Harware Security Module).

Aby určité zařízení mohlo být považováno za QSCD musí splňovat požadavky stanované nařízením eIDAS a certifikace daného zařízení musí být zveřejněna v pravidelně zveřejňovaném seznamu QSCD.

Jak vyřešit kvalifikovanou pečeť prakticky

Vytváření kvalifikovaných pečetí lze v organizaci vyřešit v zásadě dvěma způsoby:

  1. Využívání služby kvalifikovaného elektronického pečetění některého z kvalifikovaných poskytovatelů
  2. Implementace prostředků pro vytváření kvalifikovaných pečetí on-premise

On-Premise kvalifikovaná pečeť

Výhodami provozu infrastruktury pro kvalifikovanou pečeť ve vlastní správě organizace jsou zejména:

  • škálovatelný výkon i dostupnost prvků pro kvalifikované pečetění,
  • možnosti integrace prostřednictvím SOAP rozhraní webových služeb,
  • široké možnosti dalšího využití HSM:
    • správa dalších kryptografických klíčů (např. pro vzdálené vytváření elektronických podpisů),
    • zabezpečení klíčů pro interní certifikační autority,
    • šifrování dat databází nebo datových úložišť,
    • akcelerace SSL,
    • zabezpečení autentizačních a auditních řešení,
  • cena nezávislá na počtu pečetěných dokumentů


Michal Hanzal
Autor článku je Solution Consultant ve společnosti SEFIRA, která nabízí kompletní služby pro implementaci infrastruktury pro kvalifikované elektronické pečetění zahrnující dodávku HSM a jeho nastavení do módu QSCD, přes dodávku systému OBELISK Signer jako integračního middleware pro využívání pečetících klíčů spravovaných s HSM, po konzultace a správu celého řešení kvalifikovaných pečetí. Více informací naleznete na www.sefira.cz/kvalifikovana-pecet

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Modernizace IS je příležitost přehodnotit způsob práce

IT Systems 4/2025V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.