5 Elektronický podpis
5.2 Autorizovaní poskytovatelé certifika č ních služeb
Společnost První certifikační autorita, a.s. (ICA) je ode dne 18. 3. 2002 oprávněna poskytovat služby v oblasti kvalifikovaných certifikátů jako poskytovatel certifikačních služeb akreditovaný Ministerstvem informatiky ve smyslu zákona č. 227/2000 Sb. o elektronickém podpisu. Společnost vydává jak komerční certifikáty, které ale pro komunikaci s orgány státní správy nejsou dostačující, tak i kvalifikované certifikáty a časová razítka.
15 citace ze Zákona č. 227/2000Sb. o elektronickém podpisu, paragraf 2k)
16 citace ze Zákona č. 227/2000Sb. ve znění pozdějších předpisů, paragraf 2e)
Právě kvalifikované certifikáty jsou spolu s příslušnými daty pro vytváření elektronického podpisu vhodné a použitelné pro elektronický podpis, šifrování a autentizaci. Jsou vydávány fyzickým osobám na základě řádně vyplněné žádosti a proti předložení požadovaných dokladů pro ověření totožnosti žadatele.
Povinnosti držitelů kvalifikovaných certifikátů jsou podle Certifikační politiky I.CA následující:
bez zbytečného odkladu podávat přesné, pravdivé a úplné informace autoritě, a to informace vztahující se ke kvalifikovanému certifikátu
seznámit se s veškerými ustanoveními smlouvy o používání kvalifikovaného certifikátu a dodržovat je
Podepisující osoba se samozřejmě musí řídit také zákonem o elektronickém podpisu.
I.CA nabízí svůj „Kvalifikovaný certifikát standard“ za cenu 752,– Kč s DPH (ke dni 25. října 2005), přičemž doba jeho platnosti je 12 měsíců. Dražší variantou je „kvalifikovaný certifikát comfort“ za Kč 1728,– Kč (při nákupu 10 a více kusů se sníží cena jednoho na 1663,– Kč), v jehož ceně je zahrnuta také čipová karta a ovládací SW I.CA. Certifikát s čipovou kartou nejenom výrazně zvyšuje bezpečnost celého řešení, ale hlavně zdůrazňuje mobilitu klienta. V důsledku toho se minimalizuje riziko zneužití. I.CA nabízí i variantu karty s magnetickým proužkem, kterou pak klient může současně pro své zaměstnance používat například jako automatickou evidenci docházky, nebo využívat ve stravovacích systémech.
První certifikační a.s. nabízí jenom v Praze více než 40 pracovišť pro vydávání komerčních a kvalifikovaných certifikátů I.CA. Zneplatnění jakéhokoli certifikátu je prováděno zdarma.
Od 1. září 2005 se dalším poskytovatelem kvalifikovaných certifikátů pro elektronické podpisy stala Česká pošta a ukončila tak tříletý monopol První certifikační autority na trhu kvalifikovaných certifikátů. Současně se také od 1. září 2005 pošta stala prvním poskytovatelem certifikačních služeb nabízejícím kvalifikované systémové certifikáty, tj. certifikáty pro ověření elektronické značky.
Česká pošta bude obě služby nabízet prostřednictvím certifikační autority nazvané PostSignum QCA, a to nejprve na sedmi pobočkách v Praze, Českých Budějovicích, Plzni, Ústí nad Labem, Pardubicích, Brně a Ostravě. Od prosince 2005 plánovala Česká Pošta rozšířit počet kontaktních pracovišť na 70 míst a s rozšiřováním plánují
pokračovat i poté. Česká pošta nabízí certifikát pro vytvoření elektronického podpisu za 190 Kč (včetně DPH), což umožňuje jeho využití daleko širší veřejností jak z oblasti firem, tak i občanů.
Dne 27. 9. 2005 nabylo účinnosti rozhodnutí Ministerstva informatiky ČR, kterým ministerstvo udělilo akreditaci pro výkon činnosti akreditovaného poskytovatele certifikačních služeb již třetí společnosti, a to akciové společnosti eIdentity. Ta bude vydávat nejenom kvalifikované certifikáty, ale také kvalifikované systémové certifikáty. Své služby by měla zahájit během listopadu 2005. Společnost bude nabízet kvalifikovaný certifikát za cenu 702,– Kč s DPH a kvalifikovaný systémový certifikát za K4 3451,– s DPH, přičemž platnost obou je stanovena na 12 měsíců. tabulka 3 - Srovnání cen kvalifikovaných certifikátů poskytovaných jednotlivými akreditovanými poskytovateli certifikačních služeb
Zdroj: webové stránky jednotlivých poskytovatelů (Pozn: ceny jsou uvedeny včetně DPH ke dni 2. 11. 2005; platnost všech certifikátů je omezena na 12 měsíců)
Ode dne 26. července 2004 je účinná zásadní novela zákona o elektronickém podpisu (č. 440/2004 Sb.), která nově zavádí pojem kvalifikovaného časového razítka a také umožňuje používat elektronickou značku. Smyslem novely bylo dosáhnout kompatibility se Směrnicí Evropského Parlamentu a Rady č. 1999/93/ES ze dne 12. července 1999 o zásadách Společenství pro elektronické podpisy. Novela se dále zabývá také elektronickými veřejnými listinami, jinak také nazývanými jako
„výpisy z evidencí vedených orgány veřejné správy opatřené elektronickým podpisem nebo elektronickou značkou.“
5.2.1 Elektronická značka
Podle novely zákona elektronickou značku představují „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky:
1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu
2. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou
výhradní kontrolou
3. jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat.“ 17
Podle zákona o elektronickém podpisu je označující osobou „fyzické osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou.“18 I přes nesporné přednosti elektronické značky je při rozhodování o tom, zda použít elektronickou značku nebo elektronický podpis, nutné vycházet z příslušných legislativních norem.
Elektronická značka – někdy také nazývaná jako elektronické razítko – byla zavedena v ČR jako v první evropské zemi. Koncepce značky pochází ze Spojených států a její hlavní výhodou je, že elektronické razítko není vázané na jednu konkrétní osobu tak jako elektronický podpis, ale vztahuje se na celou instituci.
Pomocí elektronické značky tak může data označovat i právnická osoba nebo organizační složka státu. Další předností značky, oproti elektronickému podpisu je, že značkou lze zprávy opatřovat automatizovaně, což se stává téměř nezbytným při velkém množství odesílaných zpráv. Příkladem takového využití může být elektronické přijímání daňového přiznání finančními úřady, kdy je úřad ze zákona povinen potvrdit doručení každé ze zpráv.
Právě elektronické značky jsou nezbytné pro v budoucnu připravované zavedení výpisů ze státních rejstříků na poštách a matrikách. Očekává se také, že elektronické značky budou používány zejména v agendách týkajících se celních řízení, vydávání elektronických výpisů z nejrůznějších databází, při povinnosti potvrzovat přijetí elektronických zpráv aj…
O elektronickou značku může firma žádat na České poště a cena „certifikátu pro ověření elektronické značky FO nebo zaměstnance“ je stanovena na Kč 2856,–
17 citace z Novely č. 440/2004 Zákona o elektronickém podpisu, § 2c)
18 citace ze Zákona č. 227/2000Sb. ve znění pozdějších předpisů, paragraf 2f)
včetně DPH19. Certifikát je platný po dobu jednoho roku a jeho případné zneplatnění se provádí zdarma. Aktuální kontaktní a obchodní místa České pošty jsou k dispozici na stránce http://qca.postsignum.cz/www/offices.php.
5.2.2 Časové razítko
„Časové razítko je nástroj, který hodnověrným způsobem zajišťuje přiřazení aktuálního časového údaje k existujícím datům, informacím, souborům atd. Spojení nezpochybnitelného časového údaje a konkrétních dat je nezbytné zejména pro účely jejich zpětného ověřování v budoucnosti.“20
„Kvalifikovaným časovým razítkem datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem a zaručuje, že uvedená data v elektronické podobě existovala před daným časovým okamžikem,“21
Časové razítko vydává Časová autorita, kterou je opět I.CA. Časová razítka může využít jak jednotlivec, tak i firma. Nejčastěji se používá pro jednoznačné doložení času vzniku nebo existence dokumentu, při provozu elektronických podatelen, při notářských službách, ochraně programových kódů, při uzavírání obchodů on-line aj. Jakmile se klient rozhodne službu časových razítek využívat, rozhodne se pro jeden ze způsobů využívání služby a stanoví počet časových razítek, která bude přibližně měsíčně odebírat, odešle tato data elektronicky do společnosti I.CA. První certifikační mu pak příslušnou cenovou nabídku a návrh smluvních ujednání zašle e-mailem.
5.2.3 Problematika legislativy spojené s využíváním elektronického podpisu
Obchodní firma, která se rozhodla prostřednictvím zaručeného elektronického podpisu komunikovat, se musí nejprve podrobně seznámit s příslušnou legislativou. Podnikatel elektronicky podepisující dokument musí mít například na paměti to, že podle zákona se předpokládá, že se podepisující osoba před podepsáním datové zpráva s jejím obsahem seznámila. Naproti tomu, pokud označující osoba označila datovou zprávu elektronickou značkou, vyplývá ze
19 ke dni 1. 11. 2005, ad stránka: http://qca.postsignum.cz/www/prices.php
20 citace z: http://www.ica.cz/casova_razitka.html (dne 25. 10. 2005)
21 citace z Novely č. 440/2004 Zákona o elektronickém podpisu, § 2r)
zákona předpoklad, že tak učinila automatizovaně, a tedy bez přímého ověření obsahu datové zprávy.
Zásadním důsledkem vyplývajícím z legislativy je to, že držitel elektronického podpisu je odpovědný za všechny dokumenty, které byly jeho podpisem podepsány. V žádném případě nesmí dát svůj elektronický podpis z ruky a musí zajistit, že k němu nikdo kromě něj nebude mít přístup.
Pro problematiku e-Governmentu je také velmi důležitý fakt, který vyplývá z §11, odstavce 2 zákona o elektronickém podpisu, a to, že „Písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým podpisem, mají stejné právní účinky jako veřejné listiny vydané těmito orgány.“ Toto zavedení elektronických veřejných listin do českého právního řádu je velmi důležitým krokem pro e-Government.