Załatwianie spraw urzędowych czy biznesowych bez papieru staje się normą. Podpisujemy umowy przez internet, wystawiamy faktury elektronicznie, wysyłamy ważne dokumenty e-mailem. Jak jednak upewnić się, że te cyfrowe dokumenty są wiarygodne, a ich treść nienaruszona? Z pomocą przychodzą usługi zaufania cyfrowego – zestaw narzędzi gwarantujących bezpieczeństwo i autentyczność e-dokumentów. Choć brzmi to technicznie, w praktyce chodzi o cyfrowe odpowiedniki znanych nam rozwiązań: podpisu własnoręcznego, firmowej pieczątki, stempla z datą czy listu poleconego – tylko że w wydaniu elektronicznym.
Mówiąc wprost, usługi zaufania cyfrowego to narzędzia i technologie, które zapewniają integralność i autentyczność dokumentów oraz komunikacji elektronicznej. Dzięki nim możemy ufać, że e-dokument nie został zmieniony, a tożsamość podpisującego została zweryfikowana. Regulacja eIDAS (rozporządzenie UE) nadała tym usługom ramy prawne – np. kwalifikowany podpis elektroniczny został uznany za równoważny podpisowi odręcznemu we wszystkich krajach UE. Jakie konkretnie rozwiązania zaliczamy do usług zaufania? Oto najważniejsze:
(Uwaga: Rozporządzenie eIDAS wymienia również certyfikaty uwierzytelniania witryn internetowych jako usługę zaufania, choć w kontekście tego artykułu skupiamy się głównie na usługach związanych z dokumentami elektronicznymi.)
Coraz częstsze wykorzystanie tych usług wynika z oszczędności czasu i wygody, jakie dają cyfrowe dokumenty. E-podpisy i e-pieczęcie pozwalają załatwiać sprawy zdalnie, bez drukowania i odręcznego podpisywania stosów papierów. Elektroniczny dokument opatrzony kwalifikowanym podpisem lub pieczęcią może w wielu procedurach zastąpić dokument papierowy – oczywiście pod warunkiem zachowania jego wiarygodności na przestrzeni czasu. I tu dochodzimy do sedna problemu: jak zagwarantować długoterminową ważność tak podpisanych plików? Dokument podpisany dziś musi być przecież weryfikowalny i ważny również za kilka czy kilkanaście lat, zwłaszcza gdy przechowujemy go w archiwum. To właśnie stanowi kluczowe wyzwanie w świecie cyfrowych dokumentów.
Kwalifikowany podpis elektroniczny (QES) opiera się na kwalifikowanym certyfikacie wydawanym przez dostawcę usług zaufania na określony czas – najczęściej rok, dwa lub trzy lata. W okresie ważności certyfikatu każdy dokument podpisany tym podpisem jest traktowany jako ważnie podpisany. Systemy weryfikujące bez problemu potwierdzają ważność e-podpisu w trakcie ważności certyfikatu.
Problem pojawia się po wygaśnięciu certyfikatu. Dokument wciąż pozostaje prawnie podpisany, bo przecież podpis był ważny w momencie złożenia – jednak udowodnienie tego faktu po latach może okazać się trudne, jeśli nie zadbamy o dodatkowe zabezpieczenia. Mówiąc obrazowo: e-podpis ma swój „termin ważności” zależny od certyfikatu. Gdy certyfikat traci ważność, po pewnym czasie programy mogą zacząć zgłaszać przy weryfikacji komunikat, że podpis jest nieważny albo „niepewny”. Dlaczego? Bo jego certyfikat wygasł, a system nie ma pewności, czy podpis faktycznie złożono, zanim to nastąpiło, czy może dokument został podpisany dopiero potem (już nieważnym certyfikatem). Brzmi absurdalnie, ale takie sygnały ostrzegawcze dają nam narzędzia do weryfikacji, gdy brakuje dodatkowych danych potwierdzających czas złożenia podpisu.
Dla lepszego zobrazowania problemu posłużmy się przykładem. Pan Jan podpisał ważny kontrakt kwalifikowanym e-podpisem i spokojnie zachował plik na komputerze. Certyfikat Pana Jana jednak wygasł po roku, a nasz bohater nie zastosował żadnych dodatkowych zabezpieczeń. Po kilkunastu miesiącach doszło do sporu sądowego z kontrahentem i nagle okazało się, że oprogramowanie do weryfikacji wskazuje podpis w kontrakcie jako „nieważny” – certyfikat stracił ważność, brak aktualnych list unieważnień, jednym słowem podpis jakby się „przedawnił”. Sąd miał wątpliwości, czy umowę faktycznie podpisano w czasie obowiązywania certyfikatu Pana Jana, bo w pliku nie było dowodu na konkretną datę złożenia podpisu. Krótko mówiąc, brak przygotowania dokumentu do długotrwałego przechowywania podważył jego moc dowodową – Pan Jan nie zadbał, by w przyszłości móc udowodnić ważność swojego e-podpisu.
Ten przykład dobitnie pokazuje, że podpis elektroniczny nie jest „jednorazowy” – jeśli dokument ma zachować moc prawną, musimy pomyśleć o jego weryfikowalności na przestrzeni lat. Na szczęście jest na to sposób.
Rozwiązaniem problemu Pana Jana (i każdego, kto chce długo przechowywać e-dokumenty) jest kwalifikowany znacznik czasu. To nic innego jak specjalny, zaufany stempel czasowy, który potwierdza datę i godzinę podpisania dokumentu. Dostawca znacznika czasu korzysta z niezależnego, synchronizowanego źródła czasu – dzięki temu znacznik jest obiektywny i wiarygodny. Gdy opatrzymy podpisany plik znacznikiem czasu, to nawet jeśli później certyfikat podpisującego wygaśnie lub zostanie unieważniony, mamy żelazny dowód, że podpis istniał i był ważny w chwili oznaczonej datą.
Mówiąc obrazowo, znacznik czasu „zamraża” stan dokumentu i podpisu w momencie jego naniesienia. Po latach, gdy zajdzie potrzeba weryfikacji, można wykazać, że podpis był ważny w oznaczonym czasie – tak, jak fotografia z datownikiem potwierdza, jak coś wyglądało w danej chwili. W świecie e-dokumentów to kluczowe dla utrzymania mocy prawnej długo przechowywanych plików. Dobra praktyka mówi wręcz, by dodawać znacznik czasu od razu podczas podpisywania dokumentu – wtedy od początku mamy potwierdzenie, że podpis złożono, gdy certyfikat był ważny. Gdyby Pan Jan opatrzył swoją umowę kwalifikowanym znacznikiem czasu, jego problem prawdopodobnie by nie wystąpił – data podpisu byłaby jednoznacznie potwierdzona.
Czy to jednak wystarczy na zawsze? Pojedynczy znacznik czasu znakomicie dokumentuje chwilę złożenia podpisu, ale jeśli planujemy przechowywać e-dokument przez wiele lat (np. 5, 10, a nawet 50), to sam jeden stempel może nie wystarczyć. Za kilka lat mogą zmienić się technologie, algorytmy zabezpieczające czy polityki certyfikacyjne. Dlatego oprócz jednorazowego ostemplowania dokumentu czasem, warto pomyśleć o dalszych działaniach konserwacyjnych – czyli o tym, jak utrzymać podpis żywy i ważny mimo upływu czasu.
Już w kolejnym artykule: Podpis elektroniczny na lata – konserwacja i archiwizacja dokumentów w praktyce opowiemy o tym, na czym polega konserwacja podpisu elektronicznego i jak bezpiecznie archiwizować podpisane dokumenty, aby pozostały ważne przez długie lata. Zapraszamy do lektury drugiej części – bo e-podpis, tak jak cenny obraz, też wymaga odpowiedniej troski, by nie stracił blasku.
