Horodatage qualifié eIDAS : la preuve de date certaine

Az elektronikus időbélyegzést gyakran jellegzetes mellékes technikai részletként kezelik. Valójában ez az elektronikusan aláírt dokumentum bizonyító értékének egyik alapvető pillére. Nélküle a digitális aláírás semmit nem mond arról a pillanatról, amikor azt felhelyezték — egy hiány, amely viták esetén végzetesnek bizonyulhat. Az eIDAS 910/2014 szabályozás kifejezetten bevezette a minősített időbélyegzés fogalmát, amely az Európai Unió összes tagállamában elismert legmagasabb szintű dátumcertifikáció. Ez a cikk feltárja ezt a mechanizmust, technikai követelményeit, jogi hatókörét és azokat a konkrét helyzeteket, amelyekben nélkülözhetetlenné válik.

Mi az eIDAS szerint minősített időbélyegzés?

Meghatározás és időbélyegzési szintek

Az eIDAS szabályozás két kategóriára osztja az elektronikus időbélyegzést:

• Egyszerű elektronikus időbélyegzés: bármely elektronikus adat, amely más adatokhoz dátumot és időt társít. Megkapja az alapított megbízhatóság sejtését (eIDAS 41. cikk).
• Minősített időbélyegzés: magasabb szint, amelyet egy Minősített Megbízható Szolgáltatás Nyújtó (PSCQ) bocsát ki, aki szerepel egy nemzeti megbízhatósági listán. A dátum és az idő pontosságára vonatkozó jogszabályi sejtést és az horodatált adatok integritására vonatkozó sejtést kapja (eIDAS 42. cikk).

Ez a megkülönböztetés alapvető: egy minősített időbélyegzés pontos, amíg az ellenkezője nem bizonyított, amely vita esetén megfordítja a bizonyítási terhet. Az eIDAS 2.0 szabályozás által előírt különböző bizalmi szintekről további információkért olvassa el az eIDAS 2.0 szabályozásról szóló teljes útmutatónkat.

A minősített időbélyegzés technikai követelményei

Az eIDAS szerint minősített horodatásnak meg kell felelnie az 42. cikk által meghatározott szigorú kritériumoknak:

1. A dátumot és az időt az adatokhoz kötni oly módon, hogy ésszerűen kizárják az észrevétlen módosítás bármilyen lehetőségét.
2. Pontos időforrásra támaszkodnia, amely az UTC (Koordinált világidő) alapján mérhető, nyomon követhető és megfelel az ETSI EN 319 421 és EN 319 422 szabványoknak.
3. A minősített PSCQ fejlett elektronikus aláírásával vagy fejlett elektronikus pecsétjével aláírva lenni, vagy ezzel egyenértékű módszerrel.

A gyakorlatban a szolgáltató megkapja a dokumentum titkosítási lenyomatát (hash-t), hozzáadja az aláírt időbélyeg-jelzést, és egy horodatási tokent (timestamp token, TST) ad vissza, amely megfelel az RFC 3161 protokollnak. Ez az eljárás soha nem küldi el a dokumentum tartalmát a szolgáltatónak — csak annak lenyomatát —, amely biztosítja az adatok bizalmasságát.

Megbízhatósági listák és nemzeti felügyelet

Franciaországban az ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) az a felügyeleti hatóság, amely fenntartja a minősített szolgáltatók listáját. Ez a lista XML formátumban kerül közzétételre és integrálódik az európai megbízhatósági listába (EU Trusted List), amely az Európai Bizottság eIDAS portáljának segítségével érhető el. Az itt szereplő minden szolgáltatónak szigorú megfelelőségi auditnak kellett alávetnie magát az ETSI EN 319 401 (általános követelmények) és ETSI EN 319 421 (minősített TSA-k politika profiljának) szabványok szerint.

Amikor elektronikus aláírási megoldást értékel cégének, a döntő választási kritérium annak ellenőrzése, hogy a szolgáltató integrál-e minősített horodatást — és nem csupán egyszerű belső horodatást.

Miért kulcsfontosságú a minősített időbélyegzés a dátum bizonyítékához?

A dátum a digitális bizonyítási lánc során

A minősített elektronikus aláírás bizonyítja, hogy ki írta alá és hogy a dokumentum nem módosult. De nem bizonyítja, hogy mikor helyezték rá az aláírást, kivéve, ha minősített horodatás társul hozzá. Ez a megkülönböztetés számos forgatókönyvben válik kritikusan fontossá:

• Feltalálás előzetes időbeni igazolása: bizonyítandó, hogy egy szabadalom vagy tudás egy meghatározott dátum előtt létezett.
• Szerződéses határidő betartása: bizonyítandó, hogy egy szerződés aláírásakor az ajánlat lejárati előtt történt.
• Hosszú távú bizonyítási archiválás: az elektronikus aláírás titkosítási érvényessége az algoritmusok elavulásával lejárhat (aláírás-öregedés jelenség). A minősített horodatás lehetővé tenné a dokumentum újra-horodatást és bizonyítási értékének meghosszabbítását.

Az aláírások öregedése és az újrahorodatás

A titkosítási algoritmusok fejlődnek. Egy 2015-ben biztonságosnak tartott RSA-2048-alapú aláírási tanúsítvány 2030-ra a kvantumszámítás erősödésével elégtelennek ítélhető. A bizonyítási értékű archiválás az újrahorodatás gyakorlatán alapul: mielőtt az algoritmus feltételezett robusztussága lejárna, egy új minősített horodatást alkalmaznak az egész halmazra (dokumentum + aláírás + előző horodatás), így szüntelen bizalmi lánc jön létre.

Ez a megközelítés az ETSI EN 319 102-2 (fejlett és minősített aláírások ellenőrzésének eljárásai) szabványban van normalizálva, és ajánlott minden olyan dokumentumra, amelyet 10 évnél hosszabb ideig meg kell őrizni — közjegyzői aktusok, hosszú távú kereskedelmi szerződések, orvosi kartonok vagy szabályozási dokumentumok.

Európai interoperabilitás és kölcsönös elismerés

A minősített eIDAS horodatás fő előnyei közül az egyik az automatikus elismerés az összes 27 EU-tagállamban (eIDAS 41.3. cikk). Egy francia PSCQ által kibocsátott minősített horodatás ugyanazokat a jogi hatásokat szüli Németországban, Spanyolországban vagy Lengyelországban. Ez a jogi hordozhatóság különösen értékes azon vállalkozások számára, amelyek több ország európai piacain működnek és több ország partnerével írnak alá szerződéseket. A piacon elérhető különféle megközelítések összehasonlításához az elektronikus aláírási megoldások összehasonlítása részletes elemzést nyújt.

A minősített horodatás integrálása elektronikus aláírási munkafolyamatba

A megfelelő technikai architektúra

Egy minősített elektronikus aláírási folyamatban (QES) az időbélyegzés az aláírt dokumentum több szintjén integrálódik az ETSI által meghatározott hosszú távú aláírási formátumok szerint:

• XAdES-LTA formátum (XML Advanced Electronic Signatures – Long-Term Archive): XML dokumentumokhoz.
• PAdES-LTA formátum (PDF Advanced Electronic Signatures – Long-Term Archive): PDF-ekhez, a vállalatban leggyakoribb formátum.
• CAdES-LTA formátum (CMS Advanced Electronic Signatures – Long-Term Archive): általános bináris fájlokhoz.

Az LTA (Long-Term Archive) utótag pontosan azt a szintet jelöli, amely minősített horodatást és az szükséges visszavonási adatokat tartalmaz a jövőbeli ellenőrzéshez, még a tanúsítványok lejárata után is.

A SaaS aláírási platform szerepe

Az olyan SaaS megoldásban, mint a Certyneo, a minősített horodatás integrálása átlátszó a végfelhasználó számára. A platform:

1. Létrehozza a végleges dokumentum titkosítási lenyomatát.
2. Ez a lenyomatot a partnerként működő minősített TSA-nak (Time Stamping Authority) küldi el egy biztonságos kapcsolaton keresztül.
3. Megkapja az aláírt horodatási tokent (TST).
4. A TST-t beépíti a PDF/A fájlba a PAdES-LTA formátum szerint.
5. Az egészet egy biztonságos, auditálható archiválási környezetben tároljuk.

A felhasználó így olyan dokumentummal rendelkezik, amelynek az aláírás lezárásának dátuma tanúsított és bármely harmadik fél által ellenőrizhető, függetlenül az aláírást végző platform infrastruktúrájától. Ez az ellenőrzési függetlenség gyakran alul becsült kritérium az ajánlattételi eljárások során. Ha azt tervezi, hogy szolgáltatót vált, az útmutató a DocuSign vagy YouSign migrálásához a Certyneóra részletezi az előre megvizsgálandó technikai vigyázati pontokat.

Ellenőrzés és auditálhatóság

Minden minősített horodatással rendelkező PAdES-LTA dokumentum ingyenes, nyílt forráskódú eszközökkel (DSS Library az Európai Bizottságtól) vagy eIDAS-nak megfelelő online validátorral ellenőrizhető. Az ellenőrzés megerősíti:

• Az aláíró személyét (minősített tanúsítvány).
• A dokumentum integritását (az aláírás után nincsenek módosítások).
• A tanúsított dátumot és időt (érvényes TST jeton, TSA a megbízhatósági listán).
• A tanúsítvány nem visszavonásáról az aláírás időpontjában.

Ez az átfogó nyomon követés a jogi csapatuok számára meghatározó előnyt jelent, akik gyakran dokumentumok bizonyítékait kell előterjeszteniük vitákban vagy szabályozási auditok során.

Az időbélyegzésre alkalmazandó jogi keret

Az eIDAS 910/2014 szabályozás

Az Európai Parlament és Tanács (EU) 910/2014 rendelet, 2014. július 23., az úgynevezett eIDAS szabályozás, az Európában alkalmazott minősített horodatás jogi alapja. Kulcsfontosságú rendelkezései:

• 3. cikk (34): az elektronikus horodatást olyan „elektronikus adatként" határozza meg, amely „egyéb elektronikus adatokat egy adott időponthoz kapcsol és bizonyítékot nyújt ezeknek az adatoknak az adott időpontban való meglétéről".
• 41. cikk: az egyszerű elektronikus horodatásoknak az alapított pontosság sejtését adja.
• 42. cikk: meghatározza a horodatás minősítésének feltételeit (nyomon követhető UTC forrás, minősített PSCQ aláírása, titkosítási kapcsolat az adatokkal).
• 42. cikk (2): a minősített horodatásnak a dátum és az idő pontosságára vonatkozó jogszabályi sejtést és az asszociált adatok integritására vonatkozó sejtést adja. Ez a sejtés az EU bármely bírósága előtt érvényes további bizonyítás nélkül.

Az eIDAS 2.0 szabályozás (EU 2024/1183 szabályozás, amely 2024 óta fokozatosan lép életbe) megerősíti ezeket a rendelkezéseket azáltal, hogy kiterjeszti a kereteket az európai digitális identitási tárcáihoz (EUDIW), anélkül hogy megkérdőjelezné a minősített horodatás alapjait.

Francia polgári törvénykönyv — 1366. és 1367. cikkek

A francia jog szerint az 1366. cikk kimondja, hogy „az elektronikus írás ugyanolyan bizonyító erővel rendelkezik, mint a papíralapú írás, feltéve, hogy az azt kibocsátó személy személyazonossága megfelelően azonosítható, és azt olyan körülmények között établissent és conservée, hogy biztosítsa annak integritását". Az 1367. cikk tisztázza a megbízható elektronikus aláírás feltételeit. A minősített horodatás közvetlenül hozzájárul az e cikkek által megkövetelt integritás és biztos dátumozás feltételeihez.

Ezen túlmenően az 2017. szeptember 28-i 2017-1416 számú rendelet az elektronikus aláírásra vonatkozóan kifejezetten az eIDAS szabályozásra utal a francia bíróságok előtt fogadható aláírási szintek meghatározásához.

Adatkezelési és GDPR-kötelezettségek

Az Adatvédelmi Rendelet ((EU) 2016/679 (GDPR)), amely a személyes adatok feldolgozásának bármely kezelésére alkalmazandó, megfelelő műszaki biztonsági intézkedéseket ír elő (32. cikk). A minősített horodatás az adatok integritásának és dátumozásának garantálásával hozzájárul a GDPR-megfelelőséghez a személyes adatokat feldolgozó dokumentumáramlásokban.

Bizonyos szektorok specifikus jogi adatkezelési időtartamokat írnak elő: 5 év a kereskedelmi szerződésekre (Kereskedelmi törvénykönyv L.110-4. cikk), 10 év a polgári adatokra vonatkozóan, 20 év bizonyos orvosi dokumentumokra. Ezekhez a hosszú távú archiválásokhoz a minősített horodatás hiánya és az időszakos újra-horodatás jelentős jogi kockázatot jelent: a dokumentum az adatkezelési kötelezettség lejárata előtt veszítheti el bizonyítási értékét.

Hivatkozást képező ETSI szabványok

• ETSI EN 319 421: politika és biztonsági követelmények a minősített TSA-khoz (Time Stamping Authorities).
• ETSI EN 319 422: horodatási token profil.
• ETSI EN 319 102-1/2: fejlett és minősített aláírások létrehozásának és ellenőrzésének eljárásai, beleértve az horodatást.
• ETSI EN 319 132 (XAdES) és EN 319 122 (CAdES): hosszú távú aláírási formátumok.

Felhasználási esetek: mikor döntő a minősített horodatás?

Forgatókönyv 1 — Ügyvédi iroda, amely vitatási anyagokat kezel

Egy ügyvédi iroda körülbelül 15 munkatárssal, amely vállalati viták specialistája, minősített elektronikus aláírást használ eljárási aktusaihoz, honoráriumszerzésekhez és érzékeny levelezéshez. Egy olyan vitában, amely az üzleti ajánlat elfogadásának dátumáról szól, az ellenfél azt vitatja, hogy ügyfele aláírása az ajánlatban meghatározott lejárati előtt történt.

A dokumentumba integrált minősített horodatás segítségével az iroda egy minősített PSCQ által kibocsátott horodatási tokent terjeszt elő, amely a francia megbízhatósági listán szerepel. A tanúsított dátum — másodpercpontosan — függetlenül ellenőrizhető a bíró és a szakértő által. Az eIDAS 42. cikk szerinti jogszabályi sejtés alkalmazódik: a bizonyítási terhet most az ellenfélre helyezi. Az ügy költséges ellentétes szakértői vizsgálat nélkül megoldódik, körülbelül 15-25 nap megtakarítás az eljárásban az ilyen típusú vitákra szokásos becslések szerint.

Forgatókönyv 2 — KKV ipari, amely szállítói szerződésportfolióval foglalkozik

Egy KKV iparvállalat, amely évente körülbelül 300 szállítói szerződést kezel — NDA, általános megrendelési feltételek, díj-módosítások — szeretné biztosítani dokumentumarchívumát az ERP átalakítása keretében. A vállalat legalább 10 évig szeretné megtartani szerződéseinek bizonyítási értékét, megfelelve jogi kötelezettségeihez és biztosítójának követelményeihez.

A minősített horodatást és PAdES-LTA formátumot integráló elektronikus aláírási megoldás telepítésével a KKV automatikusan hosszú távú bizonyítási értékű archívumokat hoz létre. A telepítés után 18 hónappal végzett belső audit 40% csökkenést mutat a szállítói auditok során szükséges dokumentumkeresésre és rekonstrukcióra fordított időben, és szinte teljes egészében kiküszöböli azokat a vitákat, amelyek a díjváltozási értelmezések dátumával kapcsolatosak. Az emberi erőforrások csapatai ugyanilyen hasznot élveznek az alkalmazotti szerződésekben és módosításokban, erősített megfelelőséggel a munkaügyi felügyeleti vizsgálatokkor.

Forgatókönyv 3 — Egészségügyi intézmény és betegei beleegyezési dokumentumainak archiválása

Egy közép-méretű kórházi csoportosulás (körülbelül 600 ágy) dematerializálja tájékoztatott beleegyezési formáit a sebészeti beavatkozásokhoz és klinikai vizsgálatokhoz. A vonatkozó szabályozás (Egészségügyi törvénykönyv L.1111-4. cikk, (EU) 536/2014 klinikai vizsgálatokról szóló rendelet) nem csupán a beleegyezés nyomon követésétét hanem a beleegyezés dátumának a medicinális beavatkozást megelőző biztosítottságát is megköveteli.

A minősített horodatásnak a beleegyezési aláírási folyamatba való integrálása garantálja, hogy a beleegyezés dátuma tanúsított és vitatható az orvosszabályozási hatóságok (HAS, ANSM) felügyelete vagy orvosi viták esetén. Ebben a szektorban az egészségségre alkalmazott elektronikus aláírási megoldásoknak kifejezetten ezt a minősített horodatást kell tartalmazniuk a specifikus szabályozási kötelezettségeknek való megfeleléshez. Az ilyen megoldást telepített intézmények általában 60-70% idő-megtakarítást tapasztalnak a beleegyezések adminisztratív kezelésében a papírfolyamathoz képest, az egészségügyi irányítók szervezetei által közzétett benchmarkok szerint.

Összegzés

Az eIDAS minősített horodatás nem csupán egyszerű digitális bélyeg: ez egy erős jogszabályi sejtés, amely az Európai Unió egészében elismert, amely az elektronikusan aláírt dokumentum dátumát olyan bizonyítékká alakítja, amely ellentétes lehet bármely bíróság előtt. A felügyelt PSCQ-kra, a szigorú ETSI szabványokra és a hosszú távú archiválási formátumokra (PAdES-LTA) támaszkodva olyan jogi biztonságot nyújt, amelyet se egy belső szerver horodatás se egy egyszerű fájl metaadat nem tud biztosítani.

Azon vállalkozások számára, amelyek szerződéseket írnak alá, érzékeny anyagokat kezelnek vagy több éven keresztül dokumentumok bizonyítékait kell megtartaniuk, a minősített horodatásnak az aláírási munkafolyamatba való integrálása már nem lehetőség — jogi bevált gyakorlat szükségessége.

A Certyneo natívan integrál minősített horodatást minden minősített elektronikus aláírásban, amelyet platformján bocsátanak ki. Fedezze fel, hogyan biztosíthatja dokumentumainak bizonyítékait az ingyenes próbaverzió indításával vagy transzparens díjainkkal konzultálva.