Kvalifikuotas laiko žyma eIDAS: tikslios datos įrodymas

Elektroninis laiko žyma dažnai suvokiama kaip antraeilis techninis detalus. Iš tiesų, ji sudaro vieną iš pagrindinių elektroniškai pasirašyto dokumento įrodymų vertės pagrindų. Be jos skaitmeninis parašas nieką nesako apie momentą, kuriuo jis buvo uždėtas — trūkumas, kuris gali pasirodyti lemtingas ginčo atveju. Reglamentas eIDAS Nr. 910/2014 tiksliai pristatė kvalifikuotos laiko žymos sąvoką, aukščiausiąjį datos sertifikavimo lygį, pripažįstamą visuose Europos Sąjungos valstybės narėse. Šis straipsnis dešifruoja šį mechanizmą, jo techninius reikalavimus, teisinį plotį ir konkrečias situacijas, kuriose jis yra neatsiejamas.

Kas yra kvalifikuota laiko žyma pagal eIDAS?

Apibrėžimas ir laiko žymų lygiai

Reglamentas eIDAS skiria dvi elektroninio laiko žymos kategorijas:

• Paprasta elektroninė laiko žyma: bet kokie elektroninės formos duomenys, siejantys datą ir laiką su kitais duomenimis. Ji naudojasi paneigiama patikramumo prezumpcija (41 str. eIDAS).
• Kvalifikuota laiko žyma: aukštesnis lygis, išduotas Kvalifikuoto Pasitikėjimo Paslaugų Teikėjo (QPST) iš nacionalinio pasitikėjimo sąrašo. Ji naudojasi legalia datos ir valandos tikslumo prezumpcija bei laiko žyma nustatytų duomenų vientisumu (42 str. eIDAS).

Šis skirtumas yra fundamentalus: kvalifikuota laiko žyma yra preziumuojama tikslus, kol neįrodytas priešingai, o tai ginčo atveju apveria įrodymo naštą. Norėdami sužinoti daugiau apie skirtingus pasitikėjimo lygius, numatytus šiame dokumente, žiūrėkite mūsų visapusišką eIDAS 2.0 reguliavimo vadovą.

Kvalifikuotos laiko žymos techniniai reikalavimai

Norėdama būti kvalifikuota pagal eIDAS, laiko žyma turi atitikti griežtus kriterijai, apibrėžtus 42 straipsnyje:

1. Susieti datą ir laiką su duomenimis tokiu būdu, kad būtų pagrįstai atmesta jokia galimybė, kad jie būtų nepastebimas modifikuoti.
2. Remtis tikslia laiko šaltiniu, susietu su Koordinuotu pasauliniu laiku (UTC), šiuolaikiniu ir atitinkajimu ETSI EN 319 421 ir EN 319 422 standartams.
3. Būti pasirašyta naudojant kvalifikuoto QPST išplėstinį elektroninį parašą arba išplėstinį elektroninį antspaudą arba per lygiavertę metodą.

Praktikoje paslaugų teikėjas gauna dokumento kriptografinę tiesą (hash), uždeda ant jos pasirašytą laiko žymą ir grąžina laiko žymos žetoną (timestamp token, TST), atitinkantį RFC 3161 protokolą. Šis procesas niekada nepersiųsia dokumento turinio paslaugų teikėjui — tik jo tiesą —, o tai garantuoja duomenų konfidencialumą.

Pasitikėjimo sąrašai ir nacionalinis priežiūra

Prancūzijoje ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) yra priežiūros institucija, kurie prižiūri kvalifikuotų paslaugų teikėjų sąrašą. Šis sąrašas publikuojamas pasirašyto XML formato ir integruojamas į Europos pasitikėjimo sąrašą (EU Trusted List), prieinama per Komisijos eIDAS portalą. Bet kuris šiame sąraše nurodytas paslaugų teikėjas patyrė griežtą atitikties auditą pagal ETSI EN 319 401 (bendri reikalavimai) ir ETSI EN 319 421 (strategijos profilį TSA) standartus.

Vertindami elektroninio parašo sprendimą savo verslui, patikrinti, ar paslaugų teikėjas integruoja kvalifikuotą laiko žymą — o ne tik vidinį laiko žymą — yra esmingas pasirinkimo kriterijus.

Kodėl kvalifikuota laiko žyma yra svarbi datos įrodymui?

Data skaitmeninio įrodymo grandinėje

Kvalifikuotas elektroninis parašas įrodo kas pasirašė ir kad dokumentas nebuvo pakeistas. Tačiau jis neįrodo kada parašas buvo uždėtas, nebent jam asocijuota kvalifikuota laiko žyma. Šis skirtumas visai svarbu keliuose scenarijuose:

• Išradimo prioritetas: nustatyti, kad patentai arba žinojimai egzistavo iki tam tikros datos.
• Sutartinio termino laikymasis: parodyti, kad sutartis buvo pasirašyta iki pasiūlymo galiojimo pabaigos.
• Ilgalaikis prokuratorinis archivavimas: skaitmeninio parašo kriptografinį galiojimą gali baigti pasibaigti dėl algoritmų pasenimo (parašo senėjimo fenomenas). Kvalifikuota laiko žyma leistų „iš naujo laiko žymą" dokumentą ir pratęsti jo įrodymų vertę.

Parašų senėjimas ir iš naujo laiko žyma

Kriptografiniai algoritmai keičiasi. Sertifikatas, pagrįstas RSA-2048, laikomas saugia 2015, galėtų būti nepakankamas 2030 m. su kvantine informatika. Archivavimas su prokuratorine verte remiasi iš naujo laiko žymo praktika: prieš baigianti pasenusio algoritmo tvirtumui, pritaikomos naujos kvalifikuotos laiko žymos visam (dokumentas + parašas + ankstesnė laiko žyma), sukuriant nepertraukiamą pasitikėjimo grandinę.

Šis metodas yra standartizuotas ETSI EN 319 102-2 (išplėstinių ir kvalifikuotų parašų verifikavimo procedūros) ir rekomenduojamas bet kuriam dokumentui, kuris turi būti saugomas daugiau nei 10 metų — notariniai aktai, ilgalaikiai verslo kontraktai, medicininiai dokumentai ar norminiai dokumentai.

Europos interoperabilumas ir savitarpinis pripažinimas

Vienas iš pagrindinių eIDAS kvalifikuotos laiko žymos pranašumų yra jos automatinis pripažinimas visose 27 ES valstybėse (41.3 str. eIDAS). Kvalifikuota laiko žyma, išduota Prancūzijos QPST, turi tokias pačias teisinės pasekmes Vokietijoje, Ispanijoje ar Lenkijoje. Šis teisinės perkeliamumas yra ypač brangus įmonėms, veikiančioms šiose tarpžeminiame Europos rinkose, kuri pasirašo sutartis su partneriais keliose šalyse. Norėdami palyginti skirtingus prieinamus rinkoje požiūrius, mūsų elektroninio parašo sprendimų palyginimas suteikia išsamią analizę.

Kvalifikuotos laiko žymos integravimas į elektroninio parašo srautą

Atitinkamo techninio srauto architektūra

Kvalifikuoto elektroninio parašo (QES) procese laiko žyma integruojasi keliuose dokumento lygmenyse, pagal ETSI apibrėžtus ilgalaikiams parašams skirtus formatus:

• XAdES-LTA formatas (XML Advanced Electronic Signatures – Long-Term Archive): XML dokumentams.
• PAdES-LTA formatas (PDF Advanced Electronic Signatures – Long-Term Archive): PDF failams, dažniausiai naudotam verslo formate.
• CAdES-LTA formatas (CMS Advanced Electronic Signatures – Long-Term Archive): bendriems binariniams failams.

Priešdėlis LTA (Long-Term Archive) tiksliai nurodyt lygį, kuris integruoja kvalifikuotą laiko žymą ir duomenis, reikalingus būsimai verifikacijai net baigus sertifikatų galiojimui.

SaaS parašo platformos vaidmuo

SaaS sprendime kaip Certyneo, kvalifikuotos laiko žymos integravimas yra skaidri galutiniam naudotojui. Platforma:

1. Sukuria finalizuoto dokumento kriptografinę tiesą.
2. Siunčia šią tiesą į TSA (Time Stamping Authority) partnerį per saugią jungtį.
3. Gauna pasirašytą laiko žymos žetoną (TST).
4. Integruoja TST į PDF/A failą pagal PAdES-LTA formatą.
5. Saugo visumą saugioje archyvavimo aplinkoje, pačioje praskristoje.

Naudotojas taip gali turėti dokumentą, kurio parašo užbaigimo data yra sertifikuota ir patikrinama bet kurio trečiojo asmens, nepriklausomai nuo platformos, atlikę parašą. Ši verifikacijos autonomija yra svarbiausias kriterijus, dažnai nepakankamai vertinamas dalininko konkursų metu. Jei planuojate keisti paslaugų teikėją, mūsų migriacijos vadovas iš DocuSign arba YouSign į Certyneo detalizuoja techninius priežiūros punktus, kurie turi būti iš anksto numatyti.

Verifikacija ir audituojamumas

Bet kuris dokumentas, integruojantis PAdES-LTA laiko žymą, gali būti patikrintas nemokamai naudojant atvirojo kodo įrankius (DSS Library iš Komisijos) arba interneto validatorius, atitinkančius eIDAS. Verifikacija patvirtina:

• Pasirašytojo tapatybę (sertifikatas).
• Dokumento vientisumą (jokios modifikacijos po parašo).
• Sertifikuotą datą ir laiką (galiojamas TST žetonas, TSA sąraše).
• Sertifikato nepanaudojamą šiuo metu.

Šis pilnas susekamumas sudaro svarbiausią pranašumą juridiniams [komandams](/solutions/juridique), kurioms reikia reguliariai pateikti dokumentinių įrodymų ginčo arba norminės patikros metu.

Taikytina teisinė sistema

Reglamentas eIDAS Nr. 910/2014

Europos Parlamento ir Tarybos reguliavimas (ES) Nr. 910/2014, patvirtintas 2014 m. liepos 23 d., vadinamas eIDAS regulavimu, yra kvalifikuotos laiko žymos teisinės pagrindo pagrindas Europoje. Jo pagrindinės nuostatos yra:

• 3 straipsnis (34): apibrėžia elektroninę laiko žymą kaip „elektroninio duomenų formoje, kurie susiejas kitokios elektroninės formos duomenis su tam tikru momentu ir patvirtins, jog šie duomenys egzistavo šiuo momentu".
• 41 straipsnis: suteikia paprastoms elektroninio laiko žymo prezumsčiją paneigiamo tikslumo.
• 42 straipsnis: nustato kvalifikuotos laiko žymos sąlygas (UTC šaltinis, QPST parašas, kriptografinė ryšis su duomenimis).
• 42 straipsnio (2) dalis: suteikia kvalifikuotai laiko žymai legalią datos ir valandos tikslumo prezumsčiją bei asocijuotų duomenų vientisumą. Ši prezumpcija galioja bet kurioje ES teismo instancijoje be papildomo įrodymo.

Reguliavimas eIDAS 2.0 (ES reguliavimas 2024/1183, pradėtas taikyti nuosekliai nuo 2024) sustiprina šias nuostatas, plėsdamas sistemą į Europos skaitmeninių tapatybės portfelius (EUDIW), nepakeitdamas kvalifikuotos laiko žymos pagrindų.

Prancūzijos civilinis kodeksas — 1366 ir 1367 straipsniai

Pagal Prancūzijos teisę straipsnis 1366 iš Civilinio kodekso nustato, kad „elektroninis raštas turi tokią pačią būktą, kaip ir raštas ant popierinės medžiagos, išskyrus atvejus, kai gali būti tinkamai identifikuota asmenybė, iš kurios jis kilo ir jis buvo suformuotas bei saugomas tokiomis sąlygomis, kurios garantuoja jo vientisumą". Straipsnis 1367 nurodytis „patikimo elektroninio parašo" sąlygos. Kvalifikuota laiko žyma tiesiogiai prisideda prie vientisumą ir tikslios datavimo sąlygo, reikalingos šiose sąlygose.

Be to, dekrėtas Nr. 2017-1416, patvirtintas 2017 m. rugsėjo 28 d., dėl elektroninio parašo tiesiogiai nurodo reguliavimą eIDAS, apibrėžti priimtinus parašų lygius prancūzų teismų prieš.

Saugojimo prievolės ir GDPR

Reguliavimas (ES) 2016/679 (GDPR), taikytinas bet kuriam asmeninio duomens apdorojimui, reikalauja tinkamų techninių saugumo priemonių (32 str.). Kvalifikuota laiko žyma, garantuodama duomenų vientisumą ir datavimą, prisideda prie GDPR atitikties dokumentų srautuose, apimančiuose asmeniniai duomenimis.

Kai kurie sektoriai nustato specifines teisines saugojimo trukmės: 5 metai komerciniams kontraktams (Prekybos kodekso 110-4 str.), 10 metų civilinės gyvenimo aktams, 20 metų medicininai dokumentams. Šiems ilgalaikio archyvavimui, be kvalifikuotos laiko žymos ir periodinės iš naujo laiko žymos, yra pagrindinė teisinė rizika: dokumentas galėtų prarastu savo įrodymų vertę iki teisinio saugojimo srities pabaigos.

ETSI standartai

• ETSI EN 319 421: politika ir saugumo reikalavimai TSA (laiko žymo institucijoms) kvalifikuotoms.
• ETSI EN 319 422: laiko žymos žetono profilis.
• ETSI EN 319 102-1/2: išplėstinių ir kvalifikuotų parašų kūrimo ir verifikavimo procedūros, integruojančios laiko žymą.
• ETSI EN 319 132 (XAdES) ir EN 319 122 (CAdES): ilgalaikio parašo formatai.

Naudojimo scenariai: kada kvalifikuota laiko žyma yra esminė?

Scenarijus 1 — Verslo teisės advokatai, tvarkantys ginčo bylas

Verslo teisės biuras iš apie penkiolikos advokatų, specializuojantis verslo B2B ginčuose, naudoja kvalifikuotą elektroninio parašą savo procedūriniai aktuose, honorarų sutartyse ir jautriuose susirašymuose. Ginčo procese dėl pasiūlymo priėmimo datos, priešininkas keičia klientą, jog jo parašas yra ankstesnis nei pasiūlymo termino pabaiga.

Dėl PAdES-LTA dokumento integruotos kvalifikuotos laiko žymos, biuras pateikia laiko žymos žetoną, išduotą QPST, įregistruotą Prancūzijos pasitikėjimo sąraše. Sertifikuota data — iki sekundės — gali būti patikrinta nepriklausomai teisėjo ir ekspertiškojo eksperimento metu. 42 straipsnyje eIDAS nurodytas prezumptions taikytinas: priešiningybės įrodymo naštą dabar turi priešininkas. Byla buvo išspręsta be brangaus ekspertinio ginčo, sutaupydama maždaug 15–25 dienas procedūros pagal paprastą šio tipo bylos ginčų vertinimą.

Scenarijus 2 — Mažoji pramoninė įmonė, tvarkanti tiekėjų kontraktų portfelį

Maža pramoninė įmonė, tvarkanti apie 300 tiekėjų kontraktų per metus — NDA, pirkimo bendrieji terminai, tarifų pakeitimai — siekia apsaugoti savo dokumentų archyvą kontekste iš naujo savo ERP. Įmonė nori išlaikyti savo kontraktų įrodymų vertę mažiausiai 10 metų, atsižvelgiant į teisines prievolingas ir jos draudiko reikalavimus.

Diegdama elektroninio parašo sprendimą, integruojantį kvalifikuotą laiko žymą ir PAdES-LTA formatą, mažoji įmonė automatiškai sudaro ilgalaikę arkivišo vertę turinčius archyvus. Vidinė audito, atlikta 18 mėnesių po diegimo, nustatė 40 % sumažinti laiką, skirtą dokumentų paieškai ir rekonstrukcijai tiekėjų auditų metu, ir praktiškai atmetus ginčų, susijusius su neskirtumais dėl tarifų avenansų įsigaliojimo datos. Žmogiškųjų [išteklių](/solutions/rh) komandos naudojasi tuo pačiu nauda dėl darbo sutarčių ir avenansų, su sustiprintu atitikties kai atliekami darbo inspekcijos patikrinimui.

Scenarijus 3 — Sveikatos priežiūros įstaiga ir paciento sutikimo archyvavimas

Tarpžeminis sveikatos grupas vidutinio dydžio (apie 600 lovų) dematizuoja savo supratuotas sutikimo formylalius chirurginėms ir klininio bandymo procedūroms. Taikytina norminė nuomone (Sveikatos kodekso 1111-4 str., Reguliavimas (ES) 536/2014 dėl klininio bandymo) reikalingos ne tik sutikimo sekljumas, bet ir sutikimo datų tikrumą iki medicininės procedūros.

Kvalifikuotos laiko žymos integravimas į sutikimų parašo srautą garantuoja, jog sutikimo data yra sertifikuota ir neginčytina, taip pat atliekant valdžios inspekcijas (HAS, ANSM) arba medicininių ginčų. Šiame sektoriuje elektroninio parašo sprendimai, suderinti su sveikatos priežiūra, turi imperatingai integruoti šią kvalifikuotą laiko žymą atitikti specifiniams normanams. Įstaigos, kurios diegė šio tipo sprendimą, paprastai nustatytų sumažinti sutikimo administracinės veidos laiką 60–70 % lyginant su popierinės procedūromis, pagal sveikatos įstaigų direktoriaus asociacijų publikuotus atskaitos rodiklius.

Išvada

Kvalifikuota laiko žyma pagal eIDAS nėra tik paprastas skaitmeninis antspaudas: ji yra stipri teisinga prezumpcija, pripažinta visoje Europos Sąjungoje, kuri elektroninio parašu pasirašyto dokumento datą paverčia įrodymu, priešintina bet kurioje jurisdikcijoje. Remianti QPST, griežtus ETSI standartus ir ilgalaikio archyvavimo formatus (PAdES-LTA), ji suteikia teisinę saugą, kurią negali sutikti nei vidinis serverio laiko žyma, nei paprastoji failų metaduomenys.

Įmonėms, kurios pasirašo kontraktus, tvarkys jautrius dossierus arba turi išlaikyti dokumentų įrodymus per kelis metus, integravimas kvalifikuotos laiko žymo į savo parašo srautą nėra daugiau parinktis — tai yra gera teisinės praktikos reikalavimas.

Certyneo integruoja natūraliai kvalifikuotą laiko žymą kiekviename kvalifikuotos elektroninio parašo patvirtinime, išduotoje jos platformoje. Sužinokite, kaip apsaugoti savo dokumentus pradedant nemokamą bandymą arba žiūrėdami mūsų skaidrius kainodarbes.