Horodatage kvalificēts eIDAS: droši datiņi pierādījumi

Elektroniskais horodatage bieži tiek uztverts kā palīgs tehnisks detaļas. Patiesībā tas veido vienu no elektroniskā paraksta dokumenta pierādīšanas vērtības stabiem. Bez tā ciparu paraksts neko nesaka par laika momentu, kad tas tika pieprasīts — problēma, kas var būt nāvējoša litigācijas gadījumā. eIDAS Regulējums Nr. 910/2014 precīzi ieviesa kvalificēta horodatage jēdzienu, augstākais datuma sertifikācijas līmenis, kas tiek atzīts visos Eiropas Savienības dalībvalstīs. Šis raksts atšifrē šo mehānismu, tā tehniskās prasības, juridisko nozīmi un konkrētas situācijas, kurās tas ir nozīmīgs.

Kas ir kvalificēts horodatage saskaņā ar eIDAS?

Definīcija un horodatage līmeņi

eIDAS Regulējums izšķir divas elektroniskā horodatage kategorijas:

• Vienkāršs elektroniskais horodatage: jebkuri dati elektroniskā formā, kas saistīti ar datumu un laiku ar citiem datiem. Tas iegūst refutable pieņēmuma pieņēmumu (42. pants eIDAS).
• Kvalificēts horodatage: augstāks līmenis, kas izdots no Kvalificēta Uzticības Pakalpojuma Sniedzēja (PSCQ), kas reģistrēts nacionālajā uzticības sarakstā. Tas iegūst juridisko pieņēmumu par datuma un laika pareizību un horodatājoto datu integritāti (42. pants eIDAS).

Šī atšķirība ir fundamentāla: kvalificēts horodatage ir pieņemts kā precīzs līdz pierādīšanas pretējam, kas litigācijas gadījumā apgriezt pierādīšanas nasta. Lai uzzinātu vairāk par dažādiem uzticības līmeņiem, kas paredzēti šajā tekstā, skatiet mūsu pilnīgu ceļvedi par eIDAS 2.0 regulējumu.

Kvalificēta horodatage tehniskās prasības

Lai būtu kvalificēts saskaņā ar eIDAS, horodatage jāatbilst stingri definētiem kritērijiem 42. panta noteikumos:

1. Saistīt datumu un laiku ar datiem tādā veidā, lai pamatoti izslēgtu jebkuru iespēju neatklātā modifikācijā.
2. Balstīties uz precīzu laika avotu, kas saistīts ar Koordinēto Pasaules Laiku (UTC), izsekojams un atbilst ETSI EN 319 421 un EN 319 422 standartiem.
3. Būt parakstītam ar progresīvu elektronisko parakstu vai progresu elektroniskās pečāti no kvalificēta PSCQ, vai ar līdzvērtīgu metodi.

Praksē pakalpojuma sniedzējs saņem dokumenta kriptogrāfiskas joslodzes (hash) datus, pievieno tam parakstītu laika zīmogu un atgriež horodatage marķi (timestamp token, TST), kas atbilst RFC 3161 protokolam. Šis process nekad nenosūta dokumenta saturu pakalpojuma sniegzajam — tikai tā joslodze —, kas garantē datu konfidencialitāti.

Uzticības saraksti un nacionālā uzraudzība

Francijā ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ir uzraudzības iestāde, kas uztur kvalificēto pakalpojuma sniedzēju sarakstu. Šis saraksts tiek publicēts parakstīta XML formātā un integrēts Eiropas uzticības sarakstā (EU Trusted List), kurš pieejams caur Eiropas Komisijas eIDAS portāli. Jebkurš tur iekļautais pakalpojuma sniedzējs ir pakļauts stingram atbilstības auditam saskaņā ar ETSI EN 319 401 (vispārējās prasības) un ETSI EN 319 421 (politikas profils TSA kvalificētajiem).

Kad novērtējat elektroniskā paraksta risinājumus savai uzņēmumam, pārliecības, ka pakalpojuma sniedzējs integrē kvalificētu horodatage — nevis tikai vienkāršu iekšējā horodatage — ir izšķirams atlases kritērijs.

Kāpēc kvalificēts horodatage ir kritisks datuma pierādījumam?

Datums ciparu pierādīšanas ķēdē

Kvalificēts elektroniskais paraksts pierāda kas parakstīja un ka dokuments nav modificēts. Bet tas nepierāda kad paraksts tika pielikts, izņemot gadījumus, kad tam ir pievienots kvalificēts horodatage. Šī atšķirība kļūst svarīga vairākos scenārijos:

• Izgudrojuma prioritāte: lai pierādītu, ka patents vai know-how pastāvēja pirms konkrēta datuma.
• Kontraktuālā termiņa ievērošana: lai pierādītu, ka līgums tika parakstīts pirms piedāvājuma termiņa beigām.
• Garumtermiņa pierādīšanas arhivēšana: elektroniskā paraksta kriptogrāfiskā derīgums var beigties ar algoritmu novecošanu (paraksta novecošanas parādība). Kvalificēts horodatage ļautu "pār-horodatēt" dokumentu un pagarināt tā pierādīšanas vērtību.

Parakstu novecošana un pār-horodatēšana

Kriptogrāfiskie algoritmi attīstās. Sertifikāts, kas balstīts uz RSA-2048, kas tika uzskatīts par drošu 2015. gadā, varētu tikt uzskatīts par nepietiekamu ap 2030. gadu ar kvantu datoriem pastāvēšanu. Pierādīšanas vērtības arhivēšana balstās uz pār-horodatēšanas praksi: pirms algoritma izturības termiņa beigām, jaunais kvalificēts horodatage tiek piemērots kopai (dokuments + paraksts + iepriekšējais horodatage), izveidojot nepārtrauktu uzticības ķēdi.

Šo pieeju standartizē ETSI EN 319 102-2 (parakstu verifikācijas procedūras) un ieteic jebkuram dokumentam, kas jāglabā vairāk nekā 10 gadus — notāru akti, ilgtermiņa komercķermeņi, medicīniskies dosijas vai regulējošie dokumenti.

Eiropas savstarpējā atbilstība un atzīšana

Viens no galvenajiem horodatage kvalificēta eIDAS priekšrocībām ir tā automātiskā atzīšana visos 27 ES dalībvalstīs (41. panta 3. punkts eIDAS). Horodatage, ko izdevis francijas PSCQ, rada tādus pašus juridiskos efektus Vācijā, Spānijā vai Polijā. Šī juridiskā portabilidade ir īpaši vērtīga uzņēmumiem, kas darbojas eiroapas tirgos un paraksta kontraktus ar partneriem vairākās valstīs. Lai salīdzinātu dažādas pieejamas pieejamības, mūsu elektroniskā paraksta risinājumu salīdzinājums piedāvā detalizētu analīzi.

Kvalificēta horodatage integrēšana elektroniskā paraksta plūsmā

Atbilstoša arhitektūras tehniskā sakārtojuma

Kvalificēta elektroniskā paraksta (QES) procesā horodatage tiek integrēts vairākos dokumenta līmeņos saskaņā ar ETSI noteiktajiem ilgtermiņa parakstu formātiem:

• XAdES-LTA formāts (XML Advanced Electronic Signatures – Long-Term Archive): XML dokumentiem.
• PAdES-LTA formāts (PDF Advanced Electronic Signatures – Long-Term Archive): PDF failiem, visbiežāk lietotas biznesa vidē.
• CAdES-LTA formāts (CMS Advanced Electronic Signatures – Long-Term Archive): vispārējiem binārajiem failiem.

Sufikss LTA (Long-Term Archive) norāda precīzi uz līmeni, kas ietver kvalificētu horodatage un revocācijas datus, kas nepieciešami turpmākai verifikācijai pat pēc sertifikātu termiņa beigām.

SaaS paraksta platformas loma

SaaS risinājumā, piemēram, Certyneo, kvalificēta horodatage integrēšana ir caurredzama galaļotājam. Platforma:

1. Ģenerē galīgā dokumenta kriptogrāfisko joslodze.
2. Nosūta šo joslodze TSA (Time Stamping Authority) kvalificētajam partnerim caur drošu savienojumu.
3. Saņem parakstīto horodatage marķi (TST).
4. Ievietoja TST PDF/A failā saskaņā ar PAdES-LTA formātu.
5. Glabā kopumu drošā arhivēšanas vidē, pati auditorā.

Lietotājam ir pieejams dokuments, kura paraksta pabeigšanas datums ir sertificēts un pārbaudāms jebkuram trešajam pērstāvim, bez atkarības no paraksta izdarītājas platformas infrastruktūras. Šī verifikācijas autonomija ir bieži nepietiekami novērtēts izcilības kritērijs, iepirkumiem. Ja plānojat mainīt pakalpojuma sniedzēju, mūsu migrācijas ceļvedis no DocuSign vai YouSign uz Certyneo detalizē tehniskos uzmanības punktus.

Verifikācija un auditorā

Jebkurš dokuments, kurš integrē kvalificētu horodatage PAdES-LTA, var būt brīvā verifikāciju caur atvērtā koda instrumentiem (DSS Library no Eiropas Komisijas) vai eIDAS atbilstoši tiešsaistes validatoriem. Verifikācija apstiprina:

• Parakstītāja identitāti (kvalificēts sertifikāts).
• Dokumenta integritāti (neviena modifikācija pēc paraksta).
• Sertificētu datumu un laiku (derīgs TST marķis, TSA uzticības sarakstā).
• Sertifikāta nē-revocāciju paraksta brīdī.

Šī pilnīga izsekojamība veido noteicošu priekšrocību juridiskajiem komandām, kurām regulāri jāiesniedz dokumentālie pierādījumi litigācijas vai normatīvo revīziju kontekstā.

Piemērojamais juridiskais ietvars kvalificētajam horodatageam

Regulējums eIDAS Nr. 910/2014

Eiropas Parlamenta un Padomes Regulējums (ES) Nr. 910/2014 no 2014. gada 23. jūlija, saukts eIDAS regulējums, veido juridisko pamatu horodatage kvalificētajiem Eiropā. Tā galvenie noteikumi:

• 3. panta 34. punkts: definē elektronisko horodatage kā "datus elektroniskā formā, kas saistīti ar jebkuriem citiem datiem elektroniskā formā uz noteiktu brīdi un nosaka, ka šie dati pastāvēja šajā brīdī".
• 41. pants: piešķir vienkāršiem elektroniskiem horodatageam refutable pareizuma pieņēmumu.
• 42. pants: nosaka nosacījumus horodatage kvalifikācijai (UTC traçables avots, PSCQ kvalificēta paraksts, kriptogrāfiskā saite ar datiem).
• 42. panta 2. punkts: piešķir kvalificētajam horodatageam datuma un laika pareizības juridisko pieņēmumu un saistīto datu integritāti. Šis pieņēmums gulstas jebkurā ES tiesu iestāžu bez papildu pierādījuma nepieciešamības.

Regulējums eIDAS 2.0 (Eiropas Savienības 2024/1183 Regulējums, pakāpeniski piemērojot kopš 2024. gada) pastiprina šos noteikumus, paplašinot ietvaru uz Eiropas ciparu identitātes maciņiem (EUDIW), bez horodatage kvalificēta pamatu apgāšanas.

Francijas Civīlkodekss — 1366. un 1367. panti

Francijas tiesībās 1366. pants Civīlkodeksā nosaka, ka "elektroniskajam tekstam ir tāda pati pierādīšanas vērtība kā papīra tekstam, ar nosacījumu, ka var tikt pienācīgi identificēta persona, no kuras tas ir, un tas tiek izveidots un glabāts apstākļos, kas garantē tā integritāti". 1367. pants precizē uzticama elektroniskā paraksta nosacījumus. Kvalificēts horodatage tieši piedalās integritātes un noteiktas datēšanas nosacījuma apmierināšanā, kas paredzēti šajos tekstos.

Turklāt, dekrēts Nr. 2017-1416 no 2017. gada 28. septembra par elektronisko parakstu tieši norāda uz eIDAS regulējuma nozīmi definējot parakstu līmeņus, kas pieņemti francijas tiesa.

Glabāšanas pienākumi un GDPR

Regulējums (ES) 2016/679 (GDPR), piemērojams jebkuram datu personīgos datus apstrādes, nosaka atbilstošus tehniskos drošības pasākumus (32. pants). Kvalificēts horodatage, garantējot datu integritāti un datēšanu, veicina GDPR atbilstību dokumentāro plūsmu gadījumā, kas ietver personīgos datus.

Dažas nozares nosaka specifiskus likumiskos saglabāšanas termiņus: 5 gadus komercķermeņiem (Komercijas kodeksa 110-4. pants), 10 gadus civīldzīves aktiem, 20 gadus dažiem medicīniskajiem dokumentiem. Šīm garumtermiņa arhivēšanām, bez kvalificēta horodatage un periodiskas pār-horodatēšanas, veido lielu juridisko risku: dokumenti var zaudēt pierādīšanas vērtību pirms glabāšanas termiņa termiņa beigām.

ETSI normatīvās atsauces

• ETSI EN 319 421: politika un drošības prasības TSA (Time Stamping Authorities) kvalificētajiem.
• ETSI EN 319 422: horodatage marķu profils.
• ETSI EN 319 102-1/2: parakstu parīmjošanas un verifikācijas procedūras, ietverot horodatage.
• ETSI EN 319 132 (XAdES) un EN 319 122 (CAdES): ilgtermiņa parakstu formāti.

Lietošanas scenāriji: kad kvalificēts horodatage ir noteicošs?

Scenārijs 1 — Biznesa advokātu biroja pārvaldē litigācijas dosijas

Biznesa advokātu biroja aptuveni piecpadsmit sadarbībnieki, kas specializējusies B2B kontraktuālos litigācijos, izmanto kvalificētu elektronisko parakstu tiem tiesvedības akties, honorāru līgumus un jutīgu sarakstīšanos. Kontekstā litigācijas par komercoferta pieņemšanas datumu, pretinieks apstrīd, ka tā klients parakstu bija pirms piedāvājuma termiņa beigām.

Ar kvalificētu horodatage, kas integrēts PAdES-LTA dokumentā, biroja iesniedz horodatage marķi, kas izdevis PSCQ, kas reģistrēts francijas uzticības sarakstā. Sertificēts datums — līdz sekundei — ir neatkarīgi pārbaudāms tiesnesi un judiciao eksperts. 42. panta eIDAS juridiskā pieņēmuma piemērot: pretinieka pierādīšanas nasta ir pretēja. Iespēja tiek atrisināta bez pretējas ekspertīzes. Dosija tiek atrisināta bez dārgas pretējas ekspertīzes, daudz laika ietaupot.

Scenārijs 2 — Neliela industriālā uzņēmuma pārvaldē piegādātāju līgumus portfeliu

Neliela industriāla uzņēmuma pārvaldē aptuveni 300 piegādātāju kontraktus gadā — NDA, vispārējus pirkuma noteikumus, cenu izmaiņus — vidē, kurā vēlas nodrošināt savu dokumentāro arhivēšanu drošību ERP pārbūves kontekstā. Uzņēmums vēlas saglabāt savu līgumu pierādīšanas vērtību vismaz 10 gadus, atbilstoši likumiskajiem pienākumiem un tā apdraudējuma prasībām.

Elektroniskā paraksta risinājuma izvietošana, kas integrē kvalificētu horodatage un PAdES-LTA formātu, uzņēmums automātiski izveido garumtermiņa pierādīšanas vērtības arhīvus. Iekšējs audits, kas veikts 18 mēnešus pēc izvietošanas, atklāj 40% laika samazinājumu, kas veltīts dokumentāro meklēšanai un rekonstrukcijai, audita laikā, un praktiski pilnīgu litigācijas likvidāciju, kas saistītas ar domstarpībām par termiņu ieviedrošanas datumus. Personāla resursu komandas gūst tādu pašu labumu darba līgumiem un izmaiņām, ar pastiprinātau atbilstību darbaspēka inspekcijai.

Scenārijs 3 — Veselības aprūpes iestāde un piekrišanas pacientu arhivēšana

Vidējā lieluma slimnīcu grupe (aptuveni 600 gultas) atskarbē savus informētas piekrišanas veidlapas ķirurģiskajiem procedūrām un klīniskajiem pētījumiem. Piemērojamais regulējums (Veselības aprūpes kodeksa 1111-4. pants, (ES) 536/2014 Regulējums klīniskajos pētījumos) izsaka ne tikai piekrišanas izsekojamību bet arī tā datuma noteiktību ārpus medicīniskā akta.

Kvalificēta horodatage integrēšana piekrišanas parakstu plūsmā nodrošina, ka piekrišanas datums ir sertificēts un neapstrīdams, tostarp inspekcijai ar veselības aprūpes iestādēm (HAS, ANSM) vai medicīniskās litigācijas gadījumā. Šajā sektorā medicīniskajai pieņemti elektroniskā paraksta risinājumi ir obligāti jāintegrē šajā kvalificētajā horodatageam, lai ievērotu specifiskos normatīvos pienākumus. Iestādes, kas izvietojušas šī veida risinājumus, parasti fiksē 60-70% samazinājumu piekrišanas administrācijas laika vadībā salīdzinājumā ar papīra procesu, pēc benchmarks, kas publicēts slimnīcu direktoru asociācijās.

Secinājumi

Kvalificēts horodatage eIDAS nav vienkāršs ciparu loks: tas ir spēcīgs juridisks pieņēmums, kas atzīts visā Eiropas Savienībā, kas pārvērš elektroniskā parakstā dokumenta datumu pierādījumā, kas ir pret jebkuru tiesu iestādi. Paļaujot uz uzraudzītiem PSCQ, stingriem ETSI standartiem un ilgtermiņa arhivēšanas formātiem (PAdES-LTA), tas piedāvā juridiskai drošībai, ko ne iekšējā servera horodatage ne vienkāršs faila metadati nevar sekmēt.

Uzņēmumiem, kas paraksta kontraktus, pārvalda jutīgas dosijas vai glabā pierādīšanas dokumentus vairākas gadus, kvalificēta horodatage integrēšana savā parakstu plūsmā nav vairs opcija — tas ir juridiskās labas prakses prasība.

Certyneo integrē dabīgi kvalificētu horodatage katrā elektroniskajā parakstā, kas izdevik no tā platformas. Uzziniet, kā nodrošināt savus dokumentālos pierādījumus, sākat savu bezmaksas izmēģinājumu vai skatiet mūsu caurspīdīgas cenas.