Új lehetőségek az azonosításban
A szeptember 1-jével életbe lépett Digitális Állampolgárság Program (DÁP), ami jelentős előrelépést hozhat az online ügyintézésben. Nemcsak könnyebb és egyszerűbb hozzáférni állami szolgáltatásokhoz, hanem biztonságosabb is. Adóbevallás, szociális támogatások igénylése, egészségügyi adatok elérése – gyorsan, biztonságosan és környezetbarát módon, papír nélkül intézhető.
„Példaként az Ügyfélkapu felhasználók jelentős többsége eddig felhasználónév-jelszó párossal azonosította magát, ami a mai világban nem a legbiztonságosabb megoldás. Eddig egyrészt ergonómiai, másrészt a tájékozatlanság okán kevesen tértek át a jóval biztonságosabb Ügyfélkapu+ kínálta kétfaktoros azonosításra. A DÁP telefonos alkalmazása ugyanakkor egymagában megoldást nyújt a biztonsági és ergonómiai kérdésekre. Az azonosítás biztonságát a PKI technológiára támaszkodva, a legfelső szintre emeli, miközben a felhasználónak a DÁP alkalmazással – az első alkalommal történő regisztrálást követően – csak egy QR kódot kell leolvasnia, ha a magyarorszag.hu felületére belépve ügyet intézne” – mondta Vanczák Gergely, a Microsec - e-Szignó Minősített Bizalmi Szolgáltató CTO-ja.
A DÁP azonban tartogat még egy újdonságot az emelt biztonságú azonosítás lehetőségén túl is.
A DÁP magával hozná az e-aláírás forradalmát is
A DÁP kapcsán az e-aláírás tekintetében is nagyok az elvárások.
„A DÁP teremtené meg a B2C szektorban is a papírmentességet, ami a B2B piacon már alakulóban van. Elvégre az üzleti életben ha rendelkeznünk is elektronikus aláírással, az ügyfelek sokszor nem, így a papíralapú megoldások nem kerülhetők ki. A DÁP e-aláírás kinyitja annak lehetőségét, hogy a bizonyító erejű aláírást igénylő szerződéskötések, megállapodások, már kizárólag elektronikus formában történjenek” – tette hozzá Vanczák Gergely.
Ezt támogatja az eIDAS (electronic IDentification, Authentication and trust Services) rendelet, ami az Európai Unió keretén belül szabályozza az elektronikus aláírást biztosító bizalmi szolgáltatásokat.
Az eIDAS idén elfogadott módosítása rendeletben előírja minden tagállamra vonatkozóan, hogy biztosítaniuk kell a honpolgárok számára általános célú elektronikus aláírást. Ugyanakkor, hogy ne legyen piacromboló hatása, ezeket a díjmentes tanúsítványokat a hazai szabályozás alapján csak magáncélra lehet használni, az üzleti világban továbbra is szükséges lesz az előfizetéseken alapuló e-aláírásokra. Ennek egész egyszerűen az is az oka, ha minden e-aláírás díjmentessé válna, az hamar a szolgáltatások minőségén is meglátszana.
„A DÁP megjelenésével még nagyobb lendületet kaphat az e-aláírás technológia hazai terjedése. Viszont tanulni kell az e-aláírás funkciót már tartalmazó eSzemélyi példájából: ha nem teremtünk a felhasználóknak ergonomikus környezetet a használathoz, valamint felhasználási területeket, akkor nem fogunk tudni profitálni az e-aláírás előnyeiből” – mondta Vanczák Gergely.
Hogyan befolyásolja a DÁP az elektronikus aláírások üzleti célú felhasználását?
Fontos megjegyezni, hogy az e-aláírás jogi keretei hazánkban már 2001 óta léteznek, amit 2016-ban felváltott az eIDAS rendelet. Bevezetésével egységes szintre emelkedtek az e-aláírás kritériumai az EU tagállamaiban.
„A jogi alap már régóta megvan Magyarországon is. Az e-aláírás elterjedésének inkább az ergonómia volt a gátja. Magyarán szólva a chipkártyák és a speciális kártyaolvasók szükségessége és körülményes használata miatt nem tudott elterjedni. Ebből egyenesen arányosan következik, hogy mivel kevesen használtak e-aláírást, a befogadó terület is szűkös volt. A DÁP aláírás funkciójának megjelenésével -mely most az új határidő szerint 2025 harmadik negyedévében várható- azonban javulhat a helyzet, és mind a felhasználók, mind pedig a befogadó helyek rapid növekedésbe kezdhetnek” – összegezte Vanczák Gergely.
Elvégre, akik szeretnék kihasználni az előnyöket, azoknak el kell fogadniuk az e-aláírással védett dokumentumokat.
Ez minden résztvevő fél számára azt jelenti, hogy fel kell készíteniük saját rendszereiket az e-dokumentumok fogadására. Erősödni fognak azok a megoldások, amelyek támogatják az e-aláíráson alapuló folyamatokat, felgyorsítva ezzel a gazdaságot.
Elektronikus cégképviselet 2.0
A DÁP sok lehetőség előtt nyithatja meg az ajtót, hiszen az állam lényegében gondoskodik az ügyfelek azonosításáról. Így a piaci bizalmi szolgáltatóknak nem szükséges személyesen vagy online, egy videohívás keretén belül ellenőriznie az e-aláírást igénylők kilétét.
„A DÁP aláírási és azonosítási funkcióira támaszkodva könnyebben tudják majd azonosítani az ügyfeleket, és kiadni az e-aláíráshoz szükséges tanúsítványokat, ami az ügyfelek számára komoly költség és időmegtakarítást jelenthet” – mutatott rá Vanczák Gergely.
Akinek van DÁP-alkalmazása és e-aláírása, sokkal könnyebben tud keresztülmenni a bizalmi szolgáltatók onboarding folyamatán, hiszen mindenki tudja, hogy a belépés mindig a legkörülményesebb az elektronikus tanúsítványok világába.
Ami az e-aláírás hitelességét illeti, pont olyan bizonyító erővel bír, mint az eredeti papíralapú dokumentum. Mindenkire vonatkozik és pontosan olyan mintha papír alapon, 2 tanú előtt írnánk alá. Persze fontos meggyőződni az aláírás hitelességéről és arról, hogy érvényes-e. A felhasználók ezt nem tudják megállapítani, ehhez applikációk kellenek.
„Ha az 1867-ben aláírt Kiegyezés dokumentumait nézzük, azok a mai napig érvényesek, mivel megőrizték őket valamilyen levéltárban. Ha elektronikusan történt volna a Kiegyezési dokumentumok aláírása, azok is érvényesek lennének a mai napig, amennyiben gondoskodtak volna időről-időre a dokumentumokon szereplő e-aláírások „karbantartásáról”. Tehát az elektronikus aláírásoknál nagyon figyelni kell a létrehozásukkor felhasznált matematikai algoritmusok elavulására, érvényességére, mert ha azok használatát az informatikai számítási kapacitás folyamatos növekedése miatt a későbbiekben már nem javasolják,-azaz törhetővé válnak-, akkor még a letiltásuk előtt az érintett aláírásokat egy biztonságosabb algoritmuson alapuló időbélyeggel felül kell hitelesíteni” – mutatott rá a felülhitelesítés szükségességére egy szokatlan párhuzammal Vanczák Gergely.
Archiválás és hiteles digitalizáció
Az elektronikus dokumentumok hitelességének hosszú távú megőrzésére két megközelítés létezik. Az egyik a szervezetek saját IT rendszerébe integrált megoldás, amikor megfelelő szoftverekkel időről-időre megvizsgáljuk a dokumentumokat és a rajtuk lévő aláírásokat, ha pedig szükséges, akkor felülhitelesítjük egy aktuálisan elfogadott erős algoritmuson alapuló időbélyeggel. Tehát korszerűbb védelmi algoritmussal látjuk el.
A másik opció a minősített archiválás szolgáltatók igénybevétele, melyek leveszik a dokumentumok megőrzésből, az aláírások ellenőrzésből és felülhitelesítéséből fakadó terhet a vállunkról, és folyamatosan biztosítják a dokumentumok hitelességét bármely időpillanatban.
Az hiteles archiválás mellett az is gyakran felmerülő kérdés, hogy miként lehet a papíralapú adatvagyont hitelesen digitalizálni?
„A papírok digitalizálása során nem elegendő a dokumentumok szkennelése; szükség van arra is, hogy a szkennelt másolat hiteles legyen, és valaki vagy valami (jogi személy) vállalja a felelősséget a papíralapú eredeti példány és az elektronikus másolat egyezőségéért. Ezt speciális folyamatokkal és elektronikus aláírásokkal lehet biztosítani, amelyek tanúsítják, hogy a digitalizált változat megegyezik az eredeti papíralapú dokumentummal. Az OCR technológia segítségével a papíralapú dokumentumok elektronikus változatai már akár tartalom szerint is kereshetővé válnak, növelve a hatékonyságot és a hozzáférhetőséget” – egészítette ki Vanczák Gergely.
eIDAS módosítása és az attribútum tanúsítványok jelentősége
Az eIDAS rendelet módosításának 2024 elején történő elfogadása bevezette az minősített attribútum szolgáltató fogalmát, amelyek az általuk kiadott attribútum tanúsítványokkal megkönnyítik az elektronikus aláírások használatát, különösen cégképviselet igazolása esetén.
Jelenleg az aláírói tanúsítványok használata során előfordulhat, hogy az aláíró személy minden általa képviselt cég esetén külön szervezeti tanúsítvánnyal rendelkezik , melyben az aláíró nevén túl szerepel az adott cég neve és a cégképviseleti jog ténye. Ez gyakran nehézkes és bonyolult lehet azok számára, akik több vállalatot nevében is eljárnának, azaz ahány vállalat annyi aláírói tanúsítvány kezelése szükséges. Egy úttörő, de már 20 éve létező technológiai megoldás, az attribútum tanúsítvány, azonban jelentősen egyszerűsíti az életünket.
„Az attribútum tanúsítvány egy olyan innovatív technológiai megoldás, amely lehetővé teszi, hogy az aláíró személy elektronikus aláírásához az aláírás pillanatában társítsa azt az információt, hogy példaként az éppen az adott aláírási folyamatban melyik cég nevében jár el. Ez a könnyebb megértés végett tekinthető egy elektronikus "aláírási címpéldánynak" is, amely igazolja, hogy az adott cég nevében történik az aláírás. Ezt az attribútum tanúsítványt egy minősített attribútum szolgáltató adja ki, és az aláírói tanúsítványokkal szemben nem tartalmaz nyilvános kulcsot, ugyanakkor hivatkozik az aláírói tanúsítványra, és csak rövid ideig érvényes (pár perc), azaz az aláírás pillanatára vonatkozóan hitelesen igazolja a cégképviselet meglétét. Az aláíró aktuális cégképviseleti jogosultságának lekérdezése a céginformációs adatbázisból történik mindig az aláírás pillanatában. Ez számtalan visszaélést és biztonsági kockázatot szüntet meg” – mondta a Microsec CTO-ja.
Összességében tehát az elektronikus aláírás és azt kezelő megoldások a DÁP megjelenését követően a jövőben még nagyobb szerepet fognak kapni a hétköznapi és üzleti életben egyaránt, nem beszélve a vállalati adminisztráció digitalizálásáról. Ezek a technológiák nemcsak gyorsabbá és biztonságosabbá teszik a dokumentumkezelést, hanem hozzájárulnak a hitelesség és a jogi megfelelés hosszú távú fenntartásához is.