Elektronikus dokumentumok hosszú távú, hiteles archiválása Dr. Berta István Zsolt, PhD, MBA, CISA K+F és folyamatszervezési igazgató Microsec Kft.

2 Microsec Kft. bemutatása Az Igazságügyi és Rendészeti Minisztérium számítástechnikai szolgáltatója  E-Cégeljárás megvalósítása és üzemeltetése  Online céginformációs szolgáltatás Minősített Hitelesítés Szolgáltató  Minősített hitelesítés szolgáltatás  Minősített elektronikus archiválás szolgáltatás e-Szignó szoftverfejlesztés  e-Szignó minősített aláíró-ellenőrző alkalmazás fejlesztése

3 Az elektronikus dokumentum Jól menedzselhető Könnyen módosítható A módosításnak nincsen nyoma Könnyen, nyom nélkül megsemmisülhet Hogyan biztosíthatjuk egy elektronikus dokumentum hiteles megőrzését?

4 Jogszabályi követelmény 114/2007. GKM rendelet: „2. § (1) A megőrzésre kötelezett a megőrzési kötelezettség lejártáig folyamatosan köteles biztosítani, hogy az elektronikus dokumentumok megőrzése olyan módon történjen, amely kizárja az utólagos módosítás lehetőségét, valamint védi az elektronikus dokumentumokat a törlés, a megsemmisítés, a véletlen megsemmisülés és sérülés, illetve a jogosulatlan hozzáférés ellen.”

5 Hogyan teljesíthetjük e követelményeket? A 114/2007. GKM r. követelményei teljesíthetőek: Legalább fokozott biztonságú elektronikus aláírással és minősített időbélyegzővel. Zárt rendszerrel, amelyre egy akkreditált tanúsító szervezet igazolja, hogy megfelel a rendeletben szereplő követelményeknek. EDI rendszerrel (spec. zárt rendszer).

6 Elektronikus aláírás (e-szignó) Az elektronikus aláírás a kódolás egy fajtája. Elektronikus aláíráskor ún. aláírás-létrehozó adat alapján kódoljuk az aláírt dokumentumot. A kódolás az aláírás-létrehozó adat nélkül nem végezhető el (nincs rá hatékony módszer). Az aláírást bárki ellenőrizheti, ehhez az aláíró tanúsítványa szükséges, amelyet hitelesítés szolgáltató bocsát ki. Az elektronikus aláírást jogszabály is elismeri.

évi XXXV tv. az elektronikus aláírásról EU direktíva (1999/93) az elektronikus aláírásról Elektronikus aláírással kapcsolatos szolgáltatások meghatározása  hitelesítés szolgáltatás (tanúsítvány-kibocsátás)  időbélyegzés szolgáltatás  eszköz szolgáltatás  archiválás szolgáltatás Minősített és nem minősített szolgáltatók, és a szolgáltatásaikhoz kapcsolódó bizonyító erő Nyilvántartás, felügyelet (Nemzeti Hírközlési Hatóság) A szolgáltatókra vonatkozó biztonsági követelmények, szolgáltatók felelőssége stb.

8 Mitől válhat egy aláírás ellenőrizhetetlenné? Az (elektronikus) aláírás egy bizonyíték valamilyen állításra, kötelezettségvállalásra. Idővel ellenőrizhetetlenné válhat az aláírás, ha  már nem igazolható az aláírás időpontja,  az aláíráson lévő időbélyeg hitelessége megkérdőjelezhetővé válik,  már nem igazolható, hogy az aláíró tanúsítványa érvényes volt az aláírás pillanatában,  már nem lehet kideríteni, ki volt az aláíró,  a felhasznált kriptográfiai algoritmusok elavulnak. Az aláírt állítás/kötelezettségvállalás nem válik meg nem történtté, de nehéz lesz bizonyítani…

9 Meddig hiteles egy elektronikus aláírás? Az „egyszerű” aláírás: addig hiteles, amíg az aláíró tanúsítványa érvényes. Az időbélyeggel védett aláírás: addig hiteles,  amíg az időbélyegző tanúsítványa érvényes, és  amíg beszerezhetőek a releváns visszavonási információk Ha azt szeretnénk, hogy az elektronikus aláírás ennél tovább is hiteles maradjon, speciális módon kell őriznünk…

10 A hitelesség megőrzéséhez hosszú távon Össze kell gyűjtenünk az aláírás érvényességét igazoló információkat Mindezt minősített időbélyeggel kell ellátnunk (ez az ún. archív aláírás) Folyamatosan figyelnünk kell az elektronikus aláírás technológiájának fejlődését Újabb, „erősebb” időbélyeggel kell ellátnunk az aláírt dokumentumokat, aláírásokat stb., „ha ez szükségessé válik”.

11 Jogi szempontból (114/2007. GKM r.) Ha a megőrzési kötelezettség időtartama… rövidebb, mint 11 év,  legalább fokozott biztonságú elektronikus aláírást és minősített időbélyeget kell elhelyeznünk rajta  (az e-számlákra ez már eleve teljesül) hosszabb, mint 11 év,  mindig meg kell ismételni az időbélyegzést, ha az Eat. szabályai szerint az szükséges A megőrzéssel archiválás szolgáltatót is meg lehet bízni.

12 Elektronikusan aláírt adat archiválása A papír alapú dokumentumokhoz hasonlóan az elektronikusan aláírt dokumentumokat is speciális körülmények között kell archiválni. „Házilag” pl. archív aláírás létrehozása és gondozása Minősített archiválás szolgáltató (Eat. szerinti)

13 Archiválás szolgáltató Az archiválás szolgáltató megbízható, bevizsgált rendszerrel ellenőrzi, és biztonságos módon eltárolja az archiválandó aláírást. Az archiválás időtartama alatt a jogszabályi előírások szerint folyamatosan biztosítja az archivált aláírások hitelességét. Ügyfelei kérésére igazolást állít ki arról, hogy egy adott aláírás érvényes. Ha minősített archiválás szolgáltató archivál egy aláírást, vélelmezni kell, hogy az aláírás érvényes, és a dokumentumot nem változtatták meg. A minősített archiválás szolgáltatókról a Nemzeti Hírközlési Hatóság vezet nyilvántartást.

14 Miért bízzunk meg archiválás szolgáltatót? Az elektronikus aláírás és időbélyeg csak az észrevétlen módosítást zárja ki, az 114/2007. GKM r. 2. § (1) többi követelményét önmagában nem teljesíti. A hiteles archiválás nehéz feladat. Az aláírás csak akkor ér valamit, ha műszakilag ellenőrizhető. Aki minősített archiválás szolgáltatóra bízza az archiválást, az gondosan járt el. /pl. Eat. 4. § (7) szerinti vélelem/ Olvashatóság, értelmezhetőség biztosítása. Archiválás a befogadó részére is.

15 Archiválás a befogadó részére a számla kibocsátójaa számla befogadója minősített archiválás szolgáltató számla A számlát archiválás szolgáltató őrzi, a címen tudod elérni, a hiteles megőrzésével nincsen teendőd, akár papír alapú számlaként is kezelheted.

16 Összefoglalás Az elektronikusan aláírt dokumentumokat speciális körülmények között kell archiválni, ez megoldható  „házilag”;  archiválás szolgáltató igénybe vételével; Az archiválás bonyolult feladat, jelentős szaktudás és drága infrastruktúra szükséges hozzá. A minősített archiválás szolgáltató ezeket egységesen, professzionális módon oldja meg, egyúttal:  tevékenységéért pénzügyi felelősséget vállal;  az ügyfél igazolhatja, hogy gondosan járt el;  bizonyító erő kapcsolódik hozzá;  megjeleníthetőség, értelmezhetőség

17 További információ

18 Köszönöm a figyelmet!

Elektronikus dokumentumok hosszú távú, hiteles archiválása Dr. Berta István Zsolt, PhD, MBA, CISA K+F és folyamatszervezési igazgató Microsec Kft.