Számla és számlakép elektronikus aláírása Csapodi Márton
Előzmények Council Directive 2001/115/EC of 20 December 2001 amending Directive 77/388/EEC with a view to simplifying, modernising and harmonising the conditions laid down for invoicing in respect of value added tax "(...) authenticity of the origin and integrity of the contents are guaranteed: by means of an advanced electronic signature (…); Member States may however ask for the advanced electronic signature to be based on a qualified certificate and created by a secure-signature-creation device or by means of electronic data interchange (EDI) (…)" "Invoices may, however, be sent by other electronic means subject to acceptance by the Member State(s) concerned."
A Direktíva alkalmazása
A Direktíva alkalmazása
CEN e-Invoicing Focus Group 2002-03: CEN e-Invoicing Focus Group on Standards and Developments on electronic invoicing relating to VAT Directive 2001/115/EC Final Report: FR, BE, SP, IR, NL: kell aláírás UK, FI: nem kötelező aláírás "aláírás" helyett jobb lenne "bélyegzőnek" hívni X.509v3 tanúsítványra épüljön EESSI szabványokra épüljön; az aláírt adatformátumok épüljenek be az üzleti protokollokba a tanúsítványra legyenek minimum követelmények megszabva
CEN/ISSS eInvoicing Workshop Phase I 2003-06: CEN/ISSS Workshop on „Interoperability of electronic Invoices in the European Union” www.cen.eu/isss/einv/ CWA 15574 CWA 15575 CWA 15576 CWA 15577 CWA 15578 CWA 15579: E-invoices and digital signatures CWA 15580: Storage of Electronic Invoices CWA 15581: Guidelines for eInvoicing Service Providers CWA 15582
CEN/ISSS eInvoicing Workshop Phase I Egyetértés van az EESSI szabványok alkalmazásában. A 2001/115/EC Direktíva keretein belül, de országonként jelentősen eltérnek a jogszabályi követelmények, konkrét megoldások: kell-e aláírás; fokozott biztonságú / minősített mi az aláírás funkciója (integritás és hitelesség vagy "content commitment" is) lehet-e automatizált folyamat aláírhatja-e harmadik fél (ha igen, saját kulccsal, vagy a kibocsátóéval) formátum: számlaformátum (makrók, rejtett kód); aláírás formátum hitelesítő adatok köre (időbélyegző, CRL, archív időbélyegző) hitelesítő adatok mikor/hogyan kapcsolódnak a számlához (küldés/tárolás előtt/után) vannak-e egyéb, az elektronikus tranzakcióhoz kapcsolódó csatolandó adatok (időpont, nyugta), ezek aláírás előtt vagy után csatolódnak
CEN/ISSS eInvoicing Workshop Phase I Megállapítások: kell harmadik fél általi aláírás ezt megteheti saját kulcsával is (tanúsítványban javasolja jelezni, hogy ő harmadik fél) kell automatizált aláírás számla és aláírás formátumra nem tud előírást adni (egyes alkalmazások, pl. SAP saját aláírás formátummal rendelkeznek) de javasolja a statikus (makró- és rejtett kód mentes) formátumot hitelesítő adatok csatolására (mit, mikor, hogyan) nem tud előírást adni de a hitelesség ellenőrizhető kell legyen a teljes megőrzési idő alatt és az ehhez szükséges (hitelesítő) adatokat is meg kell őrizni és javasolja a kivárási idő betartását
CEN/ISSS eInvoicing Workshop Phase I Ki a számla aláírója, ki "birtokolja" az ALE-t, mi az, hogy "egyedülállóan az aláíróhoz köthető", mi van a tanúsítványban ("alkalmas az aláíró azonosítására"): 1999/93/EC Direktívában: "signatory" means a person who holds a signature-creation device and acts either on his own behalf or on behalf of the natural or legal person or entity he represents; EAT-ban: "Aláíró" az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja és a saját vagy más személy nevében aláírásra jogosult. Az új CWA szerint a "person" lehet "legal person" is!? Van, ahol minősített aláírás a követelmény, holott a számla aláírása nem lehet kötelező A számla aláírása csak egy "electronic seal": integritásra és hitelességre szolgál Harmadik félnek átadott aláíró kulccsal hitelesített számla hogyan felel meg a definícióknak? A számla aláírásra szolgáló tanúsítványt másra ne lehessen használni (tanúsítványban jelezhető). Harmadik fél esetén javasolt még ezt is külön jelezni (tanúsítványban).
CEN/ISSS eInvoicing Workshop Phase I A hosszú távú hitelesség ellenőrzés kétféle módon biztosítható:
ETSI STF 305 ETSI STF 305: Procedures for Handling Advanced Electronic Signatures on Digital Accounting http://portal.etsi.org/docbox/esi/Open/SODA A Technical Report on “Best Practices for handling electronic signatures and signed data for digital accounting” A Technical Specification on “Policy requirements for trust service providers signing and/or storing data for digital accounting”
ETSI STF 305: Megőrzési és aláírási kötelezettségek
ETSI STF 305: Átjárhatóság
ETSI STF 305: TSP modell
ETSI STF 305: Commonly Acceptable Practices for TSPs Minimum, maximum követelmények és javasolt gyakorlat Aláírás (minősítése, tanúsítvány, aláíróeszköz, regisztráció, visszavonás) Megőrzés (hozzáférés biztosítása, hitelesség/integritás megőrzése, olvashatóság, tároló média, formátum, bizalmasság Szkennelt számlák aláírása Infosec management (ISO/IEC 17799 alapján: kockázatelemzés, szabályozás, emberi erőforrás, fizikai hozzáférés, hálózat biztonság, üzemeltetés biztonság, hozzáférés menedzsment, szoftver beszerzés/fejlesztés, stb.)
Hagyományos PKI modell
TSP modell
TSP modell előnyei Felhasználó hitelesítés és aláíró kulcs kezelésének szétválasztása: Elkülönülten szabályozható az aláírási jogosultság Meglévő belső hozzáférési jogosultságokra épül, meglévő azonosítási mechanizmusokra, hitelesítési megoldásokra. A szervezet maga képes a jogosultság felfüggesztésére, visszavonására, külső szolgáltató nélkül Nincs speciális kulcstároló eszköz a felhasználónál vagy a gépén Az aláíró kulcs biztonsága kevésbé kiszolgáltatott képzetlen felhasználóknak (biztonságosabb, olcsóbb, jobb)
Számlázási modell MONEY FLOW DATA FLOW PERSONAL FINANCE SYSTEM, AGGREGATOR, BANK DATA PARSING BILL FORMATTING BILLER HOSTING DATA FLOW BILL INFO PAYMENT ORDERS MONEY FLOW PAYMENT AND REMITTANCE PROCESSING FORRÁS: EBILLING.ORG
Számlázási modell
B B B B B B B B B B C C C C C C C Számlázási modell Billers Biller Service Providers BSP HOSTING Consolidator CSP HOSTING BILLER DIRECT Customer Service Providers Customers C C C C C C C FORRÁS: APACS
Számla konszolidáció (&CSP) Siker feltétele: számlakibocsátók kritikus tömege Biller 1. BILLERS SEND BILLS TO CONSOLIDATOR 5. BANK PAYS BILLERS Biller 2. CONSOLIDATOR ADVISES CUSTOMER OF BILLS Customer’s Bank Aggregator Customer 3. CUSTOMER VIEWS BILLS, AUTHORIZES PAYMENT 4. CONSOLIDATOR DIRECTS BANK TO PAY
Vastag és vékony konszolidátor Biller #1 Billing Appl. Bill Data Biller #1 Billing Appl. Summary Data Conso- lidator’s Web Page Conso- lidator’s Web Page Bill Data Biller #2 Billing Appl. URL link for detail Biller #1’s Web Page Thick - data consolidated Thin - links to Biller’s site FORRÁS: VALERIE KRAMER, PNCBANK
ETSI STF 298 Advanced Electronic Signature Profiles TS 102 734 – Profiles of CMS (RFC 3852) Advanced Electronic Signatures based on TS 101 733 (CAdES) TS 102 904 – Profiles of XML Advanced Electronic Signatures based onTS 101 903 (XAdES) Profilok: e-számlázás e-közigazgatás általános célú
CEN/ISSS eInvoicing Workshop Phase II 2007-2009 5 terület (tervezett CWA): A terjedés elősegítése Megfelelőségi kritériumok a Directive 2001/115/EC-hez Hitelesítés, biztonságos számlaközlekedtetés hatékonyan Számlázás egyes specifikus üzleti kapcsolatokban Szolgáltatók együttműködése
CEN/ISSS eInvoicing Workshop Phase II Hitelesítés, biztonságos számlaközlekedtetés hatékonyan