четверг, 30 ноября 2017 г.

Европейский закон eIDAS: Квалифицированные услуги доставки и архивации зарегистрированной электронной почты


Данная заметка Кристиана Дюбура (Christian Dubourg – на фото), директора по маркетингу компании Spark Archives (входит в состав группы Klee Group) была опубликована 10 ноября 2017 года в социальной сети LinkedIn.

Среди различных услуг доверия, упоминаемых европейским законом eIDAS (это закон «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке», см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014R0910&from=EN , французская редакция - http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32014R0910&from=ENН.Х.), для многих организаций остается загадкой «квалифицированная служба электронной зарегистрированной доставки» (фр. service d’envoi recommandé électronique qualifié, англ. qualified electronic registered delivery service). О чём тут идёт речь на самом деле?

Ничего нового?

Электронная доставка - это услуга, уже в течение многих лет предлагаемая во Франции рядом организаций и компаний. В 2005 году Гражданский кодекс был дополнен статьёй 1369-8 (см. https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070721&idArticle=LEGIARTI000006438628данный подпункт был отменен в 2016 году – Н.Х.) с целью регламентации доставки зарегистрированной (заказной) электронной почты с использованием услуг третьих сторон. Внесенная Законом №2016-1321 от 7 октября 2016 года «Об электронной Республике» (Loi pour une République numérique, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&dateTexte=20171124 ) в «Кодекс почты и электронных коммуникаций» (Code des postes et des communications électroniques) статья L100 (см. https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000033207397 ) заменяет все предыдущие тексты и устанавливает, что «доставка с использованием зарегистрированной электронной почты эквивалентна доставке заказным письмом, поскольку отвечает требованиям статья 44 закона eIDAS №910/2014 от 23 июля 2014 года».

Юридическая значимость зарегистрированного электронного письма во Франции

Как сказано на официальном сайте французского правительства, «юридическая значимость зарегистрированного электронного письма такая же, как у классического заказного письма с уведомлением о вручении». Чтобы зарегистрированное электронное письмо было юридически значимым, процесс его доставки должен соответствовать следующим условиям:
  • Ответственная за маршрутизацию электронных писем третья сторона должна гарантировать личность адресата и отправителя;

  • Если получатель не занимается профессиональной деятельностью, то должно быть получено его предварительное согласие;

  • Даты отправки и ролучения должны быть задокументированы, с возможностью их проверки.
Ответственная за маршрутизацию зарегистрированных электронных писем третья сторона должна сохранять эту информацию в течение 1 года, и, кроме того, сохранять:
  • Оригинальный электронный документ, и

  • Его хеш (дайджест).
Отправитель может получить доступ к этой информации в течение 1 года.

Квалифицированная служба электронной зарегистрированной доставки в законе eIDAS

В дополнение к французскому законодательству, сервис электронной зарегистрированной доставки в eIDAS рассматривается как подпадающая под eIDAS услуга доверия. Таким образом, Вы можете рассылать по всей Европе зарегистрированные электронные почтовые сообщения, которые будут в обязательном порядке признаваться юридически значимыми во всех странах Евросоюза, если Вы используете для этой цели специализированную службу доверия, соответствующую требованиями eIDAS. Как и все прочие квалифицированные услуги доверия, предусмотренные eIDAS, квалифицированные услуги по электронной квалифицированной доставке должны предоставляться квалифицированным поставщиком услуг доверия (Prestataire de Services de Confiance Qualifié, PSCQ, англ. qualified trust service provider). Во Франции такие поставщики предлагают услуги, соответствующие критериям оценки соответствия закону eIDAS, опубликованным Национальным агентством по безопасности информационных систем (l'Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI).

Установленные ANSSI правила, регламентирующие оказание подобных услуг во Франции, включают следующие требования:
  • Использование надежных систем и продуктов, обеспечение безопасности и надежности процессов;

  • Сохранение информации, отправленной и полученной в процессе доставки зарегистрированных электронных сообщений;

  • Обеспечение непрерывности обслуживания после прекращения деятельности службы зарегистрированной электронной доставки;

  • Оказание услуг одним или несколькими квалифицированными поставщиками услуг доверия;

  • Идентификация отправителя с повышенной степенью уверенности;

  • Идентификация получателя перед передачей ему данных;

  • Защита приема-передачи данных с помощью усиленной электронной подписи или усиленной электронной печати поставщика услуг доверия, с тем, чтобы исключить любую возможность недетектируемого изменения данных;

  • Уведомление отправителя и получателя данных о любых изменениях в данных, которые были необходимы для их отправки или получения;

  • Индикация даты и времени отправки, получения и любой модификации данных с помощью квалифицированной электронной отметки времени.
Является ли eIDAS-услуга также услугой архивации?

ANSSI объясняет: «Поставщик квалифицированной услуги электронной зарегистрированной доставки должен сохранять в течение, как минимум, семи лет после даты отправки и получения данных всю соответствующую информацию, касающуюся переданных и полученных данных, в частности, с целью представления доказательств в суд».

Мой комментарий: Это положение содержится в опубликованном ANSSI документе «Квалифицированная служба электронной зарегистрированной доставки – Критерии оценки соответствия закону eIDAS» (Services d’envoi recommandé électronique qualifiés - Critères d’évaluation de la conformité au règlement eIDAS, Version 1.0 du 3 janvier 2017, https://www.ssi.gouv.fr/uploads/2016/06/eidas_envoi-recommande-electronique-qualifie_v1.0_anssi.pdf ), см. п.II.3.3.

Как минимум, требуется сохранять следующие сведения:
  • Личность отправителя электронного зарегистрированного сообщения;

  • Подтверждение проверки личности отправителя;

  • Ссылка на документ, который является предметом услуги электронной зарегистрированной доставки;

  • Квалифицированные электронные отметки времени, фиксирующие дату и время отправки, получения и, если необходимо, изменения данных;

  • Личность получателя электронного зарегистрированного сообщения;

  • Подтверждение проверки личности получателя;

  • Данные, относящиеся к обеспечению защиты процесса доставки (электронные печати).
Следует отметить, что, согласно мнению ANSSI, для обеспечения сохранности информации следует соответствовать положениям стандарта ETSI EN 319 401 в части обеспечения сохранности доказательств и наличия плана на случай прекращения деятельности.

Мой комментарий: Речь идёт о подготовленном Европейским институтом телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI, http://www.etsi.org/ ) европейском стандарте ETSI EN 319 401 «Электронные подписи и инфраструктуры: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers), самая свежая редакция которого выложена по адресу http://www.etsi.org/deliver/etsi_en/319400_319499/319401/02.02.00_20/en_319401v020200a.pdf .

Из этого текста следует, что поставщики услуг доверия должны не архивировать контент, а «хранить ссылку на документ», который является предметом запроса на зарегистрированную доставку.

Существует ли рынок для данной eIDAS-услуги доверия?

Много ли Вы отправили за пределы Франции зарегистрированных электронных писем? Наверняка немного. Однако целью eIDAS-услуги является способствование развитию электронного доверия в Европе. Таким образом, в случае необходимости eIDAS-услуга электронной зарегистрированной доставки будет представлять собой реальный инструмент, позволяющее развивать взаимодействие в масштабах Европе и выходить далеко за пределы возможностей, поддерживаемых национальным законодательством.

Как определить, что поставщик способен оказать квалифицированную услуги в соответствии с eIDAS?

Существует веб-сайт, который содержит список всех европейских поставщиков и услуг, см. https://webgate.ec.europa.eu/tl-browser/?lipi=urn%3Ali%3Apage%3Ad_flagship3_pulse_read%3BxVzySNhATn%2BSr9Txbi8Hmw%3D%3D#/   На этом сайте для каждой европейской страны выложен список компаний и организаций, предлагающих услуги доверия в соответствии с eIDAS. Таким образом, можно видеть, что некоторые страны уже предлагают услуги, которые другие еще не предоставляют.

Самый простой способ - искать в этом списке желаемый сервис. eIDAS-услуги сокращенно обозначаются следующим образом:
  • QCert for ESig = Квалифицированный сертификат электронной подписи

  • QCert for ESeal = Квалифицированный сертификат электронной печати

  • QTimestamp = Квалифицированная отметка времени

  • QVal for QESig = Квалифицированный сервис проверки квалифицированных электронных подписей

  • QVal for QEsael = Квалифицированный сервис проверки квалифицированных электронных печатей

  • QWAC = Квалифицированный сертификат для аутентификации веб-сайтов

  • QPres for QeSEal = Квалифицированный сервис обеспечения долговременной сохранности квалифицированных электронных печатей

  • QPres for QESig = Квалифицированный сервис обеспечения долговременной сохранности квалифицированных электронных подписей

  • QeRDS = Квалифицированная служба электронной зарегистрированной доставки
Кристиан Дюбур (Christian Dubourg)

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/eidas-services-denvoi-recommand%C3%A9-%C3%A9lectronique-et-christian-dubourg 

Комментариев нет:

Отправить комментарий