(Окончание, начало см. http://rusrim.blogspot.com/2026/01/pren-18221-1.html )
Проект европейского стандарта prEN 18221 «Цифровой паспорт продукта – Хранение, архивирование и обеспечение сохранности данных» (Digital product passport - data storage, archiving, and data persistence) по объёму невелик. Ниже приведен перевод ключевого раздела 4.
4. Общие принципы и требования
4.1. Требования к хранению данных и активов цифровых паспортов продукта
Цифровой паспорт продукта должен храниться экономическим оператором, и/или ответственным за его создание производителем, и/или действующими от их имени поставщиками услуг цифровых паспортов продуктов.
Данные в хранимом цифровом паспорте продукта должны быть точными, полными и актуальными.
Производитель обязан обеспечить доступность цифрового паспорта продукта в онлайн-режиме в течение всего срока действия цифрового паспорта продукта (digital product passport lifetime).
Цифровой паспорт продукта может содержать ссылки на другие цифровые паспорта продуктов, при этом цифровые паспорта продуктов всегда должны храниться независимо друг от друга.
Данные цифрового паспорта продукта должны храниться таким образом, чтобы на основе хранимых данных можно было генерировать человеко-читаемые и/или машиночитаемые представления.
Мой комментарий: Проще, наверное, было бы сказать, что должна поддерживаться понятность данных. Если данные понятны, то всегда можно создать разнообразные как человеко-читаемые, так и машиночитаемые представления.
Архитектура цифрового паспорта продукта является децентрализованной, и настоящий документ не предписывает каких-либо конкретных технологий хранения данных. Это позволяет экономическим операторам и поставщикам услуг цифровых паспортов продуктов использовать существующие системы в качестве основа для хранения данных.
Мой комментарий: Замечу, что отсутствует требование об обеспечении удобства поиска данных. В сложной распределённой системе (а речь идёт о целом континенте) данные могут существовать и, в принципе, быть доступными – но найти их сможет не каждая старушка :) Также не затронут вопрос о том, должны ли данные быть доступными пользователям на всех официальных языках Евросоюза.
4.2. Архивирование и правила архивирования
Мой комментарий: Напомню, что в данном стандарте понятие «архивирование» охватывает только старые версии цифрового паспорта продукта, и не охватывает его актуальную версию. Вообще стоит отметить, что в Регламенте №2024/1781 вопрос сохранения старых версий цифровых паспортов продуктов не рассматривается.
Сервис архивирования обеспечивает защищённое хранение исторических данных паспортов продуктов, сохраняя полную документацию об информации за прошлые периоды. Эта функциональная возможность особенно актуальна для целей надзора над рынком.
Архивирование начинается с момента внесения первого изменения в первоначальный цифровой паспорт продукта.
Архивные версии цифрового паспорта продукта должны храниться как в основном хранилище цифровых паспортов продукта, так и в резервном хранилище цифровых паспортов продукта (имеются в виду хранилища, поддерживаемые основными и резервными поставщиками услуг цифровых паспортов продуктов – Н.Х.).
Все архивные версии должны сохраняться в течение всего срока действия цифрового паспорта продукта.
Должны архивироваться все изменения в цифровом паспорте продукта, за исключением часто обновляемых или имеющих преходящее значение данных, если только иное не предписано какими-либо требованиями, специфическими для конкретного продукта.
На архивные версии распространяются те же ограничения доступа, что и на соответствующие атрибуты в текущем цифровом паспорте продукта.
Должна поддерживаться возможность поиска и извлечения аутентифицированными и авторизованными лицами архивной версии, соответствующей заданному моменту времени.
Целостность архивных версий и их верность оригиналам должны обеспечиваться в соответствии с европейскими стандартами по вопросам аутентификации, надежности и целостности данных.
4.3. Долговечность данных и правила обеспечения долговечности данных
Долговечность данных необходима для обеспечения доступности данных, включенных в паспорта продуктов, даже после прекращения активности на рынке создавшего паспорт экономического оператора.
При размещении продукта на рынке, экономический оператор, после регистрации продукта, должен предоставить резервную копию цифрового паспорта продукта через (основного – Н.Х.) поставщика услуг цифровых паспортов продуктов, который должен хранить резервную копию наиболее актуальной версии цифрового паспорта продукта.
Резервный поставщик услуг цифровых паспортов продуктов обязан хранить все версии цифрового паспорта продукта, если иное не предусмотрено требованиями, специфичными для конкретного продукта.
Доступ к атрибутам резервной копии цифрового паспорта продукта подпадает под те же ограничения, что и доступ к соответствующим атрибутам исходного цифрового паспорта продукта.
Если создавший паспорт продукта экономический оператор больше не проявляет активности на рынке, то резервный поставщик услуг цифровых паспортов продуктов несёт ответственность за интеграцию обновлений в цифровой паспорт продукта, когда такие изменения вносятся уполномоченной третьей стороной.
Цифровой паспорт продукта должен быть доступен через резервного поставщика услуг цифровых паспортов продуктов в течение всего срока действия цифрового паспорта продукта.
Доступ к цифровому паспорту продукта через резервного поставщика услуг цифровых паспортов продуктов должен предоставляться с тем же качеством обслуживания, которое по закону требуется от создавшего цифровой паспорт продукта экономического оператора, начиная с даты прекращения активности экономического оператора на рынке.
Мой комментарий: Разработчики стандарта всерьёз думают, что будет так легко установить момент «прекращения активности экономического оператора на рынке» …
Мне очень интересно, будут ли услуги доступа к паспортам платными? А если нет, то каковы будут риски и экономическая заинтересованность поставщиков услуг – причём требования к нему предъявляются настолько серьёзные, что взяться за подобную работу могут, наверное, только или коммерсанты-меценаты, или государственные органы.
4.4. Дополнительная электронная документация, прилагаемая к цифровому паспорту продукта
При предоставлении дополнительной электронной документации производитель обязан включить ее, напрямую или посредством ссылки, в цифровой паспорт продукта, и обеспечить к ней доступ через цифровой паспорт продукта.
Производитель обязан представить цифровые инструкции в формате, позволяющем скачивать и сохранять их на электронном устройстве, с тем, чтобы пользователь мог получить к ним доступ в любое время; он также обязан обеспечить к ним онлайн-доступ в течение всего срока действия цифрового паспорта продукта.
Мой комментарий: «Дьявол кроется в деталях». Формат электронной документации может, например, оказаться крайне неудобным для пользователей – при этом требование о доступности и возможности скачивания формально будет выполнено. Возможность онлайн-доступа «в любое время» может сильно зависеть от используемой ИТ-инфраструктуры и от местоположения пользователя … В стандарте отсутствуют чёткие критерии, позволяющие установить, выполнено ли в полной мере требование к обеспечению онлайн-доступа.
Резервный поставщик услуг цифровых паспортов продуктов также несет ответственность за хранение и обеспечение доступа к любой дополнительной электронной документации, включенной напрямую или посредством ссылки в цифровой паспорт продукта.
Мой комментарий: Ответственность поставщика за обеспечение работоспособности внешних ссылок – просто замечательная идея разработчиков стандарта…
4.5 Репликация между экономическими операторами и резервными поставщиками услуг цифровых паспортов продуктов
Создающий цифровой паспорт продукта экономический оператор несёт ответственность за обеспечение непрерывной репликации цифрового паспорта продукта и всех изменений в нём, как это предусмотрено в п.4.3, своему резервному поставщику услуг цифровых паспортов продуктов.
В случае внесения изменений частота репликации должна быть достаточной для защиты данных в случае ухода экономического оператора с рынка, - однако эта частота может быть дополнительно регламентирована специфическими требованиями, предъявляемыми к конкретному продукту.
Осуществление репликации между экономическим оператором и его резервным поставщиком услуг цифровых паспортов продуктов должно быть возможно посредством использования стандартизированного API-интерфейса жизненного цикла цифрового паспорта продукта; но также может осуществляться с использованием иных взаимно согласованных защищённых механизмов репликации.
Репликация между экономическим оператором и его резервным поставщиком услуг цифровых паспортов продуктов должна осуществляться по защищенному каналу, например, по зашифрованному соединению после успешной проверки обеспечения прозрачности сертификата (речь здесь идёт об одном из стандартов Интернета серии RFC, чьей публикацией занимается Инженерный совет Интернета (Internet Engineering Task Force, IETF) под эгидой Общества Интернета ISOC. Это стандарт IETF RFC 9162 «Обеспечение прозрачности сертификатов» версии 2.0 (Certificate Transparency Version 2.0), см. https://datatracker.ietf.org/doc/rfc9162/ . Стандарт специфицирует протокол для публичного протоколирования существования сертификатов сервера TLS (Transport Layer Security) по мере их выдачи или наблюдения таким образом, который даёт возможность любому пользователю проводить аудит деятельности удостоверяющего центра и выявлять случаи выдачи подозрительных сертификатов, а также проводить аудит самих журналов аудита выдачи сертификатов – Н.Х.).
Мой комментарий: Учитывая многообразие экономических операторов, их географического местоположения и юрисдикций, и, соответственно, риск потенциальной недоступности защищённых каналов по тем или иным причинам – мне трудно понять, почему нельзя, например, использовать передачу зашифрованных файлов по недоверенным каналам связи?
Мой комментарий: Стандарт оставляет впечатление «сырого» документа. Пока что он, как мне кажется, не решает ту задачу, ради которой был написан – выполнять функции чётко определённого технического регламента. Слишком много существенных технических вопрос не получили должного освещения.
Также складывается впечатление, что у разработчиков нет чёткого представления об экономической модели деятельности поставщиков услуг.
Далее, поставщики ведь также не вечны и могут прекратить свою работу (это может случиться даже с государственными органами и учреждениями) – и в стандарте нет ни слова о том, что будет происходить в таком случае …
Источники: сайт CEN / сайт DIN
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:80715,3342699&cs=16422F44E52DDD831093541EB8FA0D1D3
https://www.dinmedia.de/de/norm-entwurf/din-en-18221/393616128
https://www.doc88.com/p-20837826157788.html
Комментариев нет:
Отправить комментарий