Европейский закон eIDAS: Усиленные электронные подписи на основе квалифицированного сертификата – какой стандарт ETSI применим?

В Евросоюзе тоже не всё ясно в отношении усиленных электронных подписей, и новый европейский закон eIDAS (это закон «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке», см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014R0910&from=EN , который, помимо прочего, в части регулирования электронных подписей, электронных сертификатов и деятельности удостоверяющих центров заменил европейскую Директиву 1999/93/EC от 13 декабря 1999 года об электронных подписях) ставит новые вопросы.

Ниже приведен вопрос руководителя юридической группы французского банка BNP Paribas Стефана Муи (Stéphane Mouy – на фото), который он в начале февраля задал в группе «Электронные / цифровые подписи в Евросоюзе» (Electronic / Digital Signature in the EU, https://www.linkedin.com/groups/3757006 ) в социальной сети LinkedIn. К тому же в этом посте приведена свежая информация о соответствующих стандартах Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI).

Прошу прощения, если эта тема уже обсуждалась, я в этой группе новичок. Я хотел бы узнать мнения членов группы относительно довольно туманного, но, на мой взгляд, важного аспекта, касающегося электронных подписей согласно закону eIDAS, которым являются требования к идентификации и аутентификации для усиленных электронных подписей на основе квалифицированных сертификатов – в отличие от квалифицированных электронных подписей.

Мой комментарий: Закон eIDAS, продолжая линию, намеченную ещё Евродирективой, содержит ряд дополнительных требований, соответствие которым позволяет признать электронную подпись квалифицированной (и которые не предусмотрены российским законодательством, написанным на основе ранней версии Евродирективы). Так, например, обязательно использование высокозащищённого устройства для создания подписи. С очки зрения европейского права, российские квалифицированные подписи расцениваются именно как усиленные электронные подписи на основе квалифицированного сертификата.

Я вижу, что усиленные электронные подписи на основе квалифицированных сертификатов (в соответствии с eIDAS), будут всё больше востребованы в ряде ситуаций, в том числе при электронном включении новых лиц в банковские и финансовые транзакции, но мне не совсем ясно, какой стандарт ETSI должен применяться в этой ситуации.

Можно было бы предположить, что таковыми являются стандарт ETSI 319 411-1 (Требования политики и требования по безопасности к выпускающим сертификаты поставщикам услуг доверия) и, что более важно, стандарт ETSI 319 411-2 (Требования к поставщикам услуг доверия, выпускающим квалифицированные сертификаты в Евросоюзе) – оба они недавно были обновлены, см. http://www.etsi.org/standards-search#page=1&search=319%20411-2

Мой комментарий: Автор дал ссылку на поиск стандартов на сайте ETSI, который выводит на следующие новые версии вышеупомянутых стандартов:

• Проект стандарта ETSI EN 319 411-1 версии 1.2.0 (август 2017 года) «Электронные подписи и инфраструктуры. Требования политики и требования по безопасности к выпускающим сертификаты поставщикам услуг доверия. Часть 1: Общие требования» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements), http://www.etsi.org/deliver/etsi_en/319400_319499/31941101/01.02.00_20/en_31941101v010200a.pdf


• Проект стандарта ETSI EN 319 411-2 версии 2.2.0 (август 2017 года) «Электронные подписи и инфраструктуры. Требования политики и требования по безопасности к выпускающим сертификаты поставщикам услуг доверия. Часть 2: «Требования к поставщикам услуг доверия, выпускающим квалифицированные сертификаты в Евросоюзе» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates), http://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.00_20/en_31941102v020200a.pdf

Я пытаюсь разобраться, как эти стандарты применяются на практике - похоже, на практике нет ни проверки «физического присутствия» подписанта, ни «официально эквивалентного метода», как это определено в статье 6.2 стандарта ETSI 319 411-2; и я слышу мнения о том, что стандарт фактически не применяется в отношении «усиленных электронных подписей на основе квалифицированных сертификатов» (опять же - это не квалифицированные подписи!).

Мой комментарий: Автор ссылается здесь на одно из требований в подразделе 6.2.2 «Первичная проверка личности», которое сформулировано следующим образом:

REG-6.2.2-02 [QCP-n] и [QCP-n-qscd]: Личность физического лица и, если применимо, его специфические атрибуты должны проверяться:

а) физическим присутствием физического лица; или

б) с использованием методов, которые обеспечивают равноценную уверенность с точки зрения надежности по сравнению с физическим присутствием и для которых поставщик услуг доверия может доказать такую эквивалентностьь.

Примечание 1. Эквивалентность может быть доказана в соответствии с Регламентом Евросоюза № 910/2014 [i.1] (т.е. в соответствии с законом eIDAS – Н.Х.).

Примечание 2. При доказывании эквивалентности следует принять во внимание риски имперсонации (выдачи себя за другое лицо), присущие удаленным приложениям. В частности, непрерывная цепочка последующих удаленных регистраций может увеличить такие риски, поскольку фактически человека никто может не видеть годами и/или потому, что отслеживаемость первоначального контакта лицом к лицу ослаблена.

Данный вопрос может показаться тривиальным вопросом, однако, учитывая важность требований программ «знай своего клиента» (KYC) в финансовой отрасли, он потенциально может иметь далеко идущие последствия.

Кто-нибудь имеет мнение по этому поводу? С нетерпением жду Вашего ответа.

Стефан Муи (Stéphane Mouy)

Источник: LinkedIn
https://www.linkedin.com/groups/3757006/3757006-6364532801420689408