Usługi zaufania wchodzą w procesy biznesowe

Ze względu na dynamicznie zmieniające się uwarunkowania technologiczne i regulacje prawne, żadna firma nie może sobie pozwolić na bagatelizowanie ochrony interesów biznesowych w cyfrowym świecie – pisze Ewelina Chudy, ekspert usług zaufania Asseco Data Systems.

Aktualizacja: 31.03.2023 17:19 Publikacja: 17.10.2022 18:39

Usługi zaufania wchodzą w procesy biznesowe

Foto: Asseco

r c

Szybko postępująca globalizacja, nie tylko w obszarze biznesowym, ale i społecznym czy kulturowym, wymusza wymyślanie, planowanie i projektowanie technologii, która może być wykorzystana niezależnie od granic terytorialnych. Technologii, która będzie jednolita, bezpieczna i uniwersalna. Bezpieczeństwo tych procesów zapewniają usługi zaufania. Należy na nie patrzeć nie przez pryzmat samego narzędzia, ale jak na kluczowy element całego ekosystemu, jakim jest paperless, oraz wpływu, jaki narzędzia te mają na budowanie biznesu, gospodarki czy procesów administracyjnych. Ze względu na dynamicznie zmieniające się uwarunkowania technologiczne oraz obowiązujące regulacje prawne, żadna firma nie może sobie pozwolić na bagatelizowanie aspektów ochrony swoich interesów biznesowych w cyfrowym świecie.

To usługi zaufania, takie jak kwalifikowany podpis elektroniczny czy walidacja stanowią podstawę bezpieczeństwa procesów gospodarczych, zarówno na poziomie mikro, jak i makro. Uwierzytelniają i zapewniają integralność cyfrowych dokumentów, minimalizują ryzyka biznesowe związane z zapewnieniem bezpieczeństwa i przetwarzaniem informacji. Są też gwarantem ich zgodności z obowiązującym prawem. Należy bowiem pamiętać, że procesy biznesowe nie składają się z pojedynczych transakcji, a z sekwencji działań i przepływów w relacjach B2B, B2C, B2A i innych oraz procesów wewnętrznych w firmach.

Czym są usługi zaufania?

Jak wynika z raportu Asseco „Luka paperless i inne wyzwania na drodze cyfryzacji dokumentów w biznesie” z czerwca tego roku, polskie firmy w zdecydowanej większości oceniają, że wdrażanie usług zaufania to konieczność w branży, w której działają. Z takim stwierdzeniem zgodziło się 68% badanych.

Usługi zaufania stanowią kluczowy element idei biznesu bez papieru. Wśród nich wyróżnia się kwalifikowane usługi zaufania, które mają największą moc prawną i są świadczone przez kwalifikowanych dostawców. Dostawca taki musi spełniać wymogi wskazane w unijnym Rozporządzeniu eIDAS z dnia 23 lipca 2014r. Określa ono zasady stosowania usług zaufania w ujęciu transgranicznym w krajach europejskich, zapewniając ich bezpieczeństwo. Rejestr dostawców dostępny jest na stronie Narodowego Centrum Certyfikacji. Katalog usług zaufania zawiera między innymi:

• Podpis elektroniczny

• Pieczęć elektroniczną

• Walidację

• Konserwację

• Elektroniczny znacznik czasu

• Rejestrowane doręczenie elektroniczne (e-Doręczenia)

Elementem uzupełniającym powyższe usługi jest identyfikacja elektroniczna

Bezpieczeństwo procesów biznesowych w cyfrowym świecie

Każda firma stara się przewidywać kierunki rozwoju swojej branży, przez co podejmuje wysiłki, aby określać ryzyko biznesowe związane z podejmowaniem decyzji - zarówno tych strategicznych, jak i codziennych. Czy Twoja organizacja w definicję ryzyka biznesowego wpisuje m. in. ryzyko dla bezpieczeństwa informacji? Czy ryzyko związane z utratą bądź upublicznieniem ważnych informacji powinno być powodem do zmartwień paraliżującym działalność biznesową generującą zysk?

Ryzyko biznesowe możemy zdefiniować jako ryzyko poniesienia strat wynikających z:

• niekorzystnych zmian zachodzących w otoczeniu biznesowym,

• podjęcia niekorzystnych decyzji, jak również nieprawidłowego wprowadzenia podjętych decyzji,

• braku podjęcia odpowiednich działań, które miałyby być odpowiedzią na zachodzące zmiany w otoczeniu biznesowym.

Ryzyko związane z zapewnieniem bezpieczeństwa informacji i szeroko rozumianym ich przetwarzaniem w organizacji, jest jednym z wielu ryzyk mogących mieć wpływ na cele biznesowe. Ze względu na dynamicznie zmieniające się uwarunkowania technologiczne oraz obowiązujące regulacje prawne, żadna firma nie może sobie pozwolić na bagatelizowanie aspektów ochrony informacji. Powód jest oczywisty - informacja jest podstawową wartością każdej organizacji. Zarządzanie ryzykiem biznesowym powinno zostać objęte systemem zarządczym np. ISO 27001 w zakresie bezpieczeństwa informacji w celu kompleksowego podejścia do ryzyka. System zarządzania bezpieczeństwem pozwoli w sposób procesowy (poprzez mechanizmy analizy i oceny ryzyka) wspomagać podejmowanie decyzji w zakresie wdrażania zabezpieczeń technicznych (np. zakup nowego oprogramowania lub sprzętu) oraz organizacyjnych (np. uruchomienie polityki bezpieczeństwa lub procedury). W kontekście usług zaufania bardzo istotne jest korzystanie z usług kwalifikowanych, to znaczy dostarczanych przez kwalifikowanych dostawców usług zaufania. To kwalifikowany dostawca usług zaufania, w określonym zakresie, przejmie odpowiedzialność, jako trzecia zaufana strona transakcji, związaną z ryzykiem danego procesu.

Procesy biznesowe dotyczą często nie pojedynczej transakcji, np. podpisanie umowy HR, a składają się z wielu elementów. Np. w procesie HR mówimy o podpisaniu umowy z pracownikiem, protokołów przekazania laptopa, telefonu, samochodu służbowego, podpisaniu oświadczenia o odbyciu szkolenia BHP itd. Korzystanie z różnych form podpisu oznacza konieczność „żonglowania” ryzykiem i doboru odpowiedniej formy podpisu do danej transakcji. Na koniec dnia firma i tak musi zaadresować najbardziej wymagające procesy (które da się zrealizować tylko przy pomocy podpisów kwalifikowanych), więc zasadnym jest pytanie, czy warto zmieniać typ podpisu licząc na optymalizację kosztów, czy zapewnić sobie pokrycie wszystkich ryzyk prawnych stosując spójną strategię podpisywania podpisem kwalifikowanym? Uporządkowanie podejścia do ryzyka w organizacji to szansa na zbudowanie świadomości w firmie w zakresie zagrożeń dla biznesu i w konsekwencji podejmowanie racjonalnych decyzji strategicznych. Ekonomiczne aspekty wykorzystania podpisu kwalifikowanego także nie muszą stanowić bariery wejścia.

Jakie rozwiązania są prawnie wiążące?

Obawa przed poprawnym wdrożeniem rozwiązań paperless od strony prawnej jest jednym z często pojawiających się problemów wskazywanych jako bariera przed wdrożeniem samych usług. Często w firmie dysponujemy ograniczonymi możliwościami weryfikacji tych kwestii lub współpracujący z nami dział prawny i compliance nie ma odpowiednich doświadczeń w tym względzie. Prawo nowych technologii obejmuje kilka domen prawnych, a w polskim prawodawstwie szereg ustaw reguluje ten obszar, w szczególności ustawa o informatyzacji oraz o usługach zaufania i identyfikacji elektronicznej. Budując nowe procesy, musimy wziąć pod uwagę zawsze trzy zbiory regulacji – ten, który wynika ze specyfiki naszej działalności, czyli np. prawo bankowe, gdy jesteśmy bankiem, czy prawo telekomunikacyjne, gdy jesteśmy operatorem telekomunikacyjnym. Trzeba także uwzględnić wspomniane powyżej prawo dotyczące cyfryzacji, jak również zapisy kodeksu cywilnego i spółek handlowych, czy prawa konsumenckiego. Te ostanie regulują relacje związane z umowami między poszczególnymi podmiotami oraz konsumentami na rynku komercyjnym. Do tego należy uwzględnić też akty niższego rzędu, jak akty wykonawcze czy też rekomendacje regulatorów rynku – np. Komisji Nadzoru Finansowego, Urzędu Komunikacji Elektronicznej i innych stosownych dla naszego przedsiębiorstwa organów, wyznaczających ramy funkcjonowania rynku. Przy bardziej złożonych procesach warto sięgnąć po usługi zewnętrznych kancelarii prawnych, specjalizujących się w prawie nowych technologii, które są obecne na rynku.

Formy czynności prawnych w kontekście dokumentów elektronicznych:

Forma pisemna – najczęstsza forma, mocno wpisana w naszą kulturę. Do jej zachowania wystarczy złożenie własnoręcznego podpisu na dokumencie obejmującym jej treść.

Forma elektroniczna – równoważna formie pisemnej, do jej zachowania wymagane jest spełnienie dwóch przesłanek: złożenie oświadczenia woli w postaci elektronicznej oraz opatrzenie składanego oświadczenia woli kwalifikowanym podpisem elektronicznym.

Forma dokumentowa – tu wystarcza złożenie oświadczenia woli w postaci dokumentu w sposób umożliwiający ustalenie osoby składającej oświadczenie. Dokumentem jest natomiast dowolny nośnik informacji, który pozwala zapoznać się z jej treścią. Dochowanie tej formy zapewnia dokument w postaci tekstowej z podpisem elektronicznym zwykłym lub zaawansowanym, powielanym mechanicznie (np. ksero, skan), a także wiadomości elektronicznej (mailowej) zakończonej wpisaniem imienia i nazwiska piszącego lub danymi pozwalającymi ustalić jego tożsamość. Ale będzie to też w pewnych sytuacjach kliknięcie przycisku „Akceptuję” na stronie internetowej.

Wartość dowodowa

Jeśli żaden przepis prawa lub zapisy umowy nie zastrzegają dla danej czynności określonej formy, to dla ważności tej czynności nie ma znaczenia jakiego rodzaju podpis zastosujemy, a nawet czy w ogóle jakikolwiek podpis będzie złożony. Pozostaje jednak nadal zagadnienie wartości dowodowej zastosowanej formy prawnej dla danej czynności. Co do zasady każdy podpis elektroniczny (nawet ten w postaci podpisanego imieniem i nazwiskiem maila) ma walor prawny.

Art. 25 ust. 1 eIDAS mówi: Podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych.

Jednakże czym innym jest wybór formy prawnej, aby spełnić formalne wymagania, a innym wybór formy w celu zabezpieczenia interesu biznesowego w przypadku zaistnienia sporu sadowego. Strony czynności prawnej dokonujące jej w postaci elektronicznej muszą uwzględnić ryzyko jakie ponoszą decydując się na rezygnację z podpisu kwalifikowanego i wiedzieć jaką wartość dowodową będzie mieć tak sporządzony dokument elektroniczny w przypadku sporu. Będzie to ważne w sytuacji podważania skuteczności dokumentu, czyli autorstwa podpisu, intencji identyfikowanej tym podpisem strony do związania się daną umową oraz oryginalności treść dokumentu. Na gruncie polskiego prawa, ze względów dowodowych, najbardziej pożądaną formą elektroniczną dokumentów sporządzanych w relacji z kontrahentami jest forma elektroniczna - dokument opatrzony kwalifikowanym podpisem elektronicznym. Wynika to z tego, że właśnie taką formę Kodeks postępowania cywilnego wskazuje dla dokumentu prywatnego, aby mógł z mocy prawa korzystać z domniemania prawdziwości, a więc domniemania, że dokument pochodzi od osoby pod nim podpisanej. Ponadto korzysta również z domniemania, że osoba podpisana pod dokumentem złożyła zawarte w nim oświadczenie. Użycie zwykłego podpisu elektronicznego nie będzie wystarczające do powstania dokumentu prywatnego o takim walorze w rozumieniu przepisów stosowanych w praktyce procesowej.

Z praktycznego punktu widzenia, jeśli podczas sporu druga strona będzie twierdzić, że dokument prywatny (podpisany kwalifikowanym podpisem elektronicznym) nie jest autentyczny, będzie musiała udowodnić swoją rację.

Dokument ważnie podpisany przy użyciu zwykłego podpisu elektronicznego lub zaawansowanego podpisu elektronicznego powinien również być dopuszczony jako dowód w sprawie. Jednakże jego moc dowodowa będzie w znacznie większym stopniu podlegać swobodnej ocenie sądu. Korzystając z tej niższej formy elektronicznej, warto zatem zapewnić odpowiedni stopień udokumentowania tego rodzaju czynności na potrzeby ewentualnych postępowań dowodowych. W szczególności należy zadbać o to, by na wypadek sporu można było możliwie łatwo wykazać:

• czy dostęp do elektronicznego dokumentu został uzyskany za pośrednictwem określonego konta e-mail lub komputera oraz w określonej lokalizacji;

• czy dostęp do dokumentu został uzyskany przy użyciu hasła, kodu PIN, klucza szyfrującego i/lub innego procesu uwierzytelniania;

• czy moment złożenia podpisu był określony;

• czy istnieją różnice między wersjami podpisanego dokumentu będącymi w posiadaniu różnych stron.

To, że z formalnego punktu widzenia każdy podpis elektroniczny jest wiążący, nie oznacza, że każdy rodzaj podpisu tak samo zabezpiecza interesy stron w przypadku kwestionowania jego skuteczności. Tymczasem bezpieczeństwo i wiarygodność stanowią istotną kwestię dla stron w elektronicznym obrocie prawnym.

Nieznajomość regulacji prawnych, a stąd niepewność co do bezpieczeństwa dokumentów elektronicznych zniechęca wiele osób i firm do korzystania z podpisów elektronicznych i innych usług zaufania, bo dzisiaj nie stanowią już problemu takie kwestie praktyczne, jak dostępność i łatwość obsługi (intuicyjność) procesów paperlees.

Słownik:

PODPIS ELEKTRONICZNY . – to dane elektroniczne używane przez osobę fizyczną jako podpis. Narzędzie to pozwala zatwierdzić dokumenty w postaci elektronicznej, eliminując tym samym potrzebę ich drukowania i wysyłania. Istotnym jest, że podpis musi być użyty świadomie i być powiązany z podpisywanym dokumentem. Definicja e-podpisu mieści w sobie jego różne rodzaje w zależności od mocy prawnej poszczególnych typów podpisu, np.:

• kwalifikowany podpis elektroniczny – daje pewność, że nikt nie ingerował w treść dokumentu, wiarygodnie identyfikuje tożsamość podpisującego, przypisany tylko podpisującemu, utworzony za pomocą bezpiecznego urządzenie o składania podpisu, równoważny z podpisem własnoręcznym, rozpoznawalny we wszystkich krajach UE

• zaawansowany podpis elektroniczny – daje pewność, że nikt nie ingerował w treść dokumentu, wiarygodnie identyfikuje tożsamość podpisującego, przypisany tylko podpisującemu

• zwykły podpis elektroniczny - dane w formie elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi elektronicznymi i które służą jako metoda uwierzytelniania. Takim podpisem jest choćby wpisane imię i nazwisko w treści maila

KWALIFIKOWANA PIECZĘĆ ELEKTRONICZNA – jest cyfrowym odpowiednikiem pieczątki firmowej. Zawiera nazwę, adres i inne dane przedsiębiorstwa. Zapewnia integralność i autentyczność dokumentów elektronicznych. Narzędzie to przeznaczone jest dla osób prawnych, a więc firm, organizacji czy instytucji. Istotnym jest, że e-pieczęć umożliwia automatyzację wielu procesów związanych z dokumentami. Wdrożenie pieczęci elektronicznej można zastosować do masowej korespondencji do klientów np. w przypadku zmian naszych regulaminów lub cennika. Dokumenty opatrzone taką pieczęcią są wiążące i potwierdzają wiarygodność nadawcy, a jednocześnie umożliwiają zaoszczędzenie na druku i wysyłce.

KWALIFIKOWANY ELEKTRONICZNY ZNACZNIK CZASU – odpowiednik daty pewnej w rozumieniu kodeksu cywilnego, czyli poprzez powiazanie z konkretnym dokumentem wskazuje na wiarygodny czas jego powstania i dodatkowo zabezpiecza integralność jego treści.

KWALIFIKOWANA WALIDACJA – usługa, która wystawia poświadczenia stanowiące na mocy unijnego prawa dowód potwierdzający ważność oraz status prawny podpisów i pieczęci elektronicznych, którymi opatrzone są dokumenty elektroniczne. Stanowi gwarancję, że dokument nie został podrobiony.

KWALIFIKOWANA KONSERWACJA – usługa zapewniającą długookresową moc dowodową ważności podpisów i pieczęci elektronicznych i ich jednoznacznego powiązania z treścią konkretnych dokumentów. Dzięki zastosowaniu odpowiednich środków formalno-prawnych oraz zaawansowanych metod kryptograficznych zagwarantowana jest odporność na manipulacje (fałszerstwa) mimo ciągłego postępu technologii cyfrowych i kwantowych.

KWALIFIKOWANA USŁUGA REJESTROWANEGO DORĘCZENIA ELEKTRONICZNEGO (e-Doręczenia) – jest równoważna prawnie z „tradycyjną” pocztową przesyłką poleconą za zwrotnym potwierdzeniem odbioru. Działa na rynku polskim i europejskim. Umożliwia przesłanie korespondencji przy zagwarantowaniu poufności, drogą elektroniczną z zapewnieniem dowodów wysłania i otrzymania. Chroni przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub nieupoważnioną ingerencją w treść korespondencji.

IDENTYFIKACJA ELEKTRONICZNA – jest to proces używania danych w postaci elektronicznej identyfikujących osobę, unikalnie reprezentujących osobę fizyczną lub prawną lub osobę fizyczną reprezentującą osobę prawną. Pomaga „domknąć” wachlarz usług zaufania poprzez połączenie ich z tożsamością danej osoby. Dzięki temu wiele procesów odbywających się w biznesie czy administracji publicznej może zostać przeniesionych do wymiaru cyfrowego, zapewniając wygodę użytkownikom. Elektroniczna tożsamość to cyfrowe „ja”. W e-transakcjach, elektroniczna tożsamość jest odpowiedzią na pytanie: „o jaką osobę chodzi?”. Pozwala uniknąć podszywania się i modyfikacji tożsamości. Jej podstawą są nasze dane zawarte w środku identyfikacji elektronicznej – jednostce, w której znajdują się dane pozwalające na identyfikację danej osoby, przekazywane za zgodą tej osoby do strony, która tej identyfikacji potrzebuje.

Gry wykorzystywane do działań reklamowych stwarzają nieograniczony i powszechny dostęp do potencjaln

Opinie i komentarze

Gdy gra staje się nośnikiem reklamy

Baner z logo Adidas na boisku piłkarskim w grze „FIFA” czy stojący na podjeździe willi Simsów samochód Renault to nie przypadek. To przemyślana strategia marketingowa, która ma zaprezentować nam produkt, a następnie zachęcić do jego zakupu.

Materiał Promocyjny

Poznaj pierwsze w historii BMW XM. Zamów indywidualną ofertę

Opinie i komentarze

Zabezpieczenie bezpieczeństwa w sieci jest coraz bardziej skomplikowane

Coraz częściej będzie dochodziło do sytuacji, w których cyberataki wpłyną na codzienne życie. Przybywa bowiem czynności, które wspieramy technologią, co daje nam prostotę i wygodę – mówi Paweł Jurek, ekspert cybersecurity DAGMA Bezpieczeństwo IT.

Opinie i komentarze

Wspieramy start-upy i wdrażamy ich technologie medyczne

Innowacje tworzone przez polskie start-upy nie tylko mają szansę konkurować na rynkach międzynarodowych, one już tam są – mówi Adam Struzik, marszałek województwa mazowieckiego.

Opinie i komentarze

Metaverse - wyzwania prawne na kilka najbliższych lat

Skoro w metaverse pojawia się na razie tak niewielu użytkowników, to co tak bardzo przyciąga świat biznesu? – pisze Katarzyna Wypchło, radca prawny, JWP Rzecznicy Patentowi.

Materiał Promocyjny

Kilka ważnych cech laptopów do mobilnej pracy

Dziś możemy pracować zdalnie, jednak by mobilna praca była efektywna i bezpieczna, potrzebny jest lekki laptop wyposażony w długo trzymającą baterię i ochronę ekranu.

Opinie i komentarze

Stacja bazowa - z pozwoleniem, czy bez pozwolenia?

Nowoczesne społeczeństwo informacyjne nie może się już obejść bez powszechnego dostępu do szybkiej łączności elektronicznej, jednocześnie jednak operatorzy nadal napotykają bariery w toku procesu inwestycyjnego - pisze Korina A. Sudół, adwokat z Kancelaria Prawna Media.

Opinie i komentarze

Dlaczego plik JPG z Moną Lisą nie jest NFT? Krótkie wprowadzenie do świata NFT

Jeszcze kilka lat temu mało kto słyszał o NFT. W tym roku szacuje się, że wolumen obrotu nimi osiągnie 35 mld dol. To przykład, jak szybko technologia może się rozwijać w XXI wieku - pisze dyrektor ds. technologii w PayPal Edwin Aoki.

Firmy powinny się skoncentrować na budowie ekosystemów, bo to pozwoli im osiągnąć rozmach technologi

Jak przejść kryzys - radzą eksperci IT

Zarówno obecne spowolnienie gospodarcze, jak i trendy związane z rozwojem technologii wymagają nowych strategii i dostosowania firm do zmian.

Rynek pracy

Polscy specjaliści IT nie muszą bać się fali zwolnień

Chociaż co szósta spółka technologiczna zapowiada w tym roku zmniejszenie zatrudnienia, to prawie cztery razy więcej firm przewiduje wzrost liczby pracowników.

Biznes

Anna Wojda: Zagrożenia same nie znikną

Dobra technologia, odpowiednie zabezpieczenia i edukacja pracowników – tylko to może spowodować, że internetowemu oszustowi się nie uda.

Biznes

Jak zadbać o bezpieczeństwo danych w dobie digitalizacji

Do nowych technologii warto podejść z głową, a nie po linii najmniejszego oporu, by nie utracić kluczowych dla biznesu zasobów.

Tu i Teraz

Ferrari jest szantażowane przez hakerów

Hakerzy nielegalnie wykradli dane klientów Ferrari. Włoski producent samochodów sportowych poinformował o tym klientów, którzy mogą być w grupie poszkodowanych osób.

Hakerzy mogą wykorzystać nową technologię, by tworzyła złośliwe oprogramowanie oraz pomagała w tworz

Groźne luki w ChatGPT-4. Bota można wykorzystać do cyberataków

Ledwo uruchomiona przez OpenAI nowa wersja rewolucyjnego bota konwersacyjnego może być niebezpieczna. Specjaliści ds. cyberbezpieczeństwa alarmują, że algorytmy wykorzystane w modelu GPT-4 w prosty sposób mogą posłużyć atakom internetowym.

Dyskusja w Izbie Reprezentantów o zakazie TikToka. W tle na ekranie przywódca Chin Xi Jinping nawołu

Eksperci: TikTok narusza procedury bezpieczeństwa. Ale nie tylko on

Dostęp do chińskiej aplikacji przedstawicieli administracji państwowej ogranicza coraz więcej krajów. Czy chodzi o względy bezpieczeństwa czy jest to element rozgrywki politycznej z Chinami?

Praca

Polki przechodzą do IT, gdzie awansują i dostają podwyżki

Ponad dwie piąte kobiet pracujących w IT przyszło tam z innej branży. Większość dostała w minionym roku podwyżkę.

Świat

Wojna Rosji z Ukrainą. Dzień 401

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Wołodymyr Zełenski mówił, dlaczego Ukraina musi wygrać wojnę.

Waldemar Buda, Minister Rozwoju i Technologii

Podatki

Buda: Likwidujemy podatek pcc przy zakupie pierwszego mieszkania

Minister rozwoju i technologii Waldemar Buda podczas konferencji #StopPatodeweloperka zapowiedział likwidację podatku od czynności cywilno-prawnej przy zakupie pierwszego mieszkania.