Usługi zaufania wchodzą w procesy biznesowe

Szybko postępująca globalizacja, nie tylko w obszarze biznesowym, ale i społecznym czy kulturowym, wymusza wymyślanie, planowanie i projektowanie technologii, która może być wykorzystana niezależnie od granic terytorialnych. Technologii, która będzie jednolita, bezpieczna i uniwersalna. Bezpieczeństwo tych procesów zapewniają usługi zaufania. Należy na nie patrzeć nie przez pryzmat samego narzędzia, ale jak na kluczowy element całego ekosystemu, jakim jest paperless, oraz wpływu, jaki narzędzia te mają na budowanie biznesu, gospodarki czy procesów administracyjnych. Ze względu na dynamicznie zmieniające się uwarunkowania technologiczne oraz obowiązujące regulacje prawne, żadna firma nie może sobie pozwolić na bagatelizowanie aspektów ochrony swoich interesów biznesowych w cyfrowym świecie.

To usługi zaufania, takie jak kwalifikowany podpis elektroniczny czy walidacja stanowią podstawę bezpieczeństwa procesów gospodarczych, zarówno na poziomie mikro, jak i makro. Uwierzytelniają i zapewniają integralność cyfrowych dokumentów, minimalizują ryzyka biznesowe związane z zapewnieniem bezpieczeństwa i przetwarzaniem informacji. Są też gwarantem ich zgodności z obowiązującym prawem. Należy bowiem pamiętać, że procesy biznesowe nie składają się z pojedynczych transakcji, a z sekwencji działań i przepływów w relacjach B2B, B2C, B2A i innych oraz procesów wewnętrznych w firmach.

Czym są usługi zaufania?

Jak wynika z raportu Asseco „Luka paperless i inne wyzwania na drodze cyfryzacji dokumentów w biznesie” z czerwca tego roku, polskie firmy w zdecydowanej większości oceniają, że wdrażanie usług zaufania to konieczność w branży, w której działają. Z takim stwierdzeniem zgodziło się 68% badanych.

Usługi zaufania stanowią kluczowy element idei biznesu bez papieru. Wśród nich wyróżnia się kwalifikowane usługi zaufania, które mają największą moc prawną i są świadczone przez kwalifikowanych dostawców. Dostawca taki musi spełniać wymogi wskazane w unijnym Rozporządzeniu eIDAS z dnia 23 lipca 2014r. Określa ono zasady stosowania usług zaufania w ujęciu transgranicznym w krajach europejskich, zapewniając ich bezpieczeństwo. Rejestr dostawców dostępny jest na stronie Narodowego Centrum Certyfikacji. Katalog usług zaufania zawiera między innymi:

• Podpis elektroniczny

• Pieczęć elektroniczną

• Walidację

• Konserwację

• Elektroniczny znacznik czasu

• Rejestrowane doręczenie elektroniczne (e-Doręczenia)

Elementem uzupełniającym powyższe usługi jest identyfikacja elektroniczna

Bezpieczeństwo procesów biznesowych w cyfrowym świecie

Każda firma stara się przewidywać kierunki rozwoju swojej branży, przez co podejmuje wysiłki, aby określać ryzyko biznesowe związane z podejmowaniem decyzji - zarówno tych strategicznych, jak i codziennych. Czy Twoja organizacja w definicję ryzyka biznesowego wpisuje m. in. ryzyko dla bezpieczeństwa informacji? Czy ryzyko związane z utratą bądź upublicznieniem ważnych informacji powinno być powodem do zmartwień paraliżującym działalność biznesową generującą zysk?

Ryzyko biznesowe możemy zdefiniować jako ryzyko poniesienia strat wynikających z:

• niekorzystnych zmian zachodzących w otoczeniu biznesowym,

• podjęcia niekorzystnych decyzji, jak również nieprawidłowego wprowadzenia podjętych decyzji,

• braku podjęcia odpowiednich działań, które miałyby być odpowiedzią na zachodzące zmiany w otoczeniu biznesowym.

Ryzyko związane z zapewnieniem bezpieczeństwa informacji i szeroko rozumianym ich przetwarzaniem w organizacji, jest jednym z wielu ryzyk mogących mieć wpływ na cele biznesowe. Ze względu na dynamicznie zmieniające się uwarunkowania technologiczne oraz obowiązujące regulacje prawne, żadna firma nie może sobie pozwolić na bagatelizowanie aspektów ochrony informacji. Powód jest oczywisty - informacja jest podstawową wartością każdej organizacji. Zarządzanie ryzykiem biznesowym powinno zostać objęte systemem zarządczym np. ISO 27001 w zakresie bezpieczeństwa informacji w celu kompleksowego podejścia do ryzyka. System zarządzania bezpieczeństwem pozwoli w sposób procesowy (poprzez mechanizmy analizy i oceny ryzyka) wspomagać podejmowanie decyzji w zakresie wdrażania zabezpieczeń technicznych (np. zakup nowego oprogramowania lub sprzętu) oraz organizacyjnych (np. uruchomienie polityki bezpieczeństwa lub procedury). W kontekście usług zaufania bardzo istotne jest korzystanie z usług kwalifikowanych, to znaczy dostarczanych przez kwalifikowanych dostawców usług zaufania. To kwalifikowany dostawca usług zaufania, w określonym zakresie, przejmie odpowiedzialność, jako trzecia zaufana strona transakcji, związaną z ryzykiem danego procesu.

Procesy biznesowe dotyczą często nie pojedynczej transakcji, np. podpisanie umowy HR, a składają się z wielu elementów. Np. w procesie HR mówimy o podpisaniu umowy z pracownikiem, protokołów przekazania laptopa, telefonu, samochodu służbowego, podpisaniu oświadczenia o odbyciu szkolenia BHP itd. Korzystanie z różnych form podpisu oznacza konieczność „żonglowania” ryzykiem i doboru odpowiedniej formy podpisu do danej transakcji. Na koniec dnia firma i tak musi zaadresować najbardziej wymagające procesy (które da się zrealizować tylko przy pomocy podpisów kwalifikowanych), więc zasadnym jest pytanie, czy warto zmieniać typ podpisu licząc na optymalizację kosztów, czy zapewnić sobie pokrycie wszystkich ryzyk prawnych stosując spójną strategię podpisywania podpisem kwalifikowanym? Uporządkowanie podejścia do ryzyka w organizacji to szansa na zbudowanie świadomości w firmie w zakresie zagrożeń dla biznesu i w konsekwencji podejmowanie racjonalnych decyzji strategicznych. Ekonomiczne aspekty wykorzystania podpisu kwalifikowanego także nie muszą stanowić bariery wejścia.

Jakie rozwiązania są prawnie wiążące?

Obawa przed poprawnym wdrożeniem rozwiązań paperless od strony prawnej jest jednym z często pojawiających się problemów wskazywanych jako bariera przed wdrożeniem samych usług. Często w firmie dysponujemy ograniczonymi możliwościami weryfikacji tych kwestii lub współpracujący z nami dział prawny i compliance nie ma odpowiednich doświadczeń w tym względzie. Prawo nowych technologii obejmuje kilka domen prawnych, a w polskim prawodawstwie szereg ustaw reguluje ten obszar, w szczególności ustawa o informatyzacji oraz o usługach zaufania i identyfikacji elektronicznej. Budując nowe procesy, musimy wziąć pod uwagę zawsze trzy zbiory regulacji – ten, który wynika ze specyfiki naszej działalności, czyli np. prawo bankowe, gdy jesteśmy bankiem, czy prawo telekomunikacyjne, gdy jesteśmy operatorem telekomunikacyjnym. Trzeba także uwzględnić wspomniane powyżej prawo dotyczące cyfryzacji, jak również zapisy kodeksu cywilnego i spółek handlowych, czy prawa konsumenckiego. Te ostanie regulują relacje związane z umowami między poszczególnymi podmiotami oraz konsumentami na rynku komercyjnym. Do tego należy uwzględnić też akty niższego rzędu, jak akty wykonawcze czy też rekomendacje regulatorów rynku – np. Komisji Nadzoru Finansowego, Urzędu Komunikacji Elektronicznej i innych stosownych dla naszego przedsiębiorstwa organów, wyznaczających ramy funkcjonowania rynku. Przy bardziej złożonych procesach warto sięgnąć po usługi zewnętrznych kancelarii prawnych, specjalizujących się w prawie nowych technologii, które są obecne na rynku.

Formy czynności prawnych w kontekście dokumentów elektronicznych:

Forma pisemna – najczęstsza forma, mocno wpisana w naszą kulturę. Do jej zachowania wystarczy złożenie własnoręcznego podpisu na dokumencie obejmującym jej treść.

Forma elektroniczna – równoważna formie pisemnej, do jej zachowania wymagane jest spełnienie dwóch przesłanek: złożenie oświadczenia woli w postaci elektronicznej oraz opatrzenie składanego oświadczenia woli kwalifikowanym podpisem elektronicznym.

Forma dokumentowa – tu wystarcza złożenie oświadczenia woli w postaci dokumentu w sposób umożliwiający ustalenie osoby składającej oświadczenie. Dokumentem jest natomiast dowolny nośnik informacji, który pozwala zapoznać się z jej treścią. Dochowanie tej formy zapewnia dokument w postaci tekstowej z podpisem elektronicznym zwykłym lub zaawansowanym, powielanym mechanicznie (np. ksero, skan), a także wiadomości elektronicznej (mailowej) zakończonej wpisaniem imienia i nazwiska piszącego lub danymi pozwalającymi ustalić jego tożsamość. Ale będzie to też w pewnych sytuacjach kliknięcie przycisku „Akceptuję” na stronie internetowej.

Wartość dowodowa

Jeśli żaden przepis prawa lub zapisy umowy nie zastrzegają dla danej czynności określonej formy, to dla ważności tej czynności nie ma znaczenia jakiego rodzaju podpis zastosujemy, a nawet czy w ogóle jakikolwiek podpis będzie złożony. Pozostaje jednak nadal zagadnienie wartości dowodowej zastosowanej formy prawnej dla danej czynności. Co do zasady każdy podpis elektroniczny (nawet ten w postaci podpisanego imieniem i nazwiskiem maila) ma walor prawny.

Art. 25 ust. 1 eIDAS mówi: Podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych.

Jednakże czym innym jest wybór formy prawnej, aby spełnić formalne wymagania, a innym wybór formy w celu zabezpieczenia interesu biznesowego w przypadku zaistnienia sporu sadowego. Strony czynności prawnej dokonujące jej w postaci elektronicznej muszą uwzględnić ryzyko jakie ponoszą decydując się na rezygnację z podpisu kwalifikowanego i wiedzieć jaką wartość dowodową będzie mieć tak sporządzony dokument elektroniczny w przypadku sporu. Będzie to ważne w sytuacji podważania skuteczności dokumentu, czyli autorstwa podpisu, intencji identyfikowanej tym podpisem strony do związania się daną umową oraz oryginalności treść dokumentu. Na gruncie polskiego prawa, ze względów dowodowych, najbardziej pożądaną formą elektroniczną dokumentów sporządzanych w relacji z kontrahentami jest forma elektroniczna - dokument opatrzony kwalifikowanym podpisem elektronicznym. Wynika to z tego, że właśnie taką formę Kodeks postępowania cywilnego wskazuje dla dokumentu prywatnego, aby mógł z mocy prawa korzystać z domniemania prawdziwości, a więc domniemania, że dokument pochodzi od osoby pod nim podpisanej. Ponadto korzysta również z domniemania, że osoba podpisana pod dokumentem złożyła zawarte w nim oświadczenie. Użycie zwykłego podpisu elektronicznego nie będzie wystarczające do powstania dokumentu prywatnego o takim walorze w rozumieniu przepisów stosowanych w praktyce procesowej.

Z praktycznego punktu widzenia, jeśli podczas sporu druga strona będzie twierdzić, że dokument prywatny (podpisany kwalifikowanym podpisem elektronicznym) nie jest autentyczny, będzie musiała udowodnić swoją rację.

Dokument ważnie podpisany przy użyciu zwykłego podpisu elektronicznego lub zaawansowanego podpisu elektronicznego powinien również być dopuszczony jako dowód w sprawie. Jednakże jego moc dowodowa będzie w znacznie większym stopniu podlegać swobodnej ocenie sądu. Korzystając z tej niższej formy elektronicznej, warto zatem zapewnić odpowiedni stopień udokumentowania tego rodzaju czynności na potrzeby ewentualnych postępowań dowodowych. W szczególności należy zadbać o to, by na wypadek sporu można było możliwie łatwo wykazać:

• czy dostęp do elektronicznego dokumentu został uzyskany za pośrednictwem określonego konta e-mail lub komputera oraz w określonej lokalizacji;

• czy dostęp do dokumentu został uzyskany przy użyciu hasła, kodu PIN, klucza szyfrującego i/lub innego procesu uwierzytelniania;

• czy moment złożenia podpisu był określony;

• czy istnieją różnice między wersjami podpisanego dokumentu będącymi w posiadaniu różnych stron.

To, że z formalnego punktu widzenia każdy podpis elektroniczny jest wiążący, nie oznacza, że każdy rodzaj podpisu tak samo zabezpiecza interesy stron w przypadku kwestionowania jego skuteczności. Tymczasem bezpieczeństwo i wiarygodność stanowią istotną kwestię dla stron w elektronicznym obrocie prawnym.

Nieznajomość regulacji prawnych, a stąd niepewność co do bezpieczeństwa dokumentów elektronicznych zniechęca wiele osób i firm do korzystania z podpisów elektronicznych i innych usług zaufania, bo dzisiaj nie stanowią już problemu takie kwestie praktyczne, jak dostępność i łatwość obsługi (intuicyjność) procesów paperlees.

Słownik:

PODPIS ELEKTRONICZNY . – to dane elektroniczne używane przez osobę fizyczną jako podpis. Narzędzie to pozwala zatwierdzić dokumenty w postaci elektronicznej, eliminując tym samym potrzebę ich drukowania i wysyłania. Istotnym jest, że podpis musi być użyty świadomie i być powiązany z podpisywanym dokumentem. Definicja e-podpisu mieści w sobie jego różne rodzaje w zależności od mocy prawnej poszczególnych typów podpisu, np.:

• kwalifikowany podpis elektroniczny – daje pewność, że nikt nie ingerował w treść dokumentu, wiarygodnie identyfikuje tożsamość podpisującego, przypisany tylko podpisującemu, utworzony za pomocą bezpiecznego urządzenie o składania podpisu, równoważny z podpisem własnoręcznym, rozpoznawalny we wszystkich krajach UE

• zaawansowany podpis elektroniczny – daje pewność, że nikt nie ingerował w treść dokumentu, wiarygodnie identyfikuje tożsamość podpisującego, przypisany tylko podpisującemu

• zwykły podpis elektroniczny - dane w formie elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi elektronicznymi i które służą jako metoda uwierzytelniania. Takim podpisem jest choćby wpisane imię i nazwisko w treści maila

KWALIFIKOWANA PIECZĘĆ ELEKTRONICZNA – jest cyfrowym odpowiednikiem pieczątki firmowej. Zawiera nazwę, adres i inne dane przedsiębiorstwa. Zapewnia integralność i autentyczność dokumentów elektronicznych. Narzędzie to przeznaczone jest dla osób prawnych, a więc firm, organizacji czy instytucji. Istotnym jest, że e-pieczęć umożliwia automatyzację wielu procesów związanych z dokumentami. Wdrożenie pieczęci elektronicznej można zastosować do masowej korespondencji do klientów np. w przypadku zmian naszych regulaminów lub cennika. Dokumenty opatrzone taką pieczęcią są wiążące i potwierdzają wiarygodność nadawcy, a jednocześnie umożliwiają zaoszczędzenie na druku i wysyłce.

KWALIFIKOWANY ELEKTRONICZNY ZNACZNIK CZASU – odpowiednik daty pewnej w rozumieniu kodeksu cywilnego, czyli poprzez powiazanie z konkretnym dokumentem wskazuje na wiarygodny czas jego powstania i dodatkowo zabezpiecza integralność jego treści.

KWALIFIKOWANA WALIDACJA – usługa, która wystawia poświadczenia stanowiące na mocy unijnego prawa dowód potwierdzający ważność oraz status prawny podpisów i pieczęci elektronicznych, którymi opatrzone są dokumenty elektroniczne. Stanowi gwarancję, że dokument nie został podrobiony.

KWALIFIKOWANA KONSERWACJA – usługa zapewniającą długookresową moc dowodową ważności podpisów i pieczęci elektronicznych i ich jednoznacznego powiązania z treścią konkretnych dokumentów. Dzięki zastosowaniu odpowiednich środków formalno-prawnych oraz zaawansowanych metod kryptograficznych zagwarantowana jest odporność na manipulacje (fałszerstwa) mimo ciągłego postępu technologii cyfrowych i kwantowych.

KWALIFIKOWANA USŁUGA REJESTROWANEGO DORĘCZENIA ELEKTRONICZNEGO (e-Doręczenia) – jest równoważna prawnie z „tradycyjną” pocztową przesyłką poleconą za zwrotnym potwierdzeniem odbioru. Działa na rynku polskim i europejskim. Umożliwia przesłanie korespondencji przy zagwarantowaniu poufności, drogą elektroniczną z zapewnieniem dowodów wysłania i otrzymania. Chroni przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub nieupoważnioną ingerencją w treść korespondencji.

IDENTYFIKACJA ELEKTRONICZNA – jest to proces używania danych w postaci elektronicznej identyfikujących osobę, unikalnie reprezentujących osobę fizyczną lub prawną lub osobę fizyczną reprezentującą osobę prawną. Pomaga „domknąć” wachlarz usług zaufania poprzez połączenie ich z tożsamością danej osoby. Dzięki temu wiele procesów odbywających się w biznesie czy administracji publicznej może zostać przeniesionych do wymiaru cyfrowego, zapewniając wygodę użytkownikom. Elektroniczna tożsamość to cyfrowe „ja”. W e-transakcjach, elektroniczna tożsamość jest odpowiedzią na pytanie: „o jaką osobę chodzi?”. Pozwala uniknąć podszywania się i modyfikacji tożsamości. Jej podstawą są nasze dane zawarte w środku identyfikacji elektronicznej – jednostce, w której znajdują się dane pozwalające na identyfikację danej osoby, przekazywane za zgodą tej osoby do strony, która tej identyfikacji potrzebuje.