fb
IT Systems 4/2019 Správa dokumentů 14. 5. 2019 9:09

Kvalifikovaná pečeť

Elektronické pečetěníV září loňského roku vypršela přechodná zákonná možnost použití elektronických značek na místo elektronických pečetí. Což zejména pro množství státních organizací znamenalo nutnost zabývat se tím, jak naplní literu zákona a začnou své elektronické dokumenty opatřovat kvalifikovanými elektronickými pečetěmi.

Definice elektronických pečetí

Hlavními předpisy definující elektronické pečetě v ČR jsou eIDAS a zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (ZoSVD). Podobně jako u elektronických podpisů se rozlišují úrovně elektronických pečetí:

  • Zaručené elektronické pečetě (eIDAS, čl. 3, odst. 26; čl. 36) – v praxi zaručená pečeť znamená, že je vytvořena podle technických standardů AdES a pomocí certifikátu, který odpovídá požadavkům eIDAS (eIDAS, příloha III).
  • Uznávané elektronické pečetě (ZoSVD, §9, odst. 2) – platí požadavky na zaručenou pečeť, a navíc musí být použit kvalifikovaný certifikát.

Kvalifikované elektronické pečetě (eIDAS, čl. 3, odst. 27) – opět platí požadavky na uznávanou elektronickou pečeť, ale navíc je nutné, aby byly vytvářeny prostřednictvím kvalifikovaných prostředků pro vytváření elektronických pečetí (tzv. QSCD).

Pečetě jsou využívány právnickými osobami k prokázání původu elektronickou pečetí opatřeného dokumentu, nebo obecně elektronických dat, tzn. toho, že zapečetěný dokument (data) vznikl v určité organizaci. Fyzická osoba nemůže disponovat elektronickou pečetí, a naopak právnická osoba nemůže disponovat elektronickým podpisem (v rámci právnických osob elektronickými podpisy disponují její zaměstnanci).

Povinnost použití elektronických pečetí

Použití elektronických pečetí v definovaných úrovních určuje ZoSVD a to takto:

  • Kvalifikovanou elektronickou pečeť mají povinnost používat veřejnoprávní podepisující při výkonu své působnosti (§8).
  • Alespoň uznávanou (lze dobrovolně použít i kvalifikovanou) elektronickou pečeť mají povinnost používat subjekty, které jednají vůči veřejnoprávnímu podepisujícímu (§9).

Jakoukoli úroveň elektronické pečetě lze použít ve všech ostatních případech. Např. obchodní korporace mohou při komunikaci mezi sebou nebo s fyzickými osobami dobrovolně použít kvalifikovanou, uznávanou, zaručenou úroveň elektronické pečetě, nebo také žádnou (§10). Záleží tedy na dohodě (smluvním vztahu) mezi danými subjekty.

QSCD – kvalifikované prostředky pro vytváření elektronických pečetí

Pro vytváření kvalifikovaných pečetí je nutné použít kvalifikovaných prostředků pro vytváření elektronických pečetí, tzv. QSCD zařízení (někdy též QSealCD, z anglického Qualified Seal Creation Device). QSCD jsou speciální, zpravidla hardwarová, zařízení, určená k práci s kryptografickými klíči a k provádění kryptografických operací. V praxi se setkáváme zejména s hardwarovými QSCD v podobě USB tokenů, čipových karet, nebo specializovaných serverových zařízení HSM (z anglického Harware Security Module).

Aby určité zařízení mohlo být považováno za QSCD musí splňovat požadavky stanované nařízením eIDAS a certifikace daného zařízení musí být zveřejněna v pravidelně zveřejňovaném seznamu QSCD.

Jak vyřešit kvalifikovanou pečeť prakticky

Vytváření kvalifikovaných pečetí lze v organizaci vyřešit v zásadě dvěma způsoby:

  1. Využívání služby kvalifikovaného elektronického pečetění některého z kvalifikovaných poskytovatelů
  2. Implementace prostředků pro vytváření kvalifikovaných pečetí on-premise

On-Premise kvalifikovaná pečeť

Výhodami provozu infrastruktury pro kvalifikovanou pečeť ve vlastní správě organizace jsou zejména:

  • škálovatelný výkon i dostupnost prvků pro kvalifikované pečetění,
  • možnosti integrace prostřednictvím SOAP rozhraní webových služeb,
  • široké možnosti dalšího využití HSM:
    • správa dalších kryptografických klíčů (např. pro vzdálené vytváření elektronických podpisů),
    • zabezpečení klíčů pro interní certifikační autority,
    • šifrování dat databází nebo datových úložišť,
    • akcelerace SSL,
    • zabezpečení autentizačních a auditních řešení,
  • cena nezávislá na počtu pečetěných dokumentů


Michal Hanzal
Autor článku je Solution Consultant ve společnosti SEFIRA, která nabízí kompletní služby pro implementaci infrastruktury pro kvalifikované elektronické pečetění zahrnující dodávku HSM a jeho nastavení do módu QSCD, přes dodávku systému OBELISK Signer jako integračního middleware pro využívání pečetících klíčů spravovaných s HSM, po konzultace a správu celého řešení kvalifikovaných pečetí. Více informací naleznete na www.sefira.cz/kvalifikovana-pecet

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1