Что такое Регламент eIDAS?
Регламент об электронной идентификации, аутентификации и доверительных услугах (eIDAS) — это один из наиболее значительных и всеобъемлющих законов в Европейском союзе (ЕС). В соответствии с Регламентом eIDAS, любой гражданин ЕС может использовать национальную схему электронной идентификации своей страны и без проблем создавать электронные подписи в любой стране ЕС.
Но что именно представляет собой Регламент eIDAS? Как это работает?И, самое главное, какие действия может предпринять ваша организация, чтобы управлять им?
Читайте дальше, чтобы ознакомиться с основами Регламента eIDAS, узнать, что он в себя включает и как можно обеспечить соответствие требованиям в будущем с помощью сертифицированных и безопасных решений.
Что такое регламент eIDAS?
eIDAS — это регламент ЕС, который установил правовую основу для обеспечения того, чтобы электронные транзакции были более безопасными, быстрыми и эффективными, независимо от того, в какой стране ЕС они осуществляются. Цель Регламента eIDAS заключается в поощрении создания единого европейского рынка для безопасной электронной коммерции.
К слову, eIDAS — это не первый регламент ЕС об электронных транзакциях. Директива об электронных подписях 1999 года имела совершенно иную цель — официально объявить электронную подпись юридическим эквивалентом собственноручной подписи во всех государствах-членах.
Тем не менее директива также предоставила каждой стране ЕС свободу определять собственные правила в отношении безопасности электронных транзакций. Каждая страна имела свои юридические требования, политики обработки данных и инфраструктуру доверительных услуг, но большинство из них не работали за рубежом.
Например, электронный документ, подписанный в одной стране, мог не иметь такой же юридической силы в другой стране. Подобные проблемы создали разрозненный ландшафт в регионе и путаницу в отношении законности и действительности электронной идентификации. Хуже того, это чрезвычайно затруднило трансграничную торговлю.
ЕС решил устранить эту проблему в 2014 году, приняв Регламент eIDAS. Закон вступил в полную юридическую силу в 2016 году, после чего каждое государство — член ЕС должно соблюдать согласованные стандарты в отношении электронных идентификационных данных, аутентификации и подписей.
В конечном итоге система eIDAS:
- Гарантирует физическим лицам и компаниям возможность использовать собственную национальную схему электронной идентификации для доступа к государственным услугам в интернете.
- Создает единый европейский рынок доверительных услуг, обеспечивая трансграничную работу всех схем идентификации, имеющих тот же правовой статус, что и традиционная собственноручная подпись.
На кого и на что распространяется действие Регламента eIDAS?
В целом Регламент eIDAS влияет на перечисленных ниже лиц.
- Граждане стран ЕС.
- Организации, которые имеют штаб-квартиру в ЕС или состоят в деловых отношениях с другими организациями в ЕС и (или) гражданами ЕС.
- Поставщики доверительных услуг (TSP) в ЕС, защищающие транзакции ЕС в общедоступной сети, особенно те, которые относятся к коммерческой или юридической сфере и для которых требуется аутентификация цифровых удостоверений. TSP — это любая организация, участвующая в создании, проверке и сохранении электронных идентификационных данных, электронных подписей, электронных печатей или цифровых сертификатов.
Вот неисчерпывающий список цифровых транзакций, на которые распространяется действие eIDAS:
- транзакции, связанные с поездками;
- электронное выставление счетов между компаниями;
- государственные услуги, такие как бюллетени для голосования или подача налоговых деклараций;
- соглашения о банковском обслуживании, инвестиции и кредиты;
- аутентификация веб-сайтов;
- платежные услуги, предоставляемые третьими сторонами.
Регламент eIDAS также требует, чтобы государственные и коммерческие службы признавали стандартные форматы подписей и общеевропейские удостоверения личности. Другими словами, электронное удостоверение личности гражданина должно одинаково признаваться в любом государстве — члене ЕС. Примечательно, что бремя соблюдения нормативно-правовых требований ложится непосредственно на TSP, а не на самих потребителей.
Каковы преимущества Регламента eIDAS?
Внедрение услуг электронной идентификации и доверительных услуг может иметь множество преимуществ. По данным Европейской комиссии, к этим преимуществам относятся следующие:
- Улучшенное взаимодействие с пользователем. Типы служб аутентификации, ставшие доступными благодаря Регламенту eIDAS, обеспечивают бесперебойную доставку продуктов потребителям. Более того, они повышают доверие и удовлетворенность, поскольку клиенты чувствуют большую уверенность в ходе транзакции.
- Повышенная безопасность. Благодаря Регламенту eIDAS физическим лицам становится удобно получать доступ к широкому спектру онлайн-услуг, не подвергая риску свою информацию. На компании распространяются более строгие требования к защите данных, гарантирующие, что компании обращаются с персональными данными потребителей с максимальной осторожностью и в соответствии со своими юридическими обязательствами.
- Оптимизация трансграничной эффективности. Благодаря Регламенту eIDAS организациям не нужно ориентироваться в сложных и разнообразных схемах, которые отличаются в зависимости от местоположения, что раньше было распространенной проблемой для международной электронной коммерции. Теперь компании могут осуществлять транзакции независимо от того, в каком государстве — члене ЕС они находятся.
Разумеется, Регламент eIDAS также оказывает положительное социально-экономическое влияние. Он способствует росту цифровой экономики, устраняя барьеры для электронной коммерции, которые в противном случае усложняют онлайн-услуги.
Что такое электронная идентификация?
Электронная идентификация (eID) — это электронное средство проверки цифровой личности человека. По данным Европейской комиссии, защищенное электронное удостоверение личности очень важно для повседневной жизни в цифровом мире.
Его можно использовать для проверки электронной почты, покупок в интернете, разблокировки устройств и выполнения многих других обычных действий. Электронная идентификация также может гарантировать однозначную идентификацию лица, обеспечивая предоставление соответствующей услуги лицу, которое действительно имеет право на ее получение. В свою очередь, eID — это чрезвычайно важный аспект онлайн-банкинга и других конфиденциальных цифровых транзакций.
Уровни гарантии eIDAS
Термин «уровень гарантии» означает то, насколько поставщик услуг может быть уверен в том, что предъявляемая идентификационная информация лица является точной. Другими словами, это степень уверенности в том, что лицо является тем, кем оно себя называет, когда использует eID для доступа к онлайн-услуге.
Согласно Регламенту eIDAS, схема eID должна быть классифицирована в соответствии с тремя уровнями гарантии:
- Низкий: Схема eID предусматривает использование простой аутентификации, например паролей, с небольшим количеством проверок личности в процессе регистрации.
- Средний. Схема предусматривает использование двухфакторной аутентификации с дополнительными проверками в процессе регистрации.
- Высокий. Наивысший уровень гарантии предусматривает использование сложных механизмов многофакторной аутентификации с полными проверками личности.
Все три уровня в значительной степени зависят от аутентификации, которая, по сути, представляет собой процесс проверки электронной идентификации. Он включает в себя сбор соответствующих идентификационных данных, то есть информации о физическом или юридическом лице, которой может поделиться только реальный человек. Как правило, методы аутентификации предусматривают использование трех факторов проверки идентификационных данных:
- Аутентификация на основе знания. Подписывающее лицо предоставляет информацию, известную только ему, например пароль или код.
- Аутентификация на основе владения. Подписывающее лицо предоставляет то, что может быть только у него, например документ, удостоверяющий личность, или смарт-карту.
- Аутентификация на основе биометрии. Подписывающее лицо проверяется по физическим характеристикам, таким как отпечатки пальцев или распознанное лицо.
Примечательно, что в Регламенте eIDAS не указано, какие технологии или методы аутентификации требуются для соответствия каждому уровню гарантии. Вот почему страны ЕС разрабатывают собственные системы eID. Хотя они основаны на принципах Регламента eIDAS, каждое государство вправе разрабатывать свою систему таким образом, чтобы она отражала его уникальный технологический ландшафт.
Исследование 2022 года проливает свет на то, как государства — члены ЕС создают свои схемы. Результаты показали следующее:
- схемы eID 25 стран соответствуют высокому уровню гарантии;
- схемы eID 20 стран соответствуют среднему уровню гарантии;
- схемы eID 12 стран соответствуют низкому уровню гарантии.
Как видите, ЕС стремится достичь более высокого уровня гарантии, подчеркивая важность безопасной электронной идентификации.
Что такое доверительные услуги в соответствии с Регламентом eIDAS?
Доверительные услуги относятся к широкому спектру действий по аутентификации и подписи для защиты электронных транзакций. Некоторые из наиболее распространенных доверительных услуг перечислены ниже.
- Сертификаты. Одним из способов подтверждения чьих-либо идентификационных данных является выдача сторонним органом цифрового сертификата. В общем, сертификат — это файл, который доказывает подлинность устройства, сервера, пользователя или объекта с помощью криптографии с открытым ключом. Сертификат содержит копию открытого ключа, полученного от владельца сертификата. Для подтверждения подлинности этого ключа его необходимо сопоставлять с соответствующим закрытым ключом.
- Электронная метка времени. Установка метки времени — это процесс, при котором дата и время электронным и криптографическим способом привязываются к документу, его подписи и другой информации, тем самым удостоверяя его существование в данный момент. Точность даты и времени гарантируется поставщиком доверительных услуг, и третьи лица не могут ее скомпрометировать. С юридической точки зрения это может быть важно по многим причинам, но особенно полезно в случае оспаривания договорных соглашений.
- Электронная подпись и печать. Электронная подпись, как и ее рукописный аналог, — это способ подтверждения подлинности юридического документа и установления намерения соблюдать содержащиеся в нем условия. Электронная печать, напротив, представляет собой целую организацию, а не одно лицо.
- Цифровая подпись. Цифровая подпись — это тип электронной подписи, которая создается с использованием цифрового сертификата и закрытого ключа подписи. Поскольку цифровые подписи защищены от несанкционированного доступа, они гарантируют, что документ не будет изменен после подписания.
Любая организация, которая способствует любому из вышеперечисленного, считается поставщиком доверительных услуг и, следовательно, должна соблюдать нормативно-правовые требования Регламента eIDAS.
Типы электронных подписей в соответствии с Регламентом eIDAS
В Регламенте eIDAS определены три типа электронных подписей, которые может предлагать поставщик услуг. Они представлены ниже.
1. Простая электронная подпись
Европейская комиссия считает простую электронную подпись самой обычной из трех. Она определяется как «данные в электронной форме, которые прилагаются к другим данным в электронной форме или логически связаны с ними и которые используются подписывающим лицом для подписи». По сути, обычное написание имени на электронном документе может представлять собой простую электронную подпись.
2. Усовершенствованная электронная подпись
К усовершенствованной электронной подписи предъявляются более точные требования. Например, она должна:
- быть уникально связана с подписывающим лицом и иметь возможность его идентифицировать;
- создаваться таким образом, чтобы подписывающее лицо могло сохранять контроль;
- привязываться к документу, чтобы обнаруживались все последующие изменения.
Как правило, усовершенствованная электронная подпись создается с использованием цифровых сертификатов и криптографических ключей, то есть ее можно считать и цифровой подписью. Однако она также может предусматривать использование биометрических данных, кодов доступа и других электронных средств.
3. Квалифицированная электронная подпись
Квалифицированная электронная подпись, самая сложная из трех, обеспечивает высочайший уровень гарантии. Однако необходимо учитывать два дополнительных требования:
- Квалифицированная электронная подпись может быть создана только с использованием устройства для создания квалифицированных подписей (QSCD). QSCD — это тип криптографического оборудования, такого как аппаратный модуль безопасности (HSM), прошедшего сертификацию в соответствии с Регламентом eIDAS.
- Квалифицированная подпись также должна основываться на квалифицированном сертификате. В соответствии с Регламентом eIDAS к квалифицированному сертификату предъявляются более строгие требования, чем к обычному цифровому сертификату. Более того, его может выдавать только квалифицированный поставщик доверительных услуг (QSTP), например Entrust. QSTP — это организация, прошедшая аудит и получившая от национального компетентного органа статус квалифицированного лица, что отражено в списке доверия ЕС.
Повысьте уровень соответствия Регламенту eIDAS с помощью решений Entrust
В компании Entrust мы знаем, что ориентироваться в нормативно-правовых требованиях нелегко, и Регламент eIDAS — не исключение. Кем бы вы ни были — организацией или поставщиком доверительных услуг в ЕС, — вы хотите предоставлять потребителям безопасные и бесперебойные возможности для осуществления транзакций в любом месте и в любое время.
Организации в ЕС: создавайте усовершенствованные и квалифицированные подписи и печати, сотрудничая с Entrust
Компания Entrust является одним из основателей Консорциума облачных подписей, центром сертификации, которому доверяют во всем мире, членом доверенного списка, утвержденного Adobe, и квалифицированным поставщиком доверительных услуг в ЕС, соответствующим требованиям Регламента eIDAS. Мы можем помочь вам настроить услуги электронных подписей с использованием наших усовершенствованных и квалифицированных подписей, соответствующих Регламенту eIDAS.
Посетите наш портал для подписания по адресу signhost.com и попробуйте их бесплатно.
Поставщики доверительных услуг: создавайте доверительные услуги, соответствующие Регламенту eIDAS
Для работы ваших доверительных услуг понадобится надежный корень доверия. Компания Entrust может помочь вам развернуть устройство для создания квалифицированных подписей, сертифицированное в соответствии с Регламентом eIDAS, с модулями HSM nShield в сочетании с модулем активации подписей Entrust.
Наши модули HSM позволяют TSP максимизировать доверие и обеспечивать осуществление юридически обязывающих трансграничных транзакций при одновременном повышении безопасности. Поставщики услуг могут использовать модули HSM nShield для выдачи цифровых сертификатов, установки меток времени или создания цифровых подписей в рамках своих решений, соответствующих Регламенту eIDAS.
Компания Entrust также может предоставить модули цифровых подписей для создания цифровых подписей, соответствующих Регламенту eIDAS. В сочетании с решениями PKI от Entrust и решениями Entrust для управления доступом и идентификационными данными у вас будет все необходимое для настройки собственной службы подписания.