Personlig Avancerad Elektronisk Underskrift – vad du behöver veta!
Inom EU finns förordningen om elektronisk identifiering och betrodda tjänster (eIDAS-förordningen) som definierar standarder för gränsöverskridande transaktioner. Den täcker bland annat elektronisk identifiering, elektroniska underskrifter och stämplar. DIGG:s (myndigheten för digital förvaltning) tekniska ramverk och normativa specifikation bygger på eIDAS-förordningen, så de går hand i hand. Men, vad behöver du inom offentlig sektor egentligen ha koll på? Det är inte helt lätt att navigera så här har vi sammanfattat några av de viktigaste punkterna att känna till!
eIDAS-förordningen finns till för att guida företag, medborgare och offentliga myndigheter till säkra och sömlösa elektroniska interaktioner. Den delas upp i följande vägledningar: eIDAS-lösningar för medborgare, samt eIDAS-lösningar för företag. Det här blogginlägget kommer att fokusera på det senare.
I en EU-kontext ämnar eIDAS-förordningen skapa en europeisk inre marknad för betrodda tjänster genom att se till att de fungerar över gränserna och har samma rättsliga status som traditionella pappersbaserade motsvarigheter. Vad det betyder för dig som läser är att den hjälper dig välja e-tjänster som går att använda enligt internationella standarder. Behovet för organisationer kan delas upp i tre kategorier:
Ökad användarvänlighet
Som offentlig aktör är det viktigt att en webbsida eller e-tjänst inte bara är snygg, den ska även vara användbar och tillgänglig för alla. Det ska exempelvis finnas skärmläsare för personer med nedsatt syn, menyval och tabbning ska vara enkla. Vid upphandling brukar många kategorier falla under rekommendationer men just att inkludera alla, med krav på tillgänglighet, är en av få saker som faktiskt är lagkrav. Inom eIDAS-förordningen ställs krav på tillgänglighet motsvarande WCAG 2.1 AA.
Ökad säkerhet av digitala verksamhetsprocesser
Den typ av underskrifter som specificeras i eIDAS-förordningen ställer höga krav på säkerhet. När tjänster skalas upp till hela nationer, och ibland större än så, blir saker relevanta som kanske annars kan förbises. Med tillgång till många offentliga underskrivna dokument och snabbare datorer ökar risken att någon lyckas räkna ut certifikatet, och kan förfalska underskrifter. Detta kan förhindras genom att använda unika certifikat för varje underskrift och att underskriften utförs i speciell hårdvara (Hardware Secure Module, HSM).
Hänsyn behöver även tas till att leverantörer kan bli uppköpta eller avveckla sina tjänster. En leverantör behöver därför vara utbytbar och underskrifterna behöver vara giltiga och validerbara även efter terminering. Det underskrivna dokumentet behöver också vara skyddat mot förändring. Allt detta så att det ska gå att säkerställa vem som har skrivit under, vad som skrevs under och när det gjordes.
Ökad effektivitet
Genom att många aktörer använder samma standard ökar effektiviteten i interaktionen mellan dem. Det ska vara möjligt att elektroniskt enligt standarder läsa ut vem som har skrivit under ett dokument. Då kan en elektronisk mottagningskontroll göras automatiskt och exempelvis ärenden kan skapas baserat på informationen.
Detta löser eIDAS med Avancerade Elektroniska Underskrifter som är personliga, dvs personen som skrivit under står i den elektroniska underskriften och inte leverantören av underskriftstjänsten.
En Personlig Avancerad Elektronisk Underskrift, till skillnad från enkla underskrifter, följer specifika tekniska definitioner och ger en högre säkerhetsnivå. Den förseglar ett dokument och möjliggör validering av underskrifter där även identiteten på personen framgår.
En Personlig Avancerad Elektronisk Underskrift gör dokumentet självbärande och innebär:
- Garanterad integritet i ditt dokument tack vare en teknisk låsning via hash (en kontrollsumma som är unik för varje dokument och som ändras om något i dokumentet ändras)
- Möjlighet att arkivera och skicka dokumentet över mejl, samt vara säker på att det förblir oförändrat
- Validering av underskriften enligt internationella standarder
- Inte låst vid något specifikt leverantörssystem
Införandet av eIDAS innebär högre säkerhet och större bekvämlighet för alla onlineaktiviteter. Det kan bland annat handla om att lämna in skattedeklarationer, registrera sig vid ett utländskt universitet, öppna ett bankkonto på distans, starta ett företag i en annan medlemsstat, autentisera sig för internetbetalningar, lägga bud på online-anbud med mera.
Det kan kännas snårigt med alla lagar och tekniska ramverk, vi vet. Som kund till SignPort kan ni vara säkra på att er organisation följer samtliga EU-förordningar, hör av er till oss så ser vi hur vi kan hjälpa just er mot en mer hållbar digital framtid!