Ministerstvo vnitra České republiky  

Přejdi na

Efektivní veřejná správa


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Informace k problematice kvalifikovaných elektronických pečetí

Ministerstvo vnitra níže zveřejňuje aktuální informace týkající se problematiky kvalifikovaných elektronických pečetí. 

  • Požadavky zákona č. 297/2016 Sb.
  • Způsob vytváření kvalifikovaných elektronických pečetí
  • Seznam poskytovatelů s povolením vydávat kvalifikované certifikáty pro elektronické pečeti v České republice
  • Kvalifikované prostředky pro vytváření elektronických pečetí
  • Jak splnit zákonné povinnosti dle § 8 zákona o službách vytvářejících důvěru?
  • Metodický materiál k problematice elektronických podpisů a pečetí určený pro veřejnoprávní původce

Požadavky zákona č. 297/2016 Sb.

Požadavky zákona č. 297/2016 Sb.

Zákon č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů (dále jen zákon o službách vytvářejících důvěru), upravuje v České republice pravidla používání elektronických podpisů, elektronických pečetí a elektronických časových razítek. Stanovená pravidla je nutno chápat jako obecnou úpravu. Svou povahou zvláštní právní předpisy mohou obsahovat speciální úpravu, která obecná pravidla "zmírňuje", např. povolením použití i nižší úrovně elektronického podpisu nebo naopak tím, že obecná pravidla zpřísňují.

Součástí pravidel dle zákona o službách vytvářejících důvěru je také povinnost veřejnoprávního podepisujícího (stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem) a jiné osoby, jednající při výkonu své působnosti, používat ve stanovených případech kvalifikované elektronické podpisy nebo kvalifikované elektronické pečeti a kvalifikovaná elektronická časová razítka. Konkrétně se jedná o § 5, § 8 a § 11:

§ 5 - PODEPISOVÁNÍ DOKUMENTU

K podepisování elektronickým podpisem lze použít pouze kvalifikovaný elektronický podpis, podepisuje-li elektronický dokument, kterým právně jedná,

a) stát, územní samosprávný celek, právnická osoba zřízená zákonem nebo právnická osoba zřízená nebo založená státem, územním samosprávným celkem nebo právnickou osobou zřízenou zákonem (dále jen „veřejnoprávní podepisující“, nebo

b) osoba neuvedená v písmenu a) při výkonu své působnosti.
 

§ 8 - PEČETĚNÍ DOKUMENTU

Nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí.
 

§ 11 - POUŽITÍ KVALFIKOVANÉHO ELEKTRONICKÉHO ČASOVÉHO RAZÍTKA

(1) Veřejnoprávní podepisující, který podepsal elektronický dokument, kterým právně jedná, způsobem podle § 5, a osoba, která podepsala elektronický dokument, kterým právně jedná při výkonu své působnosti, způsobem podle § 5, opatří podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem.

(2) Veřejnoprávní podepisující, který zapečetil elektronický dokument, kterým právně jedná, způsobem podle § 8, a osoba, která zapečetila elektronický dokument, kterým právně jedná při výkonu své působnosti, způsobem podle § 8, opatří zapečetěný elektronický dokument kvalifikovaným elektronickým časovým razítkem.

  

Zároveň zákon o službách vytvářejících důvěru stanovil dvouleté přechodné období (§ 19 citovaného zákona), v rámci kterého je umožněno použít místo kvalifikovaných elektronických podpisů zaručené elektronické podpisy založené na kvalifikovaných certifikátech pro elektronický podpis. Namísto kvalifikovaných elektronických pečetí je možno v tomto přechodném období použít elektronické značky podle zákona č. 227/2000 Sb. založených na systémových certifikátech vydaných osobou, která byla přede dnem nabytí účinnosti tohoto zákona akreditovaným poskytovatelem certifikačních služeb a která je kvalifikovaným poskytovatelem služeb vytvářejících důvěru, nebo zaručené elektronické pečeti založené na certifikátech pro elektronickou pečeť vydaných kvalifikovaným poskytovatelem služeb vytvářejících důvěru nebo zaručené elektronické pečeti založené na kvalifikovaných certifikátech pro elektronickou pečeť. Konečně namísto kvalifikovaných elektronických časových razítek lze použít po přechodnou dobu elektronická časová razítka vydaná kvalifikovaným poskytovatelem služeb vytvářejících důvěru.

Výše uvedená přechodná ustanovení lze aplikovat pouze do 19. září 2018 (včetně), kdy končí jejich použitelnost (2 roky ode dne nabytí účinnosti zákona o službách vytvářejících důvěru).

Na základě povinnosti stanovené v § 8 zákona o službách vytvářejících důvěru, má veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, povinnost používat kvalifikované elektronické pečeti pro elektronické dokumenty obsahující právní jednání, pro něž nestanovuje jiný právní předpis podpis nebo tato náležitost nevyplývá z povahy tohoto právního jednání.

  

Způsob vytváření kvalifikovaných elektronických pečetí

Způsob vytváření kvalifikovaných elektronických pečetí

Pro vytvoření kvalifikovaných elektronických pečetí je třeba, aby právnická osoba měla vydaný kvalifikovaný certifikát pro elektronickou pečeť a rovněž disponovala také kvalifikovaným prostředkem pro vytváření elektronických pečetí, na kterém je umístěn soukromý klíč používaný k pečetění.

Přičemž kvalifikovaný prostředek pro vytváření elektronických pečetí může být realizován jako hardwarové zařízení (typicky čipová karta nebo USB token nebo HSM modul) patřičně certifikované jako kvalifikovaný prostředek pro vytváření elektronických pečetí, které je fyzicky umístěno u právnické osoby, která vytváří elektronickou pečeť (dále jen „pečetící osoba“) nebo může být také umístěno a spravováno (včetně soukromého klíče používaného k pečetění) kvalifikovaným poskytovatelem služeb vytvářejících důvěru. V tomto případě se pak jedná o službu vytváření kvalifikovaných elektronických pečetí na dálku, která je poskytována kvalifikovaným poskytovatelem služeb vytvářejících důvěru.

V případě, kdy je související soukromý klíč k veřejnému klíči uvedenému v kvalifikovaném certifikátu pro elektronickou pečeť umístěn v kvalifikovaném prostředku pro vytváření elektronických pečetí, obsahuje kvalifikovaný certifikát o této skutečnosti informaci. Typicky je to vyjádřeno formou tzv. QCStatementu uvedeného v "Prohlášení kvalifikovaného certifikátu" viz norma ETSI EN 319 412-5 V2.1.1 Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QCStatements.

  

Seznam poskytovatelů s povolením vydávat kvalifikované certifikáty pro elektronické pečeti v České republice

Seznam poskytovatelů s povolením vydávat kvalifikované certifikáty pro elektronické pečeti v České republice

V České republice existují k 14. dubnu 2020 celkem čtyři kvalifikovaní poskytovatelé služeb vytvářejících důvěru, kteří splnili požadavky nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, a požadavky zákona o službách vytvářejících důvěru a bylo jim uděleno povolení vydávat kvalifikované certifikáty pro elektronické pečeti. Jedná se konkrétně o:

  • První certifikační autorita, a. s., IČO 26439395, Podvinný mlýn 2178/6, PSČ 190 00 Praha 9.

  • Česká pošta, s. p., IČO 47114983, Politických vězňů 909/4, PSČ 225 99 Praha 1.

  • eIdentity a. s., IČO 27112489, Vinohradská 184/2396, PSČ 130 00 Praha 3.

  • Správa základních registrů, IČO 72054506, Na vápence 915/14, PSČ 130 00 Praha 3.
     

Bližší informace lze získat zde: Seznam kvalifikovaných poskytovatelů služeb vytvářejících důvěru a poskytovaných kvalifikovaných služeb vytvářejících důvěru.

  

Kvalifikované prostředky pro vytváření elektronických pečetí

Kvalifikované prostředky pro vytváření elektronických pečetí

Seznam kvalifikovaných prostředků pro vytváření elektronických podpisů (QSigCD) a pečetí (QSealCD) je zveřejněn v unijním seznamu, který je dostupný na adrese: https://ec.europa.eu/futurium/en/content/compilation-member-states-notification-sscds-and-qscds.
  
Pokud je prostředek považován za kvalifikovaný prostředek pro vytváření el. pečetí, je u něj uvedena informace „yes“ v položce „Qualified Seal Creation Device (QSealCD)“. Seznam obsahuje jak prostředky, které jsou v držení a správě pečetící osoby (typicky čipové karty nebo USB tokeny), tak i prostředky, které se považují za kvalifikované prostředky pro vytváření elektronických pečetí, pouze pokud jsou spravovány kvalifikovaným poskytovatelem služeb vytvářejících důvěru jménem pečetící osoby - u těchto prostředků je uvedena poznámka „Device aimed to be managed on behalf of the user (seal creator) by a QTSP that can be only considered as QSealCD when duly operated by a QTSP in accordance with eIDAS Regulation (EU) 910/2014“.

Jak splnit zákonné povinnosti dle § 8 zákona o službách vytvářejících důvěru?

Jak splnit zákonné povinnosti dle § 8 zákona o službách vytvářejících důvěru?

Jednou z možností je využití služeb vytváření kvalifikovaných elektronických pečetí na dálku. Souhlas s poskytováním služby byl udělen ze strany Ministerstva vnitra České republiky, odboru  eGovernmentu, jakožto orgánu dohledu nad poskytovateli služeb vytvářejících důvěru ve smyslu čl. 17 nařízení EU č. 910/2014, následujícím společnostem

Díky postupnému rozšiřování nabídky certifikovaných kvalifikovaných prostředků pro vytváření elektronických pečetí, kvalifikovaní poskytovatelé v České republice plánují či mohou již vydávat certifikované čipové karty jako kvalifikované prostředky pro vytváření elektronických pečetí. Toto řešení je ale svým zaměřením určeno spíše pro subjekty, které potřebují vytvořit řádově několik kvalifikovaných elektronických pečetí denně (obvykle nutnost zadání PIN pro vytvoření kvalifikované elektronické pečeti). České poště, s.p. byl udělen souhlas s vydáváním čipové karty ProID+ Q jako kvalifikovaného prostředku pro vytváření el. pečetíV říjnu roku 2018 byl tento souhlas udělen také poskytovateli eIdentity, a. s. Seznam vydávaných kvalifikovaných prostředků pro vytváření elektronických pečetí, které jsou nabízeny ze strany kvalifikovaných poskytovatelů služeb vytvářejících důvěru v České republice je zveřejněn na této stránce.

Na základě dostupných informací je dle názoru odboru eGovernmentu Ministerstva vnitra možné čipovou kartu ProID+Q využít rovněž v případech, kdy kvalifikovaná elektronická pečeť vzniká automatizovaným způsobem (nicméně samozřejmě vždy na popud pečetící osoby [tj. právnické osoby, která vytváří elektronickou pečeť]). Technické specifikace použité technologie "Produit Gemalto "IAS Classic V4.4 with MOC Server 1.1 on MultiApp V4" embarqué sur le microcontrôleur M7892 G12 Infineon Technologies AG“ nezakazují možnost uchování PIN softwarovou komponentou.

Z obecného hlediska, podle názoru odboru eGovernmentu, umožňují normy řady EN 419 211 zapamatování PIN (musí být ovšem zajištěna jeho důvěrnost). Pečetící osoba musí mít soukromý klíč (data pro vytváření elektronických pečetí), resp. způsob jeho aktivace, pod svou výhradní kontrolou. Možnost použití certifikované čipové karty či tokenu se zapamatovaným PIN po stanovenou dobu připouští také dokument Security guidelines on the appropriate use of qualified electronic seals v kap. 3.3.  Tento dokument byl vytvořený organizací ENISA.

Ministerstvo vnitra však důrazně doporučuje, aby ovládací aplikace, která umožňuje zapamatování PIN, byla posouzena ze strany nezávislé strany za účelem posouzení její bezpečnosti, zejména s přihlédnutím, jakým způsobem je realizováno zapamatování PIN.

Vzhledem k tomu, že při automatizovaném vytváření kvalifikovaných elektronických pečetí není třeba potvrzovat vytvoření každé kvalifikované elektronické pečeti, je nutné důsledně dbát na zabezpečení prostředí, ve kterém kvalifikované elektronické pečetě vznikají. Za důsledné zabezpečení takového prostředí odpovídá pečetící osoba. Tato pečetící osoba by měla být písemně upozorněna na možná rizika a její odpovědnost za zajištění bezpečnosti prostředí.

Někteří kvalifikovaní poskytovatelé umožňují do vydaného kvalifikovaného certifikátu umístit příznak o tom, že související soukromý klíč je uložen na kvalifikovaném prostředku pro vytváření elektronických pečetí, pokud mají možnost si tuto skutečnost ověřit (tj. model, kdy žadatel o certifikát použije pro generování žádosti svůj vlastní prostředek). Tato možnost je nicméně odvislá od skutečnosti, zda prostředek je podporován ze strany kvalifikovaného poskytovatele.
 
Zejména pro subjekty, které potřebují opatřovat kvalifikovanou elektronickou pečetí velké množství dokumentů a disponují patřičným technickým a organizačním zázemím, se nabízí možnost, kdy by HSM řešení, které je certifikováno jako kvalifikovaný prostředek pro vytváření elektronických pečetí, pouze pokud je spravováno kvalifikovaným poskytovatelem služeb vytvářejících důvěru jménem pečetící osoby, bylo umístěno přímo v infrastruktuře pečetící osoby. Pečetící osoba musí zabezpečit, že HSM řešení bude umístěno v bezpečném a chráněném prostředí, které vyhovuje podmínkám, za kterých bylo HSM řešení certifikováno. Samotné HSM řešení musí být ve výlučné správě kvalifikovaného poskytovatele služeb vytvářejících důvěru, a to na základě uzavřeného smluvního vztahu definujícího mj. i způsob a podmínky správy HSM řešení.

Další možností, kterou je díky nařízení eIDAS a jeho celounijního rozsahu možné využít, jsou služby poskytované kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v zahraničí. Tzn. možnost využití služeb vytváření kvalifikovaných elektronických pečetí na dálku nebo možnost vydání kvalifikovaného certifikátu pro elektronickou pečeť společně s kvalifikovaným prostředkem pro vytváření elektronických pečetí.

Ministerstvo vnitra průběžně zjišťuje další informace, které následně bude prostřednictvím těchto stránek publikovat.

  

Metodický materiál k problematice elektronických podpisů a pečetí určený pro veřejnoprávní původce

Metodický materiál k problematice elektronických podpisů a pečetí určený pro veřejnoprávní původce

Na základě četných dotazů zveřejňujeme metodický materiál k problematice elektronických podpisů a pečetí určený pro veřejnoprávní původce.

  

vytisknout  e-mailem