Podpis elektroniczny w praktyce: Weryfikacja tożsamości i bezpieczeństwo w ekosystemie Autenti

1. Weryfikacja tożsamości – fundament zaufania

Zgodnie z rozporządzeniem eIDAS, kwalifikowany certyfikat podpisu elektronicznego (QES) może zostać wydany wyłącznie po skutecznej weryfikacji tożsamości wnioskodawcy przez dostawcę usług zaufania. W ekosystemie Autenti proces ten realizuje usługaAutenti ID(technologicznie oparta na rozwiązaniu Broker ID). Agreguje ona metody identyfikacji zgodne z wymogami AML (Anti-Money Laundering) oraz KNF.

Dostępne metody identyfikacji

Platforma umożliwia elastyczne dopasowanie metody weryfikacji do poziomu ryzyka i typu dokumentu:

• Wideoweryfikacja– proces realizowany zdalnie, podczas którego konsultant weryfikuje biometrycznie twarz użytkownika oraz jego fizyczny dokument tożsamości (dowód osobisty, paszport). Cała procedura, łącznie z wydaniem certyfikatu, zajmuje zazwyczaj około 15 minut.

• E-dowód i mObywatel– wykorzystanie warstwy elektronicznej dowodu osobistego (przez NFC w smartfonie) lub rządowej aplikacji mObywatel. To najszybsza metoda, opierająca się na państwowych węzłach tożsamości.

• Bankowość elektroniczna (Bank Connect)– potwierdzenie danych poprzez logowanie do bankowości internetowej (metoda tożsama z zakładaniem Profilu Zaufanego).

• Kwalifikowani dostawcy– Autenti integruje również zewnętrznych dostawców tożsamości, działając jako hub usług zaufania.

Dzięki narzędziu Broker ID (Autenti ID) firmy mogą konfigurować proces identyfikacji, określając wymagane dane i sposób ich pozyskania, a także generować szczegółowe raporty z przebiegu weryfikacji (tzw. Audit Trail).

2. Architektura bezpieczeństwa

Po wydaniu certyfikatu QES Autenti przejmuje rolę centrum zarządzania bezpieczeństwem operacji kryptograficznych. Zastosowane mechanizmy wykluczają możliwość fałszerstwa lub antydatowania dokumentów.

Mechanizmy ochrony

• HSM (Hardware Security Module)– klucze prywatne użytkowników nie są zapisywane na dyskach komputerów ani w pamięci telefonów. Spoczywają w certyfikowanych modułach sprzętowych HSM (spełniających normy Common Criteria). Nawet administratorzy systemu nie mają do nich wglądu.

• Uwierzytelnianie dwuskładnikowe (2FA)– złożenie podpisu wymaga wiedzy (kod PIN) oraz posiadania (aplikacja mobilna Autenti/mSzafir). Przechwycenie samego telefonu nie pozwala na użycie podpisu bez znajomości PIN-u.

• Integralność dokumentu– każdy plik po podpisaniu otrzymuje kwalifikowaną pieczęć elektroniczną oraz kwalifikowany znacznik czasu. Gwarantuje to, że treść dokumentu nie uległa zmianie od momentu złożenia podpisu (integralność) oraz urzędowo poświadcza datę operacji (niezaprzeczalność).

• Walidacja– wbudowany walidator e-podpisów automatycznie sprawdza ważność certyfikatów w momencie podpisywania, co jest kluczowe dla celów dowodowych w przypadku sporów sądowych.

3. Zarządzanie uprawnieniami w organizacji

Bezpieczeństwo cyfrowe to także ścisła kontrola dostępu do dokumentów. Autenti udostępnia narzędzia klasy enterprise:

• Role i uprawnienia– precyzyjne definiowanie, którzy pracownicy mogą składać oświadczenia woli w imieniu firmy.

• Ścieżki akceptacji– wymuszenie sekwencyjnego obiegu dokumentu (np. akceptacja prawna -> akceptacja finansowa -> podpis zarządu).

• Cyfrowe teczki HR– bezpieczny obieg dokumentów kadrowych (umowy, aneksy, RODO) z zachowaniem wymogów poufności.

Podsumowanie

Bezpieczeństwo podpisu elektronicznego w wydaniu Autenti opiera się na trzech filarach: pewnej identyfikacji (Autenti ID/Broker ID), sprzętowej ochronie kluczy (HSM) oraz niezaprzeczalności materiału dowodowego. System ten pozwala przenieść kluczowe procesy biznesowe (B2B, HR) do sfery cyfrowej bez ryzyka prawnego.

FAQ – Najczęściej zadawane pytania

Czy weryfikacja tożsamości wymaga wizyty w oddziale?
Nie. W ekosystemie Autenti domyślnym standardem jest weryfikacja zdalna (online) poprzez wideoweryfikację, e-dowód (w tym mObywatel) lub bankowość elektroniczną.

Ile trwa uzyskanie kwalifikowanego podpisu (QES)?
Czas zależy od wybranej metody weryfikacji. Przy sprawnie przeprowadzonej wideoweryfikacji certyfikat jest gotowy do użycia w około 15 minut. W trybach asynchronicznych proces zamyka się zazwyczaj w ciągu jednego dnia roboczego.

Co w przypadku utraty telefonu z aplikacją?
Należy niezwłocznie zgłosić ten fakt dostawcy. Klucz prywatny jest bezpieczny w module HSM, ale utrata urządzenia autoryzującego wymaga unieważnienia dostępu i skonfigurowania nowego urządzenia. Nie ma ryzyka "wykradzenia" podpisu z pamięci telefonu.

Czy Autenti przechowuje moje hasła?
Nie. Kody PIN i hasła są znane wyłącznie użytkownikowi. Architektura systemu uniemożliwia pracownikom Autenti dostęp do danych uwierzytelniających klientów.

Czy dokument podpisany elektronicznie można podrobić?
Jest to praktycznie niemożliwe. Każda ingerencja w plik PDF po złożeniu podpisu (nawet zmiana jednego znaku) zrywa pieczęć kryptograficzną, co zostanie natychmiast wykryte przez dowolny program do odczytu plików PDF (np. Adobe Acrobat) oraz walidator Autenti.

---