Zadnje leto smo priča pestremu dogajanju na področju upravljanja digitalnih identitet, pri čemer je verjetno dovolj omeniti predloge Evropske komisije glede uvedbe evropskih digitalnih identitet, njeno zahtevo po zagotavljanju digitalnih denarnic s strani držav članic, posodabljanje uredbe eIDAS v luči uvajanje principov, kot so samo-upravljanje identitete (ang. self-sovereign identity) in verig blokov itn. Skupaj si bomo pogledali, ali in kako je vse omenjeno povezano, pri čemer se bomo fokusirali predvsem na tehnično ozadje, in sicer bomo osvetlili pojme, kot so SSI, decentralizirani identifikatorji (ang. DID), preverljive poverilnice (ang. verifiable credentials), SSI agenti oz. digitalne denarnice, storitve EBSI (European Blockchain Service Infrastructure), ogrodje ESSIF (ang. European Self-Sovereign Identity Framework) itn. Vse skupaj bomo podkrepili s lastnimi izkušnjami oz. predstavitvijo in demonstracijo pilotnega projekta, ki bo določene prej omenjene gradnike tudi nazorno predstavil. Zaključili bomo z diskusijo in subjektivno napovedjo bodočih trendov na tem področju.

Passwordless authentication and universal data encryption

We will present examples of bad practices in the narrower and broader geographical area, and what actually represent terms such as signature visualization, identification of signatory and trust service audit trails in the sense of evidential value and ensuring compliant business operations for the relying parties (banks, insurance companies…) from the viewpoint of trust services (in particular e-signature and e-seal). We will also go through the legal basis and European technical norms (ETSI standard), which should be considered for comprehensive electronic business operations.

Ponudniki spletnih storitev, katerih uporaba je vezana na avtentikacijo uporabnika in, pogosto, tudi na uporabnikov elektronski podpis, se glede izvajanja omenjenih postopkov praviloma zanašajo na storitve specializiranih zunanjih izvajalcev.  Predpisi, ki urejajo področje e-identifikacije in storitev zaupanja – predvsem Uredba eIDAS in na njeni podlagi izdani izvedbeni akti ter nacionalni predpisi, določajo zahteve za pridobitev statusa ponudnika kvalificiranih storitev zaupanja in zahteve za uvrstitev posameznih storitev zaupanja med kvalificirane. Ponudniki spletnih storitev se morajo zavedati, da določene storitve avtentikacije in storitve zaupanja lahko na ustrezni ravni zagotavljajo le kvalificirani ponudniki. Predlog novele Uredbe eIDAS storitve zaupanja uvršča med t.i. bistvene storitve po direktivi o kibernetski varnosti (NIS2) in določa nekaj novih postopkov certificiranja in nadzora nad izvajanjem storitev e-identifikacije, storitev zaupanja in nad ponudnikov teh storitev, ki bodo še bolj razmejili raven kakovosti storitev, ki jih zagotavlja kvalificirani oz. nekvalificirani ponudnik. 

Eno od najpogostejših vprašanj, na katero mora odgovoriti oseba javnega ali zasebnega prava, ko se odloči digitalizirati svoje poslovanje, je, katero raven elektronskega podpisa izbrati in uporabiti, da bodo dokumenti in drugi zapisi, ki bodo predmet poslovanja, verodostojno odražali voljo podpisnika v zvezi s podpisano vsebino, omogočili naknadno identifikacijo podpisnika ter da bo opazna vsaka morebitna naknadna sprememba podpisane vsebine. V prispevku bo predstavljenih nekaj normativnih iztočnic, na katere moramo biti pozorni, ko določamo raven e-podpisa, ki bo ustrezal zahtevam našega e-poslovanja, ter nekaj zakonov in podzakonskih predpisov, ki določajo uporabo kvalificiranega ali naprednega elektronskega podpisa.

Elektronsko podpisovanje je postalo pomemben gradnik digitalne poslovne transformacije ne glede na izbrano industrijo in procese. Kot odskočna deska za doseganje željenih poslovnih rezultatov je uvedba e-podpisa ena izmed očitnih zmag na poti k agilnejšim in fleksibilnejšim delovnim procesom. Kot ponudniki tovrstnih storitev smo dolžni upravljati med željami naročnikov in zahtevami področne zakonodaje ter izpolniti pričakovanja obeh strani. Spoznajte primer dobre prakse in prisluhnite, kako nam to uspe.