Korduma kippuvad küsimused digiallkirjade ja e-Templite valideerimise kohta
Järgnevalt leiate kogu info, mida peate teadma digiallkirjade ja digitemplite valideerimisest: mis see on, millal on see vajalik, kuidas see töötab Dokobit portaalis ning palju muud.
1. Mis on valideerimine?
Vastavalt eIDAS määrusele on valideerimine digiallkirjade ja digitemplite täiendav teenus. See näitab, kas allkiri või tempel oli selle loomise ajahetkel kehtiv ning kas on kehtiv valideerimise ajahetkel. Valideerimine on vajalik selleks, et hinnata digiallkirjastatud ning digitembeldatud dokumentide terviklikkust ning et kontrollida digiallkirjade ja digitemplite kehtivust.
2. Kuidas saab allkiri või tempel olla mittekehtiv?
Elektroonilised allkirjad ja templid võivad olla kehtetud või kaotada oma kehtivuse aja jooksul, näiteks kui kvalifitseeritud sertifikaat on tühistatud või kehtivuse kaotanud allkirjastamise või tembeldamise ajaks; allkiri või tempel on väljastatud kvalifitseerimata sertifikaadiga; kasutatud on kvalifitseerimata ajatemplit; kasutatud on sobimatut või nõrka krüptograafiat; dokumenti on pärast allkirjastamist või digitembeldamist muudetud; allkiri või tempel ei ole ettevalmistatud pikaajaliseks säilitamiseks ning seetõttu on kvalifitseeritud sertifikaat kehtivuse kaotanud, vms.
3. Millistel juhtudel peaksin valideerima dokumente, millel on digiallkirjad või digitemplid?
Kõik digiallkirjastatud või digitembeldatud dokumendid, mis jõuavad teieni kolmandatelt osapooltelt, tuleb üle kontrollida veendumaks, et lisatud allkirjad ja templid on kehtivad. Valideerimine annab kindluse selles osas, et dokumenti ei ole pärast allkirjastamist ja tembeldamist muudetud, aga ka kindluse sellele lisatud allkirjade ja templite kehtivuse osas.
4. Mis erinevus on kvalifitseeritud ja kvalifitseerimata valideerimisteenusel?
Kvalifitseeritud valideerimisteenus vastab eIDAS määruses toodud nõuetele, kvalifitseeritud usaldusteenuse pakkujaid auditeeritakse akrediteeritud audiitorite poolt regulaarselt ning kvalifitseeritud usaldusteenuse pakkujad on loetletud kõikide EL liikmesriikide usaldusnimekirjas. Kvalifitseeritud valideerimisteenuse pakkuja garanteerib, et krüptograafilise allkirja või digitempli valideerimine on edukas, et allkirjal ega templil pole piiranguid, et allkirjastaja isik on tuvastatud, ning et valideerimine on teostatud vastavalt eIDAS määrusele ning ETSI standarditele.
Kvalifitseerimata valideerimisteenuse pakkuja ei läbi mingeid eelnevaid ametlikke kontrolle tagamaks, et tema valideerimisteenus vastab eIDAS määruses toodud nõuetele, mis tähendab, et valideerimine teostatakse ilma valideerimispoliitikata ning esitatud tulemuste eest teenusepakkuja ei vastuta.
Lühidalt - kvalifitseeritud usaldusteenuse pakkuja valideerimisraport on kasutatav tõendusmaterjalina kohtuprotsessides, samal ajal kui kvalifitseerimata teenuse tulemusi ei tohiks pimesi usaldada.
5. Mis teeb valideerimisteenusest kvalifitseeritud teenuse?
Kvalifitseeritud valideerimisteenuse pakkuja läbib ametliku protsessi tõendamaks, et ta vastab eIDAS määruses toodud nõuetele, sealhulgas auditeeritakse teenusepakkuja akrediteeritud audiitorite poolt. Kui audiitorid on kinnitanud, et pakkuja vastab kõigile esitatud nõuetele, kantakse teenusepakkuja usaldusnimekirja ning kuvatakse EL liikmesriikide kvalifitseeritud valideerimisteenuse pakkujad kvalifitseeritud digiallkirjade ja digitemplite valideerimiseks usaldusnimekirjas.
6. Miks ma peaks kasutama kvalifitseeritud valideerimisteenust?
Kokkuvõtlikult on digiallkirjade ja digitemplite valideerimine reguleeritud valdkond sidudes eIDAS sertifitseeritud kvalifitseeritud usaldusteenuse pakkuja reaalse vastutusega valideerimisraportis toodud tulemustega. Seetõttu annab kvalifitseeritud teenusepakkuja teenuse kasutamine teile lisakindlust, et allkirjad ja templid on valideeritud korrektselt ning esitatud tulemused on tõesed.
Täpsemalt on kvalifitseeritud valideerimisteenuse pakkuja kohustatud olema võimeline valideerima kõigi kvalifitseeritud teenusepakkujate kvalifitseeritud digiallkirjade, digitemplite ja ajatemplite sertifikaate, mida Euroopa Liidus väljastatakse ning mille pakkujad on toodud EL liikmesriikide usaldusnimekirjas (hetkel kokku enam kui 450 kvalifitseeritud teenusepakkujat). Samaaegselt ei ole kvalifitseerimata valideerimisteenuse pakkujad selleks kohustatud, mistõttu on võimalik allkirjade ja templite ekslik valideerimine ning puudub kohustus sellest kasutajaid teavitada.
7. Mis võib juhtuda, kui ma kasutan kvalifitseerimata valideerimisteenust oma digiallkirjastatud ja digitembeldatud dokumentide kontrollimiseks?
Kasutades kvalifitseerimata valideerimisteenust ei saa te olla täiesti kindel, et allkirjad ja templid allkirjastatud dokumendil on kehtivad, sest kvalifitseerimata valideerimisteenuse pakkuja ei kohustu vastutama esitatud valideerimistulemuste eest.
Vastupidiselt kvalifitseeritud valideerimisteenuse pakkujale ei pea kvalifitseerimata valideerimisteenuse pakkuja kinnitama vastavuse eIDAS määruses toodud nõuetele ning valideerima kõigi kõigi EL liikmesriikide usaldusnimekirjas olevate kvalifitseeritud teenusepakkujate (hetkel on nimistus enam kui 450 kvalifitseeritud teenusepakkujat) poolt väljastatavaid kvalifitseeritud digiallkirju, digitempleid ning ajatempleid. Ehk siis kvalifitseerimata teenuse pakkuja teostab valideerimist ilma valideerimispoliitikata, võib eksida ning ei vastuta esitatud valideerimistulemuste eest.
Seetõttu võib võimalikus kohtuvaidluses kvalifitseerimata valideerimisteenuse valideerimistulemus tõendusmaterjalina olla kasutu, otsuse selle tõendusmaterjalina kasutamise üle teeb kohus ning kaotuse korral ei võta valideerimisraporti koostaja mingit vastutust teile osaks saanud kahju osas.
8. Kuidas ma veendun, et kasutan kvalifitseeritud teenusepakkujat digiallkirjade ja digitemplite valideerimiseks?
Kvalifitseeritud usaldusteenuse pakkujad on loetletud EL liikmesriikide usaldusnimekirjas jaotises kvalifitseeritud digiallkirjade ja kvalifitseeritud digitemplite kvalifitseeritud valideerimisteenus. Leiate viidatud usaldusnimekirja siit. Samuti tohivad ainult kvalifitseeritud usaldusteenuse pakkujad kasutada EU usaldusmärki oma veebis ning teistes materjalides. Leiate selle kohta rohkem infot siit.
9. Miks valideerimistulemused võivad olla erinevates valideerimissüsteemides erinevad?
See võib juhtuda seetõttu, et kvalifitseerimata valideerimisteenuse pakkuja teostab valideerimist ilma valideerimispoliitikata, nende pakutav teenus ei vasta alati eIDAS määruse nõuetele ning teenusepakkuja ei ole kohustatud valideerima kõiki EL liikmesriikide usaldusnimekirjas (hetkel on nimistus enam kui 450 kvalifitseeritud teenusepakkujat) olevaid kvalifitseeritud digiallkirjade ja kvalifitseeritud digitemplite pakkujate digiallkirju ja digitempleid. Ainult kvalifitseeritud valideerimisteenuse pakkujaid saab täielikult usaldada valideerimistulemuse õigsuses, kuna tegemist on sertifitseeritud teenusepakkujatega, kes vastutavad oma teenuse usaldusväärsuse eest.
10. Mis on valideerimispoliitika?
Valideerimispoliitika võimaldab teil valida milliseid allkirju ja templeid antud dokumendil kehtivaks lugeda, näiteks saate valida ainult kvalifitseeritud digiallkirjad või lisada valikusse ka täiustatud digiallkirjad kvalifitseeritud sertifikaatidega.
Täiustatud digiallkirjad ja digitemplid kvalifitseeritud sertifikaatidega loetakse kohtutoimingutes tugevaks tõendusmaterjaliks, samal ajal kvalifitseeritud digiallkirjad ja digitemplid vastavad kõrgeimatele eIDAS määruses toodud nõuetele ning omavad ümberlükkamatut seaduslikku jõudu. Seetõttu aktsepteerivad mõned asutused ja ettevõtted üksnes kvalifitseeritud digiallkirju ning peaksid portaalis valideerimispoliitikat valides tegema valiku “Ainult kvalifitseeritud digiallkirjad ja digitemplid”.
11. Mida tähendavad vastutustasemed?
Vastutustasemed defineerivad Dokobiti kui kvalifitseeritud valideerimisteenuse pakkuja vastutuse ulatuse esitatud valideerimisraporti tulemuse eest.
Põhivastutuskindlustus on soovitatav valida dokumentide puhul, mille väärtus on hinnanguliselt vähem kui 100 €, sest just see on summa, mille ulatuses on Dokobit antud valideerimisraporti puhul vastutav. Ehk põhivastutuskindlustus on üldiselt piisav, kui dokumendile lisatud allkirjade kehtivus tulevikus vaidlusi tõenäoliselt ei põhjusta.
Laiendatud vastutuskindlustus on soovitatav valida dokumentide puhul, mille sisuline väärtus on kuni 10 000 € - Dokobiti kindlustus antud valideerimisraportile on kuni 10 000 €. Laiendatud vastutuskindlustus on sobilik, kui soovite suuremat kindlust dokumendile lisatud allkirjade ja templite kehtivuse osas ning kui dokumendil on kõrgem sisuline väärtus.
12. Mis on valideerimisraport?
Valideerimisraport on dokument, kus on esitatud teostatud valideerimise tulemused ning mida saab kasutada tõendina dokumendile lisatud allkirjade ja templite kehtivuse osas nende lisamise hetkest kuni valideerimiseni.
Dokobit pakub kaht tüüpi valideerimisraporteid. Lihtne valideerimisraport annab vajaliku info allkirjastaja identiteedi ja iga allkirja ning templi kehtivuse kohta. Detailne valideerimisraport sisaldab detailset infot iga valideerimise parameetri kohta ning te näete, milliseid osasid allkirjast, templist või ajatemplist ei õnnestunud määrata.
Kõik Dokobit valideerimisraportid on koostatud vastavalt alusdokumendile Dokobit Signature Validation Service Practice Statement and Policy.
13. Miks ei ole kvalifitseeritud valideerimisteenus kasutatav ADoc formaadis dokumentide puhul?
ADoc formaadis olevale dokumendile lisatud allkirjade ja templite valideerimine viiakse läbi kasutades kvalifitseerimata valideerimisteenust ennekõike tehniliste põhjustel ja seetõttu, et ADoc on kasutusel piiratud hulgal kasutajate seas - üksnes Leedu kodanike poolt. Muretseda ei ole siiski vaja - kvalifitseerimata teenuse valideerimistulemus sisaldab vajalikku infot dokumendile lisatud allkirjade ja templite osas, kuid pole lihtsalt kaetud vastutuskindlustusega. Kui soovite, et saaksite dokumente valideerida kvalifitseeritud valideerimisteenusega, kasutage palun rahvusvaheliselt tunnustatud formaate, näiteks PDF või ASiC-E formaadis digiallkirjastatud dokumendi formaate.
14. Kui ma allkirjastan dokumendi Dokobit portaalis, kas ma pean seda eraldi valideerima?
Dokobit portaalis saate allkirjastada dokumente kasutades kvalifitseeritud digiallkirja või täiustatud digiallkirja kvalifitseeritud sertifikaatidega ning kuivõrd kõik allkirjad ja templid sisaldavad kvalifitseeritud ajatemplit, siis pole vaja muretseda allkirjade kehtivuse pärast. Kõigi dokumentide juures, mis on allkirjastatud ja säilitatud Dokobit portaalis, kuvatakse vaikimisi ka allkirja või templi ning selle sertifikaadi info - allkirjastaja nimi, allkirjastamise aeg, sertifikaadi väljastaja, tüüp ja kehtivusperiood. Siiski juhul, kui peate tõendama allkirjade või templite kehtivust väljaspool Dokobit portaali, on valideerimisteenus teile vajalik, kuna saate luua ja alla laadida valideerimisraporti, mida saate kasutada tõendusmaterjalina sellest hetkest alates, kui dokumendile lisati allkiri või tempel kuni valideerimisraporti loomiseni. Tavaliselt on valideerimine vajalik siis, kui soovite veenduda teile edastatud allkirjastatud või tembeldatud dokumendi kehtivuses.