Určenie
V procesoch elektronickej komunikácie vzniká množstvo elektronických dokumentov, ktoré majú svoj elektronický obraz v súčasných listinných dokumentoch. Podobne ako pre listinné dokumenty, aj elektronické dokumenty je potrebné uchovávať a archivovať, aby boli použiteľné v budúcnosti pri dokladovaní rôznych skutočností (napr. zmluvy).
Elektronický dokument v mnohých prípadoch predstavuje jednak úradný dokument (napr. list vlastníctva) alebo reprezentuje vykonaný úkon (napr. žiadosť alebo rozsudok). Takýto dokument býva spravidla autorizovaný v súlade s legislatívou (nariadenie eIDAS a legislatíva SR) kvalifikovaným elektronickým podpisom alebo kvalifikovanou elektronickou pečaťou (ekvivalent vlastnoručného alebo úradne osvedčeného podpisu na listinných dokumentoch). Táto autorizácia zabezpečuje jednak preukázanie integrity dokumentu, ale aj identifikuje osobu ktorá autorizáciu vykonala, resp. jej postavenie a oprávnenia. Takýto dokument má rovnakú právnu váhu ako listinný dokument.
Na rozdiel od archivácie listinných dokumentov, pri elektronických dokumentoch je potrebné zabezpečiť nielen čitateľnosť vlastného elektronického dokumentu, ale taktiež zabezpečiť dlhodobú overiteľnosť prostriedku autorizácie. Ten totiž po uplynutí platnosti použitého certifikátu sa stáva neoveriteľným, nemožno ho síce vyhlásiť za neplatný, ale nie je možné preukázať jeho platnosť. V takomto prípade sa stáva takto autorizovaný elektronický dokument v podstate nepoužiteľný pre právne úkony a preukazovanie skutočností v ňom obsiahnutých. Toto je však vlastnosť technológie elektronických podpisov, ktorá je používaná ako prostriedok autorizácie v elektronickom prostredí.
Riešenie tohto problému zabezpečovania dlhodobej overiteľnosti autorizácie, ktorá je reprezentovaná elektronickým podpisom alebo elektronickou pečaťou je možné pridaním archívnej časovej pečiatky, ktorá zabezpečuje integritu dokumentu a všetkých validačných údajov. Archívnu časovú pečiatku je potrebné pripojiť ku každému elektronickému podpisu alebo elektronickej pečati. Týmto sa zabezpečí, že do expirovania certifikátu takejto archívnej časovej pečiatky je zabezpečená overiteľnosť elektronického podpisu alebo elektronickej pečate. Tento prístup však je neefektívny v prípade uchovávania väčšieho počtu dokumentov.
Existujú však aj iné prístupy, ktoré umožňujú efektívnejším spôsobom zabezpečiť overiteľnosť platnosti prostriedkov autorizácie. Modul dlhodobej archivácie D.MDA slúži na podporu dlhodobej archivácie dokumentov uchovávaných v rámci Dokument Management Systému (DMS), zabezpečením dlhodobej overiteľnosti k nim pripojených zaručených elektronických podpisov a zaručených elektronických pečatí. Toto riešenie zabezpečí, že takto uchovávaný elektronický dokument bude aj po rokoch použiteľný na právne účely a použiteľný ako dôkazový materiál v prípade sporu.
Popis riešenia
Služby zabezpečenia dlhodobej archivácie a teda aj ochrany integrity a neodmietnuteľnosti elektronicky podpísaných dokumentov sú zabezpečené prostredníctvom prostriedkov PKI – tzv. archívnych časových pečiatok. Tieto sa však nepripájajú k jednotlivých elektronickým dokumentom alebo podpisom, ale zabezpečujú integritu väčšieho počtu elektronických dokumentov organizovaných vo forme stromov. Tým je zabezpečená preukázateľnosť neporušenia integrity všetkých elektronických dokumentov, elektronických podpisov a elektronických pečatí, ako aj všetkých validačných údajov (zoznamy zrušených certifikátov, OCSP odpovedí) potrebných na vyhodnotenie platnosti autorizačných prostriedkov.
Základné charakteristiky modulu D.MDA sú nasledujúce:
- samostatná evidencia štruktúr spojených s elektronickými podpismi (elektronické podpisy, podpisové kontajnery, validačné údaje – CRL, OCSP, časové pečiatky) oddelená od evidencie vlastných archivovaných dokumentov (tieto sú súčasťou systému registratúry, resp. dokument managementu)
- zabezpečenie preukázateľného overenia platnosti všetkých uchovávaných elektronických podpisov a elektronických pečatí prostredníctvom efektívnych stromových štruktúr výrazne redukujúcich množstvo potrebných časových pečiatok
- možnosť definovať paralelné línie archívnych časových pečiatok od viacerých časových autorít
- vytváranie dôkazových záznamov pre jednotlivé archivované objekty, hashovacích stromov, reťazí a sekvencií archívnych časových pečiatok v súlade s normami IETF RFC 4998 (ERS) a RFC 6283 (XML ERS)
- automatizované spúšťanie asynchrónnych procesov pre zabezpečenie dlhodobej overiteľnosti v súlade s nastaveniami konfigurácie (vytváranie dôkazových záznamov, žiadanie časových pečiatok, re pečiatkovanie)
- na požiadanie poskytnutie dôkazu zabezpečenia dlhodobej archivácie, ktorý obsahuje všetky údaje potrebné pre preukázanie, že dlhodobo archivované dáta neboli zmenené
- integrácia na modul elektronickej podateľne D.REG, identifikačný a autorizačný modul D.IAM
- integrácia na DMS v súlade s požiadavkami daného projektu
- .NET aplikácia pre administráciu D.MDA
Modul dlhodobej archivácie D.MDA je komerčný licencovaný softvér chránený autorskými právami vhodný pre efektívne zabezpečenie dlhodobého uchovávania elektronických dokumentov.
Súlad s legislatívou a štandardami
Činnosť systému prebieha v súlade s predpismi pre elektronické podpisy a overovanie ich platnosti:
- zákon č. 215/2002 Z.z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a príslušné vyhlášky NBÚ SR, najmä 139/2009 Z.z., ktorý bol nahradený Zákonom č. 272/2016 o dôveryhodných službách
- zákon č. 305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente)
- nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu
Modul D.MDA podporuje nasledujúce medzinárodné a národné štandardy:
- štandardy pre formáty elektronických dokumentov
- štandardy pre formáty elektronických podpisov a elektronických pečatí
- profily XAdES_ZEP, v1.x a v2.0 vrátane profilov zložených elektronických podpisov, ktoré sú schválené NBÚ ako formát ZEP
- štandardy pre formáty elektronických správ
- podanie v štruktúre Registration, v1.0
Kontext nasadenia
Systém D.MDA rieši problematiku uchovávania elektronických podpisov a zabezpečovanie ich overiteľnosti. Nezabezpečuje uchovávanie vlastných dátových objektov, čo je úlohou systému DMS – Document Management System. Autorizácia prístupu k uchovávaným elektronickým dokumentom je zabezpečená pomocou integrácie na modul D.IAM – Identifikačný a autorizačný modul.
Systém D.MDA môže byť integrovaný na modul elektronickej podateľne D.REG alebo iný systém, napr. systém Registratúry, ktorý potrebuje zabezpečiť dlhodobú archiváciu a overiteľnosť ním evidovaných a spracovávaných elektronicky podpísaných dokumentov.
Referencie na použitie riešenia
Systém D.MDA predstavuje riešenie, ktoré bolo prakticky nasadené a odskúšané v riešeniach prevádzkovaných niekoľko rokov. Jedná sa o stabilný a robustný systém nasadený v nasledovných riešeniach:
- Ministerstvo vnútra SR – dlhodobé uchovávanie elektronických dokumentov v súvislosti s elektronickými službami MV SR
- Ministerstvo financií SR – zabezpečenie uchovávania autorizovaných dokumentoiv v rámci projektu Centrálny elektronický priečinok
Požiadavky na nasadenie a prevádzku
Softvérové požiadavky
- OS MS Windows Server 2008, Windows Server 2012 R2
- .NET Framework 4.0
- Oracle DB Server alebo MS SQL Server
Ostatné požiadavky
- prístup na mailový server prevádzkovaný v rámci portálu z webového servera