Lista najczęściej zadawanych pytań

Gdzie mogę kupić bezpieczny podpis elektroniczny i ile będzie to kosztowało?

Bezpieczny podpis elektroniczny można kupić obecnie w jednej z pięciu firm świadczących usługi w tym zakresie (kwalifikowane podmioty świadczące usługi certyfikacyjne w zakresie podpisu elektronicznego), wpisanych do rejestru Ministerstwa Gospodarki.
Są to:

• Krajowa Izba Rozliczeniowa,
• Polska Wytwórnia Papierów Wartościowych
• Unizeto Technologies
• MobiCert
• Enigma S.O.I.

Usługi certyfikacyjne mają charakter komercyjny, a wysokość opłat określają podmioty świadczące te usługi. Ceny zestawów różnią się w zależności od długości ważności certyfikatu (rok lub dwa lata) i rodzaju urządzenia do składania podpisu elektronicznego (czytnik kart usb, token usb lub pcmcia). Możliwy jest zakup karty z certyfikatem bez czytnika, albo samych czytników i dodatkowych licencji na oprogramowanie. Kupujący zawiera z kwalifikowanym podmiotem umowę subskrybencką, której warunki określa polityka certyfikacji lub kodeks postępowania certyfikacyjnego.

Szczegółowe informacje dotyczące zakresu świadczonych przez podmioty usług mogą Państwo znaleźć na stronach Narodowego Centrum Certyfikacji NCCERT (http://www.nccert.pl/) oraz na stronach internetowych poszczególnych centrów certyfikacji.

Kiedy podpis elektroniczny zacznie obowiązywać?

Systemy bankowe w naszym kraju (np. Elixir) wykorzystują tzw. "zwykły" podpis elektroniczny już od kilkunastu lat. Natomiast bezpieczny podpis elektroniczny został wprowadzony do polskiego systemu prawa 16 sierpnia 2002 r., z dniem wejścia w życie ustawy o podpisie elektronicznym. Pierwsze certyfikaty kwalifikowane były dostępne już na początku roku 2003 r. Upowszechnienie stosowania podpisu elektronicznego wymaga wprowadzenia szerokiej gamy usług świadczonych przez urzędy drogą elektroniczną, takich jak m.in. formularze elektroniczne urzędów administracji, deklaracje celne i podatkowe oraz faktury elektroniczne. Wymaga to też odpowiedniego przygotowania zaplecza organizacyjnego i sprzętowego w urzędach administracji publicznej. Od 1 maja 2008 r. obywatele mogą składać w urzędach podania podpisane bezpiecznym podpisem elektronicznym, te zaś udostępniają formularze w postaci elektronicznej. Prowadzone są prace nad umożliwieniem składania podpisów elektronicznych przy pomocy dowodów osobistych z procesorem w ramach projektu pl.ID.

Czy podpis elektroniczny jest bezpieczny?

Bezpieczny podpis elektroniczny jest narzędziem znacznie pewniejszym niż podatny na fałszerstwo podpis własnoręczny. Jest przyporządkowany wyłącznie do osoby składającej ten podpis i sporządzany przy pomocy tylko jej dostępnych bezpiecznych urządzeń (karta kryptograficzna) i danych. Użycie bezpiecznego podpisu elektronicznego daje gwarancje, że wszystkie zmiany wprowadzone w dokumencie po jego podpisaniu będą od razu sygnalizowane. W myśl ustawy o podpisie elektronicznym, kwalifikowany podmiot świadczący usługi certyfikacyjne ma obowiązek zapewnić zarówno odpowiednie gwarancje ubezpieczeniowe, jak i środki przeciwdziałające fałszerstwom certyfikatów, tj. ochronę urządzeń i danych wykorzystywanych przy świadczeniu usług certyfikacyjnych. Ponadto organ nadzoru oraz podmioty kwalifikowane uważnie obserwują światowe osiągnięcia w dziedzinie algorytmów bezpieczeństwa. Niemniej bezpieczeństwo podpisu elektronicznego (podobnie jak kart płatniczych) zależy w znacznej mierze od samego użytkownika. Inne rodzaje podpisu elektronicznego, takie jak zwykły podpis elektroniczny, zależą od rodzaju wykorzystanej technologii a w szczególności od zapewnienia bezpieczeństwa klucza przy pomocy którego składany jest e-podpis.

Jaki jest związek między podpisem elektronicznym a certyfikatem kwalifikowanym? Czy certyfikat służy do składania podpisu elektronicznego?

Podpis elektroniczny ma postać danych elektronicznych, które pozwalają powiązać informacje o osobie podpisującej z treścią podpisywanego dokumentu. Inaczej mówiąc, jest to przetworzony matematycznie tekst dokumentu szyfrowany przy pomocy klucza prywatnego. Proces odbywa się w ramach karty kryptograficznej, a nie w komputerze. Klucz prywatny bezpiecznego podpisu elektronicznego nigdy nie może być przesłany poza kartę. Jest to jedna z gwarancji bezpieczeństwa. Certyfikat potwierdza, że klucz publiczny używany do weryfikacji podpisu elektronicznego, należy do osoby w certyfikacie wymienionej.

Gdzie znajduje się rejestr urzędów certyfikacyjnych i kto prowadzi krajowy urząd certyfikacyjny?

Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne prowadzi Ministerstwo Gospodarki. Elektroniczną postać tego rejestru udostępnia Narodowe Centrum Certyfikacji w Narodowym Banku Polskim. Na podstawie art. 23 ust. 5 ustawy o podpisie elektronicznym Minister Gospodarki upoważnił i powierzył Narodowemu Bankowi Polskiemu wykonywanie w jego imieniu niektórych czynności technicznych przewidzianych ustawą o podpisie elektronicznym, w tym m.in. do wytwarzania i wydawania zaświadczeń certyfikacyjnych dla podmiotów wpisanych do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne oraz udostępniania elektronicznej wersji rejestru (http://www.nccert.pl/). Narodowy Bank Polski przejął infrastrukturę techniczną spółki Centrast S.A., która uprzednio z upoważnienia Ministra Gospodarki pełniła funkcję krajowego urzędu certyfikacyjnego. W chwili obecnej działania w tym samym zakresie realizuje Narodowe Centrum Certyfikacji (NCCERT) w NBP.

Jakie wymogi muszę spełnić, aby świadczyć kwalifikowane usługi certyfikacyjne w zakresie podpisu elektronicznego?

Podmioty zamierzające świadczyć usługi certyfikacyjne na poziomie kwalifikowanym obowiązane są do stosowania przepisów ustawy z dn. 18 września 2001 o podpisie elektronicznym (Dz.U. z 2001 r. Nr 130, poz. 1450 z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz. U. z 2002 r. nr 128, poz. 1094). Wzór wniosku o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne został zamieszczony na stronie Ministerstwa Gospodarki. Termin rozpatrzenia wniosku o dokonanie wpisu do rejestru podmiotów kwalifikowanych wynosi 2 miesiące od złożenia wniosku. Opłata za wpis do rejestru ma charakter zryczałtowany i wynosi 10000 Euro.

Dlaczego w Polsce działa jedynie pięć kwalifikowanych podmiotów świadczących usługi certyfikacyjne ?

W obrębie Europejskiego Obszaru Gospodarczego działa ponad 90 kwalifikowanych podmiotów świadczących usługi certyfikacyjne przy czym w części krajów brak jest tego rodzaju podmiotów w ogóle (Wielka Brytania, Irlandia), w niektórych jest tylko jedno (Austria, Szwecja, Estonia) a w paru krajach jest ich około kilkunastu (Hiszpania, Włochy). Wbrew pozorom liczba i cena certyfikatów kwalifikowanych nie zależy w prosty sposób od liczby podmiotów kwalifikowanych. Przykładowo w Estonii istnieje jedno komercyjne centrum certyfikacji, ale cena produktów do składania podpisu elektronicznego jest niska ze względu na wykorzystanie w charakterze nośnika dowodów tożsamości. Podstawową determinantą ceny tego rodzaju usług pozostaje popyt oraz dostępność usług certyfikacyjnych świadczonych przez urzędy administracji publicznej.

Gdzie można znaleźć listę europejskich organów nadzoru i urzędów certyfikacyjnych?

Strona Komisji Europejskiej z danymi organów nadzoru oraz urzędów certyfikacji notyfikowanymi na podstawie dyrektywy została udostępniona pod adresem:

http://ec.europa.eu/information_society/policy/esignature/eu_legislation/notification/index_en.htm

Strona Komisji Europejskiej z materiałami dotyczącymi prac w zakresie standaryzacji i wzajemnego uznawania podpisów elektronicznych:

http://ec.europa.eu/information_society/policy/esignature/crobies_study/index_en.htm

Strona Forum Europejskich Organów Nadzoru w zakresie e-Podpisu, w którego pracach uczestniczy Polska:

http://www.fesa.eu/