Elektronische Signatur und Identifikationsmechanismen
Bei der Inbetriebnahme eines elektronischen Verfahrens wird immer wieder darüber nachgedacht, nach welchen Kriterien entschieden wird, welche Identifikations- und elektronischen Signaturverfahren Bürgerinnen und Bürger nutzen können, um sich auf eine öffentliche Verwaltung zu beziehen, insbesondere unter Berücksichtigung der diesbezüglich ständigen regulatorischen Änderungen .
Die elektronischen Identifizierungs- und Signaturmechanismen, die von interessierten Parteien zusammenfassend verwendet werden können, sind (weitere Informationen finden Sie in den Artikeln 9 und 10 des Gesetzes 39/2015 vom 1. Oktober über das gemeinsame Verwaltungsverfahren der öffentlichen Verwaltung):
- Qualifizierte elektronische Zertifikate für elektronische Signaturen, ausgestellt von Anbietern, die in der „Vertrauenswürdigen Liste von Zertifizierungsdiensteanbietern“ aufgeführt sind.
- Qualifizierte elektronische Zertifikate oder elektronische Siegel, die von Anbietern ausgestellt werden, die in der „Vertrauenswürdigen Liste von Zertifizierungsdiensteanbietern“ aufgeführt sind.
- Jedes andere System, das die öffentlichen Verwaltungen für gültig halten, solange sie zuvor als Benutzer registriert sind, der es ihnen ermöglicht, ihre Identität zu garantieren.
Mechanismen basierend auf qualifizierten Zertifikaten (bisherige aib-Punkte) "sie müssen akzeptiert werden", in Übereinstimmung mit der Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli über elektronische Identifizierung und Vertrauensdienste (ReIdAS) und Gesetz 39/2015 selbst vom 1. Oktober, während die übrigen Systeme ( Abschnitt c) "Sie können akzeptiert sein“, immer unter Berücksichtigung des Sicherheitsniveaus, das sie bieten.
Bewerbungskriterien
Das Nationale Sicherheitssystem (Königliches Dekret 311/2022 vom 3. Mai, im Folgenden ENS) sieht vor, dass Identifikations- und elektronische Signaturmechanismen drei Sicherheitsstufen haben können, zusammen mit den Kriterien, die zu befolgen sind, um sie in jedem Fall festzulegen. Es legt auch die Kriterien für die Bestimmung fest, welches Niveau ein bestimmtes System oder eine Aktion erfordert.
Um das Sicherheitsniveau zu definieren, das von den Systemen jeder öffentlichen Verwaltung benötigt wird, und insbesondere die Art der Berechtigung, die für die Identifizierung und elektronische Signatur für eine bestimmte Aktion zulässig ist, muss berücksichtigt werden, was die ENS aufdeckt und das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit findet (erweitert im nächsten Abschnitt).
In diesem Sinne ermöglichen die vom AOC-Konsortium angebotenen Dienste den Bürgern, sich zu identifizieren und Dokumente zu signieren, sowohl mit qualifizierten elektronischen Zertifikaten als auch durch die Verwendung der auf dem Senden von Einmalpasswörtern basierenden Systeme Cl@ve und idCAT Mòbil, damit jeder Benutzer sich verwalten kann entscheiden, in welchen Fällen sie akzeptiert werden können.
Im Bereich der Generalitat von Katalonien wird diese Entscheidung beispielsweise durch definiert Bestellung VPD/93/2022, vom 28. April, mit dem der Katalog der Identifikations- und elektronischen Signatursysteme genehmigt wird, insbesondere durch Bestellung PRE/158/2022, vom 30. Juni, der den Leitfaden für die Verwendung von Identifikations- und elektronischen Signatursystemen im Bereich der Verwaltung der Generalitat genehmigt. Diese letzte Verordnung legt in ihrem zweiten Punkt und im Allgemeinen fest, dass alle Mechanismen im Katalog für alle Verfahren und Dienste akzeptiert werden. Derselbe Leitfaden legt ein Verfahren fest, um dieses Kriterium auszuschließen und die Akzeptanz eines der Mechanismen einzuschränken, entweder aufgrund des Vorhandenseins von:
- Rechtliches Risiko: in Bezug auf ein bestimmtes Verfahren, Bewertung des Bestehens eines Risikos, das die Gewährleistung der Durchführbarkeit und Rechtssicherheit des Verfahrens aufgrund eines möglichen Betrugs bei der Unterzeichnung des Dokuments oder einer Identitätsfälschung von interessierten Personen verhindert, deren Ursprung die ist mangelnde Robustheit der Identifikations- oder elektronischen Signatursysteme.
- Cybersicherheitsrisiko oder Datenschutz: Bewertung der Notwendigkeit restriktiverer spezifischer Maßnahmen, die auf der Grundlage des Risikoniveaus oder der Klassifizierung der Informationen, Dienste oder Verfahren oder der möglichen Verarbeitung personenbezogener Daten, die sich aus dem Verfahren oder Dienst ergeben, bestimmt werden wird erwartet, dass er das Identifikations- oder elektronische Signatursystem verwendet.
Sicherheitsstufen von Identifikations- und Signaturmechanismen
Wie bereits erwähnt, sieht die ENS drei Sicherheitsniveaus (niedrig, mittel und hoch) und die Kriterien vor, die zu ihrer Festlegung jeweils befolgt werden müssen, insbesondere in Anhang I, Punkt drei.
Dieselbe ENS definiert in ihrem Anhang II die Kriterien für die Zuweisung einer Sicherheitsstufe zu einem Identifikations- und elektronischen Unterschriftsmechanismus.
Daher definiert der Punkt bezüglich des operativen Rahmens (Punkt 4.2.5 zum Authentifizierungsmechanismus [control op.acc.5]) die Anforderungen, die erfüllt werden müssen elektronische Identifikationsmechanismen die für jede Sicherheitsstufe Bürger beschäftigen müssen, die als externe Benutzer der Organisation verstanden werden. Zusammenfassend werden für jedes Niveau akzeptiert:
- NIEDRIGES NIVEAU: Jeder von der aktuellen Gesetzgebung akzeptierte Identifikationsmechanismus, wie z. B. Passwörter, Benutzerpasswort plus Einmalpasswort, qualifiziertes Zertifikat oder physische Gerätezertifikate (z. B. Karte).
- MITTLERES LEVEL: Erfordert die Verwendung von mindestens Einmalpasswörtern als zweiten Authentifizierungsfaktor.
- HOHES LEVEL: Die Anforderungen sind die gleichen wie für die Mittelstufe.
Andererseits sind die anzuwendenden Ebenen bzgl elektronische Signaturmechanismen (definiert in Punkt 5 Schutzmaßnahmen [mp], insbesondere Punkt 5.7.3 Elektronische Signatur [control mp.info.3]), die zusammenfassend akzeptieren:
- NIEDRIGES NIVEAU: Jeder elektronische Signaturmechanismus, der von der geltenden Gesetzgebung akzeptiert wird
- MITTLERES LEVEL: Wird eine fortgeschrittene elektronische Signatur auf Basis elektronischer Zertifikate verwendet, müssen diese qualifiziert werden. Es müssen Algorithmen und Parameter verwendet werden, die vom Nationalen Kryptografiezentrum oder einem anwendbaren nationalen oder europäischen System zugelassen sind.
- HOHES LEVEL: Für die Aktivierung Ihres privaten Schlüssels ist eine erweiterte Signatur auf Basis qualifizierter Zertifikate mit einem zweiten Authentifizierungsfaktor erforderlich.
Was bietet das AOC-Konsortium?
Der VALID-Dienst des AOC-Konsortiums ermöglicht es katalanischen öffentlichen Verwaltungen, sowohl idCAT Mòbil als auch Cl@ve und qualifizierte Zertifikate in elektronischen Identifizierungsprozessen zu akzeptieren, und bietet einen gewöhnlichen elektronischen Signaturmechanismus, der mit dem vorgelegten Berechtigungsnachweis verknüpft ist. Verwaltungen können daher entscheiden, ob sie alle oder nur einige dieser Mechanismen akzeptieren, und je nach spezifischem Bedarf unterschiedliche Konfigurationen dafür haben.
Im Falle des e-NOTUM-Dienstes, der über ein Portal für Bürger verfügt, um elektronische Mitteilungen zu machen, die Art der zu akzeptierenden Berechtigung kann für jede spezifische Benachrichtigung eingestellt werden.
ähnliche Links
Wann sollten Sie ein Identifikationssystem oder ein Signatursystem verwenden? Anwendungsfälle
https://suport-50ombres.aoc.cat/hc/ca/articles/4417825198993-Quan-cal-utilitzar-un-sistema-d-identificaci%C3%B3-o-un-sistema-de-signatura-Casos-d-%C3%BAs-
Die elektronische Signatur von Rechnungen
https://suport-efact.aoc.cat/hc/ca/articles/4414477358353-La-signatura-electr%C3%B2nica-de-les-factures
