logo Software602 a.s.

Elektronická archivace dokumentů podle norem PAdES, CAdES a XAdES

Novela dvou zákonů souvisejících s elektronickými dokumenty - zákon o elektronickém podpisu (227/2000Sb) a zákon o archivnictví a spisové službě (499/2004Sb), otevírá cestu k dlouhodobé a právně spolehlivé archivaci důležitých dokumentů.

Po letech nejasností kolem elektronické archivace důležitých dokumentů je možné konečně jednoznačně určit, které postupy jsou v souladu s legislativou a které nikoliv. Pro veřejnou správu se respektování formátů PAdES, CAdES či XAdES stalo povinností, pro komerční firmy "pouze" příležitostí - dává totiž jistotu, že při dodržení správných postupů bude dokument pokládán za nezpochybnitelný po neomezeně dlouhou dobu ve všech státech EU.

V mnoha organizacích by tak mohl být ukončen stav, kdy se dokument vytváří, často i schvaluje elektronicky, ale z důvodů archivace je nakonec vytištěn, opatřen razítkem a podpisem a archivován v listinné podobě. Tím spíše, že je k dispozici integrační balíček, který může být snadno včleněn do stávajících systémů a který umožňuje velmi rychle implementovat všechny funkce a služby potřebné pro archivaci dokumentů v souladu s legislativou.

Není podpis jako podpis

Důvodem této neobratné a neefektivní archivace listin jsou často nejasnosti v tom, jaké mají být náležitosti elektronického dokumentu, zvláště, má-li jít o skutečně dlouhodobou archivaci. Existuje shoda v tom, že k dokumentu má být připojen elektronický podpis.

A v poslední době i roste porozumění tomu, že elektronickým podpisem je myšlen kontrolní otisk dokumentu (hash), který je k dokumentu připojen. Ne každý si už je vědom toho, že existují různé způsoby, jak elektronický podpis k dokumentu připojit.

Takových otázek existuje celá řada. Navíc jsou na trhu archivační zařízení založená na speciálním hardware nebo na informačním systému, který vydává potvrzení o převzetí dokumentu, případně o tom, že během archivace nedošlo ke změně.

Vlastně se nemůžeme divit, že v tolika organizacích se nakonec rozhodují archivovat papírově. To ovšem popírá základní přínos elektronizace dokumentů - úspora za tisk a papíry a možnost celý životní cyklus automatizovat.

Formát, který respektují všechny evropské úřady

Od prvního července 2012 je ale jasno. Po novele zákona o archivnictví a spisové službě (499/2004Sb) a po novele zákona o elektronickém podpisu (227/2000Sb) je jednoznačně určeno, že referenčními formáty jsou PAdES, CAdES a XAdES.

Jedná se o formáty, které vznikly na půdě Evropského institutu pro telekomunikační standardy (ETSI - European Telecommunications Standard Institute), což je autoritativní zdroj norem pro oblast ICT (televizní vysílání, mobilní sítě, internet apod.).

ETSI (dokument TS 102 778) popisuje sady norem, které naprosto detailně určují, jakým způsobem má být připojen elektronický podpis a časové razítko (výpočty hashů, šifrování, opatřování metadaty apod.).

Evropská komise potvrzuje zmíněné normy svým rozhodnutím z února 2011 (2011/130/EU), v němž je označuje jako referenční. Text připouští možnost používání jiného formátu, ale ukládá řadu dodatečných povinností každému, kdo by tak chtěl činit.

Členským státům unie pak ukládá, aby tomuto rozhodnutí přizpůsobily své národní legislativy a v České republice se tak stalo přijetím zmíněných novel.

Jedná se o tři skupiny norem:

Požadavky na podpis pro dlouhodobou archivaci

V rámci každé této skupiny je definována celá řada formátů - například XAdES Basic, XAdES-T (s připojením časového razítka), XAdES-X (extended) apod. Pro účely dlouhodobé archivace důležitých originálů jsou podstatné verze PAdES LTV (Long Term Validation), CAdES-A (Archival) a XAdES-A.

Jejich požadavky vychází z následujících principů:

Nutné úkony

Ze zmíněných norem ETSI (PAdES, CAdES, XAdES) také vyplývá, jak má proces dlouhodobé archivace dokumentu probíhat.

  1. Kontrola platnosti elektronických podpisů připojených k dokumentu. To zahrnuje záležitosti jako neporušenost kontrolního hashe či platnost certifikátu.
  2. Připojení metadat: protokolu o ověření, aktuální verze CRL (seznam zneplatněných certifikátů) atd.
  3. Připojení časového razítka tak, aby kontrolní hash chránil nejen samotný dokument, ale i metadata.
  4. Periodické připojování dalších časových razítek tak, aby každé další bylo připojeno před vypršením platnosti předchozího (princip digitální kontinuity).

Způsob provedení každého z těchto úkonů je detailně specifikován ve zmíněných normách ETSI. Pro organizace, které elektronické dokumenty uchovávají a pro které by zpochybnění jejich platnosti znamenalo komplikaci, je proto důležité, aby dokázala zkontrolovat, zda způsob práce s dokumenty specifikacím ETSI opravdu odpovídá.

Archivace podle PAdES v rámci stávajícího IS

Je zřejmé, že zmíněné úkony musí být automatizovány. To však nemusí nutně znamenat nasazování složitého a sofistikovaného systému ani nutnost řešit práci s dokumenty komplexně. V řadě případů totiž stačí přizpůsobit stávající úložiště dokumentů.

Další velmi praktickou variantou je vytváření dokumentů přímo v některém z informačních systémů - originály účetních dokladů a mzdových mohou vznikat v ERP, originály smluv v zákaznickém systému, originály dokladů o schvalování osobních odměn v personalistice.

Pro takové účely je k dispozici integrační balíček (SDK – software development kit), který může být poměrně snadno integrován do IS a který pokrývá veškeré funkce potřebné pro dlouhodobou archivaci.

Software602 AdES server s integračním SDK provádí veškerou práci s dokumenty a komunikuje s cloudovou službou SecuStamp LTV Service, která je propojena se 150 certifikačními autoritami a dodává informace potřebné pro potvrzení pravosti, časová razítka a registruje některá medata dokumentu (číslo dokumentu, datum vypršení platnosti časového razítka apod.) pro potvrzení pravosti podpisu.

Schéma začlenění SecuStamp AdES SDK a služby SecuStamp LTV Service do IS

Díky této architektuře je možné dostát všem požadavkům ETSI a zároveň zajistit, že dokument neopustí informační systém, takže nevznikají problémy s informační bezpečností. Mimochodem, produkty Software602 prošly již v loňském roce testováním organizovaným ETSI.

ŠTÍTKY - archivace - CAdES - CMS - ERP - ETSI - ICT - IS - PAdES - PDF - SDK - SecuStamp - šifrování - XAdES - XML - zákon

Článek Software602 a.s. ze dne 2. října 2012 - úterý

Další články Software602 a.s.

Ušetřete peníze větším využitím proxy serverů