E-Podpis

Firma itBCG w swoich działaniach wykorzystuje kwalifikowane podpisy elektroniczne. Każda faktura elektroniczna jest podpisana za pomocą certyfikatu kwalifikowanego, zgodnie z rozporządzeniem ministra finansów o fakturach elektronicznych. Odpowiednio przygotowany dokument, wraz z bezpiecznym podpisem elektronicznym, jest uznany za ważną fakturę VAT. Ważność faktury elektronicznej jest możliwa dzięki rozporządzeniu Ministra Finansów z dnia 14 lipca 2005r. w sprawie wystawiania oraz przesyłania faktur w formie elektronicznej, a także przechowywania oraz udostępniania organowi podatkowemu lub organowi kontroli skarbowej tych faktur (Dz. U. z 2005r., Nr 133, poz. 1119), która wymaga bezpiecznego podpisu elektronicznego, złożonego na fakturze, weryfikowanego za pomocą certyfikatu kwalifikowanego. Podstawową cechą certyfikatu kwalifikowanego, odróżniającą go w sposób pozytywny od certyfikatu komercyjnego, jest gwarancja prawna – w polskim prawie podpis złożony za pomocą certyfikatu kwalifikowanego jest zrównany z podpisem odręcznym.

 Zastosowaniami praktycznymi certyfikatu kwalifikowanego są:
 Do podpisania dokumentu niezbędne są następujące elementy:
Certyfikat jest plikiem,
w którym zostały
zgromadzone informacje m.in. o:
 
  • podpisywanie umów zapisanych w formie elektronicznej
  • składanie zleceń w niektórych aukcjach internetowych
  • podpisywanie faktur elektronicznych,
  • uwierzytelnianie transakcji w Banku
  • uwierzytelnianie sprawozdań do systemu GIF i GIODO itp.
 
  • certyfikat zawierający informacje o właścicielu certyfikatu
  • klucz publiczny który służy do weryfikacji podpisu
  • klucz prywatny który w przypadku Certyfikatu kwalifikowanego znajduje się na karcie kryptograficznej
  • urządzenie do odczytu kart
  • aplikacja podpisująca
 
  • danych podpisującego
  • urzędzie certyfikacji wydającym dany certyfikat
  • kluczu publicznym podpisującego


Dostęp do certyfikatu jest niezbędny podczas podpisywania, szyfrowania i odszyfrowywania danych, a także do weryfikacji podpisu.

Pojęcie certyfikatu kwalifikowanego określonego w Ustawie o Podpisie Elektronicznym (Dz.U.01.130.1450) powiązane jest tzw. „bezpiecznym urządzeniem” do składania podpisu – dzięki niemu możliwe jest składanie bezpiecznego podpisu elektronicznego. Oznacza to, że w stosunku do zwykłych certyfikatów musi on spełnić dodatkowe wymagania związane z bezpieczeństwem oraz weryfikacją tożsamości osoby tym certyfikatem się posługującej. Ważną cechą certyfikatu kwalifikowanego jest jego ściśle określone (ograniczone) przeznaczenie – certyfikat ten służy do potwierdzenia wiedzy o złożeniu podpisu i woli podpisania dokumentu przez osobę podpisującą.

Certyfikat i odpowiadający mu klucz prywatny może być zapisany w pliku, bądź na karcie kryptograficznej.

Klucz prywatny w przypadku certyfikatu kwalifikowanego MUSI być wygenerowany i przechowywany na karcie kryptograficznej w sposób uniemożliwiający podgląd lub skopiowanie. Każdorazowa operacja z użyciem klucza prywatnego wymaga podania karcie numeru PIN przez osobę dokonującą podpis.
Podpis (szyfrowanie skrótu dokumentu) odbywa się wewnątrz karty kryptograficznej. Można wyszczególnić główne powody uznania przez prawo równoważności ręcznego podpisu z bezpiecznym podpisem elektronicznym, w istocie bardziej informacyjnym, a z zachowaniem odpowiednich procedur bardziej bezpiecznym niż podpis odręczny:

  • przechowanie klucza prywatnego na karcie kryptograficznej w sposób bezpieczny,
  • stosowanie PIN
  • wystawienie certyfikatu przez Centrum Certyfikacji (w Polsce są 3 takie centra)
  • posiadanie przez Centra Certyfikacji polityk bezpieczeństwa,
  • procedury fizyczne wystawienia certyfikatu (wymagają obecności osoby na którą jest wystawiany certyfikat, dokumenty potwierdzające tożsamość, podpisy odręczne)
  • właściwości bezpiecznego oprogramowania za pomocą którego jest składany podpis
  • operacje odbywające się wewnątrz karty kryptograficznej,
  • świadome użycie certyfikatu kwalifikowanego,
  • właściwości użytych operacji kryptograficznych.


Za pomocą bezpiecznego urządzenia, oraz certyfikatu kwalifikowanego powstaje bezpieczny podpis elektroniczny w myśl Ustawy o Podpisie Elektronicznym, prawo polskie uznaje tak podpisany dokument, za dokument podpisany przez osobę którą można jednoznacznie zidentyfikować za pomocą zawartych w certyfikacie informacji, oraz stwierdzić że po podpisaniu dokumentu nie zaszła w nim zmiana, sprawdzić okres ważności certyfikatu i jego wystawcę, którym w tym przypadku musi być jeden z trzech polskich centrów certyfikacji posiadających możliwość wydawania certyfikatów kwalifikowanych.

Operacja weryfikacji wymaga aplikacji weryfikującej, która zostanie dostarczona do każdego odbiorcy faktury elektronicznej. Z tej aplikacji można będzie odczytać wszystkie właściwości certyfikatu oraz zweryfikować stan podpisu (status sygnatury, ważność certyfikatu poprzez status list CRL, obliczenie i weryfikacja skrótu podpisanego pliku). Sama weryfikacja podpisu z punktu widzenia polskiego prawa nie jest konieczna, a w związku z tym ułatwiliśmy całą sprawę dla odbiorcy e-faktury, każdy odbiorca faktury dostanie parę plików zawierającą plik PDF w którym będzie obraz faktury, oraz oddzielnie plik podpisu, który będzie skojarzony z aplikacją weryfikującą i przy otwieraniu(podwójnym kliku) zostanie zweryfikowany a użytkownik dostaje czytelną informację o powodzeniu lub też niepowodzeniu każdej czynności z których się składa weryfikacja.

Autentyczność pochodzenia i integralność treści są zapewnione poprzez zastosowanie bezpiecznego podpisu elektronicznego. Każdy dokument elektroniczny wraz z podpisem może istnieć w kilku instancjach(u Odbiorcy na komputerze, w archiwum dokumentów elektronicznych, na płytach CD). Za czas powstania dokumentu, co również jest uregulowane prawem, odpowiada kwalifikowany znacznik czasu, który gwarantuje że podpis oraz dokument istniał w momencie pobrania znaczniku. Kwalifikowany znacznik czasu jest podpisywany certyfikatem Centrum Certyfikacji co eliminuje problem czasu ważności certyfikatu kwalifikowanego użytego do podpisu e-faktury (Proszę zwrócić uwagę na to, że zwykle certyfikat kwalifikowany wydawany w Polsce jest ważny przez 2 lata a faktura musi być przechowywana w ciągu bieżącego roku finansowego plus 5 lat). W archiwum dokumentów elektronicznych naszej firmy będzie zapewniony odpowiedni rozporządzeniu Ministra Finansów z dnia 14 lipca 2005r. w sprawie wystawiania oraz przesyłania faktur w formie elektronicznej, a także przechowywania oraz udostępniania organowi podatkowemu lub organowi kontroli skarbowej tych faktur (Dz. U. z 2005r., Nr 133, poz. 1119) sposób przechowywania faktur, to gdzie jeszcze(dodatkowo i poza archiwum) będą przechowywane faktury elektroniczne(taśmy, płyty CD/DVD, dysk twardy, sieciowy, dyskietka, macierz, pamięć flash) i przez kogo(wystawca, odbiorca, Urząd Skarbowy) nie reguluje żadne rozporządzenie lub ustawa.

Rozporządzenie:

"Podatnik jest zobowiązany do przechowywania na terytorium kraju faktur przesłanych w formie elektronicznej, które wystawił lub otrzymał, w sposób umożliwiający na żądanie, zgodnie z odrębnymi przepisami, organów podatkowych lub organów kontroli skarbowej natychmiastowy, pełny i ciągły dostęp drogą elektroniczną tym organom do przechowywanych faktur, w szczególności podatnik umożliwi udokumentowany pobór i wykorzystanie tych faktur przez te organy, jak również umożliwi czytelność tych faktur, z zastrzeżeniem ust. 2." 

Kluczowym słowem jest tutaj "na żądanie" , a w odniesieniu do "natychmiastowy" jest stosowane określenie "zgodnie z odrębnymi przepisami" . To oznacza, że odbiorca faktury nie musi udostępniać e-faktur w sposób ciągły (np. przez web). Jako miejsce przechowywania faktur elektronicznych, na żądanie uprawnionego urzędu, może być wskazane przez niego dedykowane archiwum wystawcy faktury.


Z E-Podpisem związane są następujące produkty: