Wpisz poszukiwane słowo i wciśnij Enter.

Firmowy podpis kwalifikowany czy certyfikat pieczęci elektronicznej – które rozwiązanie jest lepsze?

Firmowy podpis kwalifikowany czy certyfikat pieczęci elektronicznej – które rozwiązanie jest lepsze?

Uwierzytelnienie cyfrowe staje się popularnym narzędziem prawomocnego poświadczenia woli, jak i coraz częściej stosowaną formą elektronicznego potwierdzenia tożsamości. Podpis elektroniczny (podpis kwalifikowany) wykorzystywany jest zarówno przez osoby fizyczne (do celów prywatnych oraz zawodowych), jak i szeroko pojęty biznes oraz administrację publiczną.

Mimo rosnącej świadomości o benefitach wynikających z posługiwania się podpisem elektronicznym, wciąż pojawiają się wątpliwości dotyczące dopasowania rodzaju certyfikatu elektronicznego do potrzeb osoby lub organizacji. Czym jest podpis elektroniczny? Jakie są rodzaje certyfikatów kwalifikowanych? Czym różni się podpis kwalifikowany dla osoby fizycznej od kwalifikowanej pieczęci firmowej?

Czym jest podpis elektroniczny?

E-podpis oparty o certyfikat elektroniczny to narzędzie do cyfrowego podpisywania plików oraz potwierdzania tożsamości osoby fizycznej lub prawnej w świecie cyfrowym. Dane podpisu nanoszone są na plik (np. dokument elektroniczny) w formie dodatkowej warstwy cyfrowej, a uwierzytelnienie przeprowadzane jest przez oprogramowanie weryfikujące autentyczność oraz poprawność naniesionego podpisu.

Składanie podpisu elektronicznego na dokumencie PDF w oparciu o kwalifikowany certyfikat osobisty w oprogramowaniu 
Adobe Acrobat Reader DC.
Składanie podpisu elektronicznego na dokumencie PDF w oparciu o kwalifikowany certyfikat osobisty w oprogramowaniu
Adobe Acrobat Reader DC.

Czy certyfikat niekwalifikowany jest bezpieczny?

Podpis elektroniczny złożysz w oparciu o certyfikat niekwalifikowany (zaawansowany) lub certyfikat kwalifikowany (bezpieczny). Oba rozwiązania różnią się od siebie w kilku kwestiach.

Certyfikat niekwalifikowany (zaawansowany) wydawany jest w oparciu o weryfikację adresu e-mail. Dane zawarte w certyfikacie uzupełnisz o imię i nazwisko oraz dane firmowe wnioskodawcy. Wówczas procedura wydania wydłuża się z uwagi na konieczność przedstawienia wydawcy certyfikatu dokumentów poświadczających dodatkowe dane.

Podpis wykonany w oparciu o certyfikat niekwalifikowany nie jest traktowany jako równorzędny z podpisem odręcznym. Wyjątek stanowi sytuacja, gdy obie strony w treści umowy jasno wyrażą akceptację na sygnowanie dokumentu podpisami opartymi o certyfikat niekwalifikowany. Mimo to dokumenty i pliki opatrzone podpisem niekwalifikowanym w każdym przypadku przechodzą negatywnie przez weryfikację poprawności podpisu w popularnych aplikacjach do odczytu dokumentów cyfrowych np. Adobe Acrobat Reader DC czy ProCertum SmartSign.

Nie są więc rekomendowanym rozwiązaniem do elektronicznego podpisywania dokumentów. Certyfikat niekwalifikowany można z powodzeniem wyeksportować do pliku i przechowywać lub instalować na różnych nośnikach np. magazynie certyfikatów Windows, dysku twardym, karcie lub urządzeniu kryptograficzne, a nawet na pamięci przenośnej (USB).

Obecnie certyfikaty niekwalifikowane wykorzystywane są w głównej mierze jako uwierzytelnienie nadawcy wiadomości e-mail w popularnych klientach poczty elektronicznej tj. Outlook. Zastosowanie certyfikatu niekwalifikowanego (S\MIME) pozwala m.in. na weryfikację autentyczności nadawcy wiadomości e-mail, czy prowadzenie zaszyfrowanej korespondencji elektronicznej. Coraz rzadziej certyfikaty niekwalifikowane stosuje się jako dodatkowe uwierzytelnienie dostępu, np. do systemów informatycznych, serwerów, baz danych czy dysków twardych.

Przykład zastosowania certyfikatu niekwalifikowanego (S\MIME) w korespondencji e-mail w kliencie pocztowym Microsoft Outlook. Czerwony kotylion oznacza podpisaną certyfikatem wiadomość. Klikając w ikonę kotylionu, a następnie w Szczegóły odbiorca może zweryfikować dane nadawcy wiadomości.

Przykład zastosowania certyfikatu niekwalifikowanego (S\MIME) w korespondencji e-mail w kliencie pocztowym Microsoft Outlook. Czerwony kotylion oznacza podpisaną certyfikatem wiadomość. Klikając w ikonę kotylionu, a następnie w Szczegóły odbiorca może zweryfikować dane nadawcy wiadomości.

Czym jest certyfikat kwalifikowany i jakie jest jego zastosowanie?

Certyfikat kwalifikowany wydawany jest na wniosek osoby zainteresowanej elektronicznym podpisywaniem dokumentów. Oprócz zakupienia usługi subskrypcyjnej, jaką jest podpis kwalifikowany, przed wydaniem certyfikatu należy przejść przez weryfikację tożsamości. Procedura jest przeprowadzana przez Punkty Potwierdzania Tożsamości, które na podstawie ważnego dokumentu (dowodu osobistego lub paszportu) weryfikują tożsamość oraz dane osobowe wpisane we wniosku.

Następnie wniosek wraz z dokumentem poświadczającym tożsamość wnioskodawcy przekazywany jest do jednego z 5 centrów certyfikacji (w zależności od właściciela wykupionej usługi). W kolejnym kroku organizacja certyfikująca weryfikuje dokumenty, a następnie wydaje certyfikat kwalifikowany.

Podpis kwalifikowany jest rekomendowanym rozwiązaniem elektronicznego poświadczania woli osób fizycznych lub prawnych w cyfrowym obiegu dokumentów. Walidacja sygnatury opartej o certyfikat kwalifikowany daje gwarancję zachowania mocy prawnej dokumentu, a znacznik czasu dołączany do pliku pozwala na bezsprzeczne określenie czasu złożenia podpisów. Certyfikat kwalifikowany nie może zostać wyeksportowany do pliku i musi być przechowywany w bezpiecznym urządzeniu (specjalistyczna karta kryptograficzna lub infrastruktura chmurowa w centrum certyfikacji).

Przykład fizycznych zestawów do przechowywania i korzystania z certyfikatu kwalifikowanego (specjalistyczna karta kryptograficzna + czytnik).

Przykład fizycznych zestawów do przechowywania i korzystania z certyfikatu kwalifikowanego (specjalistyczna karta kryptograficzna + czytnik).

Przykład chmurowego certyfikatu kwalifikowanego, przechowywanego na karcie wirtualnej znajdującej się w infrastrukturze centrum certyfikacji.

Przykład chmurowego certyfikatu kwalifikowanego, przechowywanego na karcie wirtualnej znajdującej się w infrastrukturze centrum certyfikacji.

Zarówno europejskie ramy prawne (rozporządzenie eIDAS), jak i polskie przepisy prawa krajowego (m.in. KC, art. 78)  jasno określają, że oświadczenie woli w postaci złożenia podpisu kwalifikowanego jest równoznaczne z analogicznym podpisem wykonanym odręcznie na dokumencie papierowym. Dzięki temu, podpisy kwalifikowane są atrakcyjnym zamiennikiem tradycyjnego podpisu odręcznego zarówno w komunikacji biznesowej (wymiana dokumentów, podpisywanie umów, akceptacja warunków i regulaminów, itd.) jak i w korespondencji z jednostkami administracji publicznej.

Przykład zastosowania certyfikatu kwalifikowanego w dokumencie PDF. Otrzymany dokument opatrzony podpisem został zweryfikowany w programie Adobe Acrobat Reader DC. Wynik weryfikacji wskazał poprawne zastosowanie podpisu.

Przykład zastosowania certyfikatu kwalifikowanego w dokumencie PDF. Otrzymany dokument opatrzony podpisem został zweryfikowany w programie Adobe Acrobat Reader DC. Wynik weryfikacji wskazał poprawne zastosowanie podpisu.

Jakie są rodzaje certyfikatów kwalifikowanych?

Kwestia doboru właściwego rodzaju certyfikatu kwalifikowanego nadal budzi wątpliwości osób starających się o własny podpis do użytku prywatnego lub biznesowego. Choć każdy posiada analogiczną moc prawną wynikającą z przepisów prawa, to jednak istnieją różnice, które definiują wybór względem potrzeb osoby wnioskującej. Certyfikaty kwalifikowane dzieli się na dwa rodzaje:

Certyfikat kwalifikowany dla osoby fizycznej

Certyfikat kwalifikowany dla osoby fizycznej zawiera dane personalne wnioskodawcy, a podpis wykonany za jego pośrednictwem można przypisać do konkretnej osoby. W zależności od sposobu wykorzystywania certyfikatu, ten rodzaj podpisu można wyrobić do celów prywatnych bądź zawodowych. Poza danymi obligatoryjnymi, część informacji o właścicielu, prezentowanych w certyfikacie, jest dobrowolna. Podczas składania wniosku użytkownik wybiera z proponowanej listy, które dane mają zostać udostępnione w certyfikacie. Wówczas w podpisie osobistym mogą znaleźć się atrybuty:

  • C (Country) – kraj pochodzenia,
  • SerialNumber – identyfikator (w przypadku Polski numer PESEL),
  • SN (Surname) – nazwisko,
  • Given Name – imię,
  •  CN (Common Name) – nazwa ogólna.
Przykład zastosowania certyfikatu kwalifikowanego w dokumencie PDF. Otrzymany dokument opatrzony podpisem został zweryfikowany w programie Adobe Acrobat Reader DC. Wynik weryfikacji wskazał poprawne zastosowanie podpisu.

Certyfikat kwalifikowany (osobisty) do rozwiązań prywatnych. Weryfikacja złożonego podpisu w oparciu o kwalifikowany certyfikat osobisty w programie Adobe Acrobat Reader DC.

Certyfikat kwalifikowany dla osoby fizycznej wzbogacisz również o dane biznesowe lub organizacyjne (np. w przypadku jednostek administracji publicznej). Wówczas w certyfikacie kwalifikowanym z dodatkowymi danymi ujęte zostaną takie atrybuty jak:

  •  Email – adres e-mail wnioskodawcy,
  • CN (Common Name) – nazwa ogólna (imię + nazwisko),
  • OU (Organization Unit) – jednostka organizacyjna, (np. Zarząd, Dział Marketingu, BOK etc.),
  • O (Organization) – nazwa firmy / organizacji,
  • C (Country) – kraj pochodzenia.
Certyfikat kwalifikowany (firmowy) do rozwiązań biznesowych. Weryfikacja złożonego podpisu w oparciu o kwalifikowany certyfikat firmowy w programie Adobe Acrobat Reader DC.

Certyfikat kwalifikowany (firmowy) do rozwiązań biznesowych. Weryfikacja złożonego podpisu w oparciu o kwalifikowany certyfikat firmowy w programie Adobe Acrobat Reader DC.

Posługując się zarówno osobistym, jak i firmowym certyfikatem kwalifikowanym osoba podpisująca wyraża oświadczenie woli w swoim imieniu. Istotna różnica polega na tym, że zarówno certyfikatem osobistym jak i tym z dodatkowymi danymi można posługiwać się w celach biznesowych. Do zastosowań prywatnych zalecany jest wyłącznie podstawowy certyfikat osobisty, nie zawierający informacji o przynależności osoby fizycznej do firmy/ organizacji.

Wybór rodzaju certyfikatu kwalifikowanego dla osoby fizycznej wg przewidywanego zastosowania (prywatne lub biznesowe).
Wybór rodzaju certyfikatu kwalifikowanego dla osoby fizycznej wg przewidywanego zastosowania (prywatne lub biznesowe).

Certyfikat kwalifikowany dla osoby prawnej 

Certyfikat kwalifikowany dla osoby prawnej (np. firmy, stowarzyszenia lub instytucji publicznej), nazywany inaczej pieczęcią elektroniczną. Jest wydawany na wniosek osoby fizycznej posiadającej zdolność prawną do reprezentowania danej organizacji. Kwalifikowana pieczęć elektroniczna jest cyfrowym odzwierciedleniem pieczątki firmowej i służy do pieczętowania dokumentów cyfrowych. Certyfikat pieczęci nie zawiera informacji ani danych osób fizycznych. Jest powiązany wyłącznie z firmą/ organizacją, dla której został wydany. Kwalifikowana pieczęć elektroniczna może zawierać atrybuty:

  • CN (Common Name) – nazwa ogólna,
  •  O (Organization) – nazwa firmy/ organizacji,
  •  C (Country) – kraj zarejestrowania podmiotu,
  • 2.5.4.97 – numer rejestrowy jednostki, np. NIP,
  • PostalAddress – adres podmiotu.
Cyfrowa pieczęć firmowa, złożona za pomocą certyfikatu kwalifikowanego. Weryfikacja złożonej pieczęci elektronicznej w programie Adobe Acrobat Reader DC.

Cyfrowa pieczęć firmowa, złożona za pomocą certyfikatu kwalifikowanego. Weryfikacja złożonej pieczęci elektronicznej w programie Adobe Acrobat Reader DC.

Czym różni się podpis kwalifikowany dla osoby fizycznej od kwalifikowanej pieczęci firmowej?

Choć na pierwszy rzut oka porównanie tych 2 rodzajów certyfikatów wydaje się skomplikowane, to jednak przy bliższym zapoznaniu z funkcjami oferowanymi przez te rozwiązania sprawa jest łatwa do zinterpretowania.

Podpis kwalifikowany z dodatkowymi danymi (podpis firmowy) zawiera dane osoby fizycznej oraz dodatkowe dane powiązane z firmą/ organizacją, do której przynależy osoba podpisująca. Jest rekomendowanym narzędziem do cyfrowego podpisywania dokumentów biznesowych, ponieważ jest traktowany na równi z podpisem odręcznym. Dzięki informacjom o tożsamości osoby, odbiorca dokumentu bez problemu zweryfikuje autora podpisu.

Jest to szczególnie istotne w przypadku prawomocnego podpisywania e-umów, wydawania decyzji na podstawie dokumentów cyfrowych czy wymiany plików w elektronicznym obiegu dokumentów.

Pieczęć kwalifikowana jest cyfrowym odpowiednikiem pieczątki firmowej. Nie nadaje się do podpisywania dokumentów, które wymagają stwierdzenia tożsamości autora e-podpisu, ponieważ co do zasady możliwe jest tylko określenie danych osoby prawnej, znajdujących się w certyfikacie. Jednak nadal jest to narzędzie uwierzytelniające pliki i dokumenty powiązane z organizacją, np. w przypadku pieczętowania ofert handlowych, faktur, regulaminów, materiałów marketingowych czy danych stanowiących własność cyfrową podmiotu.

Największym atutem kwalifikowanej pieczęci elektronicznej jest brak danych osobowych w certyfikacie (w tym numeru PESEL). Jest to szczególnie ważne, gdy właściciel certyfikatu nie chce, aby jego dane osobowe były uwidocznione w firmowej wymianie dokumentów elektronicznych, np. pracownik BOK wystawiający fakturę i pieczętujący ją kwalifikowaną pieczęcią firmową.

Sprawdź także: