Czym jest eIDAS 2.0 i jaką rolę odgrywa cyfrowa weryfikacja tożsamości?

Ostateczna propozycja eIDAS 2.0 została opublikowana 3 czerwca 2021 r. Jej celem było skorygowanie różnych niedociągnięć i ustanowienie środków umożliwiających obywatelom Europy uzyskanie oficjalnie uznanej tożsamości cyfrowej z większą skutecznością.

eIDAS 2.0 przynosi ogromne możliwości dzięki wprowadzeniu Europejskiego Portfela Tożsamości Cyfrowej (EUDI). Poszerza koncepcję tożsamości o fizyczne usługi i transakcje, które są dostępne z dowolnego miejsca na świecie. Jednocześnie umożliwiają użytkownikowi wyłączną kontrolę nad danymi osobowymi i informacjami.
W tym artykule przyjrzymy się, w jaki sposób weryfikacja tożsamości cyfrowej odgrywa kluczową rolę.

Cele i korzyści eIDAS 2.0

Pierwotne rozporządzenie eIDAS dotyczyło wyłącznie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych oraz wzajemnego uznawania bezpiecznych interakcji elektronicznych między obywatelami, organizacjami i organami publicznymi. Celem było i nadal jest zwiększenie efektywności publicznych i prywatnych usług online, podkreślając znaczenie bezpieczeństwa usług elektronicznych. Usługi te obejmują podpisy elektroniczne, pieczęcie elektroniczne i znaczniki czasu. Jedną z najważniejszych zmian wprowadzonych przez eIDAS 2.0 jest rozszerzenie zakresu rozporządzenia o nowe rodzaje elektronicznych usług zaufania.

eIDAS 2.0 poszerza zakres o usługi rejestrowanego doręczenia elektronicznego, elektroniczne certyfikaty uwierzytelniające i pieczęcie elektroniczne dla dokumentów elektronicznych.

Rozwój koncepcji „kwalifikowanych dostawców usług zaufania” (QTSP) jest kolejną kluczową zmianą wprowadzoną przez rozporządzenie eIDAS 2.0. QTSP odgrywają dużą rolę w zaktualizowanym rozporządzeniu. Będą odpowiedzialni za zapewnienie, że autoryzowane tożsamości cyfrowe są zgodne ze zaktualizowanym rozporządzeniem. Rozporządzenie eIDAS 2.0 definiuje kwalifikowaną usługę zaufania (QTS) i kwalifikowanego dostawcę usług zaufania (QTSP) w celu wykazania zgodności z wysokimi standardami bezpieczeństwa i obowiązkami eIDAS. Kwalifikowane usługi zaufania mogą być oferowane wyłącznie przez kwalifikowanego dostawcę usług zaufania, takiego jak np. Eurocert lub GlobalSign.

QTSP są zobowiązani do spełnienia szeregu warunków bezpieczeństwa jako wyspecjalizowani dostawcy zapewniający bezpieczne transakcje elektroniczne, takie jak podpisy elektroniczne, pieczęcie elektroniczne, certyfikaty cyfrowe lub usługi znakowania czasem. Te warunki wstępne obejmują silne algorytmy kryptograficzne, metody uwierzytelniania, indywidualne ścieżki audytu transakcji i bezpieczną architekturę systemu.

QTSP to dostawca usług zaufania, któremu przyznano status kwalifikowany i który jest nadzorowany przez krajowy organ nadzorczy.

eIDAS 2.0 ma na celu rozszerzenie koncepcji tożsamości na usługi fizyczne, do których można uzyskać dostęp z dowolnego miejsca na świecie. Umożliwi to każdemu Europejczykowi posiadanie zestawu cyfrowych poświadczeń tożsamości (takich jak dowody tożsamości, paszporty, certyfikaty zawodowe i prawa jazdy), które są uznawane w całej UE – inaczej zwanych portfelami europejskiej tożsamości cyfrowej (EUDI). Te „portfele” to aplikacje mobilne lub usługi w chmurze, które gromadzą i przechowują cyfrowe dane uwierzytelniające, umożliwiając ich prywatne i bezpieczne wykorzystanie w różnych przypadkach zastosowań rządowych i pozarządowych.
Rozwój ten wymaga ustanowienia bezpiecznego, zaufanego i skutecznego procesu identyfikacji, który oferuje klientom płynne doświadczenie podczas dokonywania zakupów, rejestracji lub korzystania z usług.

Bezpieczne transakcje elektroniczne między obywatelami, biznesem i organami publicznymi

Celem eIDAS 2.0 jest realizacja celu określonego w europejskiej inicjatywie „Droga do cyfrowej dekady”, która ma umożliwić 80% obywateli UE korzystanie z identyfikacji cyfrowej do 2030 roku.

Obejmuje to możliwość:

• uwierzytelniania swojej tożsamości poza granicami,
• wyrażania wyraźnej zgody na udostępnianie określonych danych osobowych,
• posiadania jasnej wiedzy na temat odbiorców i celów udostępnianych informacji.

Ta legislacja wprowadza koncepcję portfela EUDI i dokonuje transformacji w unijnych ramach tożsamości cyfrowej.
Do tej pory dyskusje wokół zmiany ram eIDAS koncentrowały się głównie na potencjalnych zagrożeniach i korzyściach dla obywateli i konsumentów. Aby jednak nowe europejskie ramy tożsamości cyfrowej mogły się rozwijać, ważne jest, aby ich wdrożenie uwzględniało również odrębne wymagania identyfikacyjne przedsiębiorstw.

Tożsamość cyfrowa

Tożsamość cyfrowa to szeroki termin, który obejmuje różne rozwiązania w zakresie tożsamości. Niezależnie od konkretnego typu rozwiązania tożsamościowego, we wszystkich scenariuszach zaangażowane są trzy strony:

• podmiot wydający lub dostawca tożsamości,
• użytkownik (lub posiadacz tożsamości),
• strona zaufania (która wykorzystuje tożsamość dostarczoną przez podmiot wydający).

Posiadanie tożsamości cyfrowej, takiej jak cyfrowy dowód osobisty, umożliwia osobom fizycznym ustalenie ich tożsamości. Nie dostarcza jednak informacji o ich kwalifikacjach lub uprawnieniach. Dostęp do usług cyfrowych często wymaga jednak takich atrybutów. Są to: cecha, charakterystyka lub zdolność osoby fizycznej lub prawnej lub podmiotu w formie elektronicznej. W rezultacie dodatkowe atrybuty, jak np. zaświadczenia lekarskie, kwalifikacje zawodowe lub prawa jazdy, stały się kluczowymi elementami systemów tożsamości cyfrowej. Atrybuty te są powiązane z tożsamością cyfrową i weryfikowane przez kwalifikowanego dostawcę usług zaufania. Kwalifikowane usługi zaufania umożliwiają dostarczanie kwalifikowanych elektronicznych poświadczeń atrybutów powiązanych z zaufanymi źródłami i egzekwowalnych transgranicznie. Wspiera to z kolei wiele przypadków użycia, które opierają się na wymogu weryfikacji atrybutów tożsamości powiązanych z daną osobą.

Weryfikacja tożsamości cyfrowej – sposób udostępniania informacji za wyraźną zgodą

Jednym z kluczowych aspektów eIDAS 2.0 jest to, że użytkownik ma wyłączną kontrolę nad wszystkimi danymi osobowymi. Portfel EUDI opracowano w celu uproszczenia procesu dostępu osób fizycznych i firm do usług online, przeprowadzania bezpiecznych transakcji i nawigacji w operacjach transgranicznych i podróżach. Dzięki scentralizowanej lokalizacji, przechowującej identyfikację elektroniczną oraz usługi zaufania, takie jak podpisy elektroniczne i certyfikaty cyfrowe, użytkownicy mogą łatwo uzyskiwać dostęp do swoich danych i certyfikatów oraz korzystać z nich według potrzeb.
To usprawnione podejście zwiększa dostępność dla użytkowników i ułatwia efektywne korzystanie z tych usług.

Prywatność danych

Portfel EUDI gromadzi tylko niezbędne informacje dotyczące użytkowania, ograniczając je do minimum potrzebnego do świadczenia usług. Europejski Portfel Tożsamości Cyfrowej nie będzie łączyć danych osobowych ani innych informacji związanych z nim z danymi osobowymi pochodzącymi z innych usług świadczonych przez emitenta. Nie będzie także łączyć danych z niepowiązanych usług stron trzecich, chyba że użytkownik wyraźnie wyrazi takie żądanie. Prywatność w fazie projektowania i selektywne ujawnianie atrybutów będą egzekwowane w ramach Portfela EUDI. Priorytetowo traktuje się prywatność użytkowników i ochrona danych.

Dodatkowe zasady świadczenia usług elektronicznego poświadczania atrybutów

1. Dostawcy kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania atrybutów nie mogą łączyć danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi pochodzącymi z innych ich usług.
2. Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania atrybutów są logicznie oddzielone od innych przechowywanych danych.
3. Dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczenia atrybutów są fizycznie i logicznie oddzielone od wszelkich innych przechowywanych danych.
4. Podmioty świadczące usługi kwalifikowanego elektronicznego poświadczenia atrybutów świadczą takie usługi w ramach odrębnego podmiotu prawnego.

Rozwiązania zgodne z eIDAS

eIDAS 2.0 ustanawia ustandaryzowane przepisy dotyczące tożsamości elektronicznej (eID) i usług zaufania na rynku wewnętrznym. Przepisy te kładą nacisk zarówno na zachowanie zaufania, jak i na kontrolę użytkowników nad ich danymi osobowymi. Stanowi to znaczący postęp w zakresie prywatności, bezpieczeństwa i autonomii użytkownika, oznaczając znaczący krok naprzód w zakresie ochrony praw do prywatności i zwiększenia ogólnej kontroli użytkownika.

W SIGNIUS doskonale rozumiemy, jak ważne jest bycie na bieżąco z aktualnymi przepisami, w tym eIDAS. Istnieje wiele sposobów, w jaki możemy pomóc organizacjom w przestrzeganiu rozporządzenia eIDAS. Są to m.in. podpisy kwalifikowane i kwalifikowane pieczęcie elektroniczne, uwierzytelnianie, znakowanie czasem. Skontaktuj się z nami i sprawdź, jak możemy wesprzeć Twoją firmę.