Czym jest elektroniczny
podpis kwalifikowany?

Elektroniczny podpis kwalifikowany: czym jest i jakie są jego funkcje?

Chyba każdy trafił w swoim życiu na pojęcie „elektronicznego podpisu kwalifikowanego”. Czy to załatwiając online sprawy w jakimś urzędzie, czy to podczas szkolenia z bezpieczeństwa w firmie. Jednak sam podpis elektroniczny, chociaż wydaje się dosyć oczywistym narzędziem, może mieć wiele nieoczywistych funkcji i dawać korzyści, których możesz się nie spodziewać.

Dodatkowo – sam podpis może być kwalifikowany i niekwalifikowany; elektroniczny i cyfrowy. Czy każdy z nich oferuje to samo?  Jakie są między nimi różnice i – co chyba najważniejsze – ile kosztuje kwalifikowany podpis elektroniczny?

Czym jest kwalifikowany podpis elektroniczny?

Kwalifikowany podpis elektroniczny (QES – qualified electronic signature) to – w myśl suchej definicji – narzędzie pozwalające na weryfikację tożsamości posiadacza i złożenie cyfrowego poświadczenia, podpisu, uwierzytelnienia lub zlecenia.

Podpis kwalifikowany posiada moc prawną odręcznego podpisu, dlatego może być wykorzystywany do podpisywania umów czy dokumentów składanych w urzędzie. Co ważne: z tego podpisu może korzystać tylko osoba fizyczna, a nie firma. Sama funkcjonalność kwalifikowanego podpisu cyfrowego pozwala na wiele – od skrócenia drogi urzędowej, przez przyspieszenie realizacji projektów czy płatności faktur, aż do stworzenia skutecznej struktury obiegu dokumentów w firmie, nawet w rozproszonym zespole.

Stosowanie tej formy weryfikacji tożsamości sygnatariusza zapewnia zarazem bezpieczeństwo (konkretnym podpisem może posługiwać się tylko jedna osoba) i szybkość składania podpisu (niezbędne jest tylko „podpisanie” dokumentu, które w wielu narzędziach czy aplikacjach ma formę przycisku, po którego kliknięciu dokument zostaje podpisany unikalnym podpisem elektronicznym).

Dodatkowo dokumenty podpisane w ten sposób nie mogą być edytowane bez zostawiania śladów – to szczególnie istotne, na przykład, w procesowaniu umów czy specyfikacji poza firmą czy organizacją. W Polsce funkcjonowanie tej formy podpisu reguluje ustawa z dnia 5 września 2016 roku, a w perspektywie Unii Europejskiej jego działanie podlega Rozporządzeniu nr 910/2014 (rozporządzenie Electronic Identification and Trust Services Regulation – eIDAS).

Ale samo działanie kwalifikowanego podpisu elektronicznego to nie wszystko. Uregulowanie jego formy i wprowadzenie regulacji prawnych, związanych z kwalifikowanymi podpisami elektronicznymi, wiąże się z ukróceniem niektórych praktyk w firmach. Jeszcze przed wprowadzeniem wspomnianych przepisów (unijnych i polskich) niektóre firmy „podpisywały” dokumenty przy pomocy zeskanowanej kopii podpisu upoważnionej osoby.

Nie było to ani bezpieczne, ani rozsądne, jednak w wielu firmach mogło być powszechnie stosowaną praktyką, która miała na celu przyspieszenie procesowania dokumentów – na przykład w sytuacji, w której osoby odpowiedzialne za podpis były niedostępne lub nie miały dostępu do drukarki i skanera (o obecności w biurze nie wspominając).

Oczywiście – niektóre z narzędzi do obsługi podpisu kwalifikowanego umożliwiają dodanie do cyfrowego poświadczenia skanu podpisu, ale to najczęściej wymiar wyłącznie estetyczny: taki dokument po wydrukowaniu ma „oczywiste” znamiona podpisu, chociaż o jego ważności decyduje podpis elektroniczny.

Wracając do podpisu kwalifikowanego: na pierwszy rzut oka ma on zbliżone funkcje do Profilu Zaufanego – możesz przy jego pomocy składać dokumenty urzędowe i załatwiać sprawy w bankach, bez wychodzenia z domu. Jednak kluczową różnicą między ogólnodostępną usługą (Profil Zaufany), a kwalifikowanym podpisem elektronicznym jest możliwość podpisywania za jego pomocą umów: Profil Zaufany na to nie pozwala. Więcej o różnicach w dalszej części artykułu.

Poznaj Adobe Sign – program do podpisu elektronicznego

Najważniejsze funkcje kwalifikowanego podpisu elektronicznego

Kwalifikowany podpis elektroniczny jest realnym źródłem oszczędności. Odpowiednio wdrożony daje wiele korzyści – zarówno z perspektywy działania biznesowego, jak i prywatnej.

Nie oszukujmy się – coraz więcej osób korzysta z cyfrowych sposobów potwierdzenia tożsamości: nie tylko przez pandemię (która zmusiła do „wirtualnych” wizyt w urzędach), ale także w wyniku zmian na rynku pracy czy funkcjonowania przedsiębiorstw. Rozproszone zespoły, praca w chmurze czy wreszcie duży nacisk na mobilność sprawiają, że wiele firm staje przed wyzwaniami związanymi z nowoczesnym obiegiem dokumentów.

Naturalną odpowiedzią na to tę potrzebę staje się kwalifikowany podpis elektroniczny, który pozwala na:

  • zdalne podpisywanie i procesowanie dokumentów;
  • załatwianie spraw formalnych, składanie wniosków, itp., bez konieczności pojawiania się w urzędzie;
  • szybką weryfikację dokumentów i ich usprawnienie ich procesowania w każdej firmie;
  • zmniejszenie kosztów związanych z wysyłką dokumentów czy ich wydrukiem i przechowywaniem w wersjach papierowych (zgodnie z przepisami, podpisana kwalifikowanym podpisem elektronicznym wersja dokumentów jest wiążąca);
  • zmniejszenie czasu procesowania dokumentów (nie ma potrzeby na oczekiwanie na fizyczne „przejście” umów, oświadczeń czy faktur z pokoju do pokoju – przekazanie dokumentów sygnowanych kwalifikowanym podpisem elektronicznym jest niemal natychmiastowe);
  • podniesienie wiarygodności firmy w oczach kontrahentów (stosowanie nowoczesnych, elastycznych i skalowalnych rozwiązań);
  • większe bezpieczeństwo – dokumenty podpisane podpisem elektronicznym pozwalają na stwierdzenie, czy zostały w nich dokonane jakieś zmiany, a dodatkowo są szyfrowane. Ponadto samo przechowywanie certyfikatu – na karcie lub specjalnym pendrive – sprawia, że jest on łatwy do przechowywania oraz zabezpieczenia przez osobę posługującą się nim;
  • i wiele więcej.

Teraz może rodzić się pytanie: skoro kwalifikowany podpis elektroniczny sprawdza się doskonale w pracy z zewnętrznymi kontrahentami czy w usprawnianiu obiegu dokumentów, to czym jest wspomniany NIEkwalifikowany podpis elektroniczny?

Kwalifikowany i niekwalifikowany podpis elektroniczny: kluczowe różnice

Podstawowa różnica jest jasna – kwalifikowany podpis elektroniczny ma wagę prawną odręcznego podpisu, czyli może być stosowany jako alternatywa dla potwierdzania dokumentów. Podpis niekwalifikowany nie ma takiej mocy prawnej, ale zachowuje wiele funkcji praktycznych, związanych z kwalifikowanym.

Dodatkowo różni się sama „forma” certyfikatu – nośnik certyfikatu kwalifikowanego to najczęściej pendrive lub specjalna karta, która (w połączeniu z czytnikiem) pozwala na wiążące podpisywanie dokumentów. W przypadku podpisu niekwalifikowanego możliwe jest przechowywanie certyfikatu na dysku komputera i przypisanie go do konkretnego użytkownika lub stanowiska.

Kolejną różnicą jest podmiot, który może wydać ten podpis – kwalifikowany może być wydany wyłącznie przez autoryzowane centra certyfikacji; niekwalifikowany – może być wydany również przez te niecertyfikowane. Jednak wiele pozostałych funkcji obu sposobów podpisywania dokumentów – szyfrowanie, bezpieczeństwo czy przypisanie do konkretnej osoby – pozostaje bez zmian.

Sprawia to, że niekwalifikowny podpis elektroniczny jest świetnym rozwiązaniem do wprowadzenia w wewnętrznym obiegu dokumentów w firmie – pozwala na prześledzenie wsteczne całego procesu oraz przyspieszenie samego działania firmy. I dopiero gdy niezbędne jest złożenie prawomocnego podpisu – odpowiedni osoba może to zrobić za pomocą podpisu kwalifikowanego.

Jak wygląda korzystanie z podpisu kwalifikowanego?

Większość dostawców podpisów kwalifikowanych – poza samym rozwiązaniem – udostępnia też narzędzia do korzystania z niego.

Przez wiele lat (i w praktyce dzisiaj również) najpopularniejszą metodą korzystania z podpisu kwalifikowanego są:

  • karta, która zawiera podpis elektroniczny (można z niej korzystać przy pomocy specjalnego czytnika wpiętego w komputer z odpowiednim oprogramowaniem);
  • pendrive (lub klucz USB) zawierający podpis elektroniczny (to rozwiązanie wymaga nadal oprogramowania do obsługi podpisu;
  • korzystanie z podpisu kwalifikowanego w chmurze;
  • podpisywanie za pomocą jednorazowych kodów uwierzytelniających (wymaga oprogramowania, jednak jest to rozwiązanie najbardziej mobilne – poza loginem wymagane jest tylko wprowadzenie jednorazowego kodu uwierzytelniającego, wysyłanego w formie wiadomości SMS, jak w przypadku potwierdzania transakcji bankowych).

Każde z tych rozwiązań ma swoje zalety i wady oraz odpowiada na potrzeby konkretnych firm i stosowanych w nich polityk czy standardów.

Pierwszą z nich jest czytnik kart z kwalifikowanym podpisem elektronicznym.

To metoda uwierzytelniania cyfrowego z najdłuższym stażem – kojarzy się wielu osobom z podpisem elektronicznym.

Zasada działania jest prosta:

  • pod podpięciu i skonfigurowaniu czytnika oraz oprogramowania możesz uwierzytelnić dokumenty dzięki specjalnej karcie z podpisem kwalifikowanym;
  • w sytuacji, w której chcesz podpisać jakiś dokument przy pomocy podpisu kwalifikowanego – wykonujesz kolejne polecenia systemu zarządzającego, a w odpowiednim momencie wprowadzasz kartę do czytnika (i podpisujesz dokument elektronicznie).

Nieco nowszą metodą są klucze USB zawierające sam podpis kwalifikowany.

Do poprawnej pracy mogą one również wymagać dodatkowego oprogramowania (najczęściej dostarczanego przez podmiot sprzedający podpis elektroniczny).

Podpisywanie dokumentów przy pomocy klucza USB, zawierającego podpis kwalifikowany, jest również dosyć proste:

  • w sytuacji, w której chcesz podpisać dokument – podążasz za kolejnymi krokami w oprogramowaniu do obsługi podpisu kwalifikowanego;
  • w odpowiednim momencie podpinasz klucz USB do portu w komputerze (i podpisujesz dokument elektronicznie).

 

Najnowszą i cieszącą się rosnącą popularnością metodą uwierzytelniania dokumentów przy pomocy podpisu kwalifikowanego (lub podpisu kwalifikowanego w chmurze) są jednorazowe kody SMS.

Jest to mechanika zbliżona do znanej z Profilu Zaufanego (przy jakichkolwiek dyspozycjach wydawanych z poziomu tego serwisu otrzymujesz kod SMS do potwierdzenia) i z perspektywy wielu osób może być najprostsza do wdrożenia i obsługi. A na pewno najbardziej znajoma w swojej formie.

Podpisywanie dokumentów przy pomocy podpisu kwalifikowanego obsługującego jednorazowe kody SMS jest jeszcze prostsze:

  • podążasz za kolejnymi krokami w oprogramowaniu do obsługi podpisów cyfrowych (np. Adobe Sign);
  • w momencie, w którym możesz podpisać dokument – na przypisany do Twojego konta numer telefonu przychodzi SMS, który musisz podać razem ze swoim loginem lub innymi danymi do obsługi Twojego podpisu kwalifikowanego.

Stosowanie kwalifikowanego podpisu elektronicznego w wersji bezkartowej (i bezkluczowej) jest sporym ułatwieniem i dla wielu osób potrzebujących z takiej formy uwierzytelniania może okazać się optymalne.

Jak uzyskać podpis kwalifikowany i ile on kosztuje?

Pierwszym krokiem na drodze uzyskania kwalifikowanego podpisu cyfrowego jest wybór odpowiedniego dostawcy, który posiada certyfikację.

Jak w przypadku wielu innych usług, kwalifikowany podpis elektroniczny możesz uzyskać od różnych, certyfikowanych dostawców.

Obecnie w Polsce dostępne są następujące kwalifikowane podpisy elektroniczne:

  • Polskiej Wytwórni Papierów Wartościowych (od 112 zł netto / rok);
  • CenCert (od 180 zł netto / 2 lata);
  • eSIGN / Centrum (od 700 zł netto / rok);
  • EuroCert (od 240 zł netto / 2 lata);
  • KIR / Szafir (od 219 zł netto / rok);

Jak widzisz – rozrzut cen jest całkiem spory i w niektórych przypadkach należy doliczyć do nich również dostawę czytnika kart lub szkolenia z zakresu korzystania z oprogramowania do podpisów elektronicznych. Oznacza to, że samo korzystanie z tych rozwiązań może okazać się nieco bardziej kosztowne, niż możesz się tego spodziewać.

Warto też wspomnieć, że samo korzystanie z podpisu kwalifikowanego nie oznacza, że masz razem z nim różnego rodzaju oprogramowanie do podpisywania dokumentów. Najczęściej otrzymujesz wyłącznie aplikację sterującą pracą czytnika lub obsługującą klucz USB z podpisem, a jeśli szukasz rozwiązań do sprawnego przepływu dokumentów w firmie – musisz szukać go u innych dostawców.

Wyjątkiem tu pozostaje Adobe Sign, które jest pakietem narzędzi do zarządzania obiegiem dokumentów w firmie oraz ich uwierzytelniania kwalifikowanym podpisem elektronicznym. Dodatkowo stosowanie „stacjonarnych” metod uwierzytelniania podpisem elektronicznym (klucz USB / karta) może być kłopotliwe w firmach, w których duży nacisk kładziony jest na mobilność. W sytuacji, w której osoba odpowiedzialna nagle musi podpisać dokument – jest uzależniona od tego, czy ma przy sobie komputer oraz czytnik, kartę lub klucz USB.

Rozwiązaniem w takich sytuacjach jest stosowanie jednorazowych kluczy uwierzytelniających, co w połączeniu z możliwościami pakietu Adobe i obiegiem dokumentów elektronicznych w firmie, zapewnianych przez Adobe Sign, pozwala na szybką obsługę umów i ich podpisywanie – niemal z każdego miejsca, w którym jest dostęp do internetu. Nawet z samego telefonu.

Bezpieczeństwo podpisu elektronicznego – co się stanie, jeśli zgubię kartę?

Obawa przed utratą karty z kwalifikowanym podpisem elektronicznym – czy to jej zagubieniu czy kradzieży – może wstrzymywać wiele osób przed korzystaniem z tej formy uwierzytelniania w internecie. Jest w tym trochę słuszności, bo utrata karty lub klucza USB z podpisem elektronicznym może być problemem, zwłaszcza dla osób odpowiedzialnych za duże i kosztowne projekty lub też zarządzających dużymi budżetami.

Czy w sytuacji, w której gubię kartę z kwalifikowanym podpisem elektronicznym jest bardzo źle?

Dużo zależy od tego, jakiego rodzaju to podpis kwalifikowany, na jakim nośniku był oraz – co najważniejsze – czy system obsługujący Twój podpis kwalifikowany zapewnia dodatkowe zabezpieczenia na wypadek takiej sytuacji. W wielu przypadkach do dokonania podpisu elektronicznego wystarczy czytnik i odpowiednie oprogramowanie: to karta z podpisem służy za narzędzie weryfikacji.

System nie poprosi nikogo o dowód – jeśli ktoś użyje karty z podpisem kwalifikowanych, to dokument zostanie podpisany. Dlatego pierwszym krokiem w przypadku zagubienia, kradzieży lub zniszczenia karty (lub klucza USB) z podpisem kwalifikowanym jest jego unieważnienie. Dostawcy podpisów na pewno przygotują Cię na taką okoliczność i zostawią informacje na temat procedur awaryjnych.

Trochę łatwiej jest w przypadku certyfikatów wydawanych w formie jednorazowych kodów – wysyłane są one najczęściej na telefon, co oznacza, że sama procedura składania podpisu jest chroniona na wielu etapach: od samego podania identyfikatora, przez dostęp do telefonu, aż do znajomości samych procedur uwierzytelniania.

Niemniej – utrata telefonu wykorzystywanego do uwierzytelniania podpisu kwalifikowanego może być realnym problemem, dlatego należy jak najszybciej go zablokować (podobnie jak podpis) – o ile to możliwe.

Elektroniczny podpis kwalifikowany a podpis cyfrowy: czym się różnią?

Chociaż różnice między podpisem elektronicznym a cyfrowym mogą wydawać się trudne do wychwycenia (podobna nazwa, można nimi podpisać dokumenty, itp.), to jest ich kilka.

Przede wszystkim: podpis elektroniczny, to bardzo szerokie określenie formy cyfrowego podpisania dokumentu. Z kolei podpis cyfrowy to podpis elektroniczny szczególnego rodzaju.

Najłatwiej opisać różnicę między tymi dwoma rodzajami podpisów następująco:

  • podpis elektroniczny stawia na szybkość działania i elastyczność – w dużej mierze dzięki uproszczonej formule podpisywania dokumentów oraz mniejszemu naciskowi na szyfrowanie i prowadzenie backlogu zmian w dokumencie;
  • podpis cyfrowy skupia się z kolei na bezpieczeństwie rozwiązań – jakiekolwiek zmiany są śledzone, backlog przechowywany w bezpiecznej przestrzeni dostawcy usług a suma kontrolna i kopia dokumentu są przechowywane w zaszyfrowanej postaci. Co więcej, podpis cyfrowy podlega normie ISO 7498-2:1989.

Innymi słowy: jeśli zależy Ci na szybkości procesowania w firmie, z zachowaniem wysokiego poziomu bezpieczeństwa, to wybór podpisu elektronicznego jest jak najbardziej wskazane.

Jeśli jednak zależy Ci na szybkim i łatwym podpisywaniu dokumentów, to naturalnym wyborem będzie podpis elektroniczny. Na przykład Adobe Sign, czyli zaawansowany system do obsługi podpisów elektronicznych (w klasyfikacji eIDAS). Zapewniania bezpieczny obieg dokumentów w firmie, umożliwia stosowanie zarówno zewnętrznych elektronicznych podpisów kwalifikowanych, jak i podpisów elektronicznych dostarczanych przez Adobe.

Czytaj również

Adobe Acrobat vs Adobe Sign – porównanie aplikacji

Które z rozwiązań lepiej sprawdzi się w Twojej firmie? Porównanie aplikacji.

czytaj dalej >>

Co to jest Adobe Sign?

Dowiedz się co to jest Adobe Sign. Czy jest bezpieczny? Jakie są jego korzyści? Ile kosztuje?

czytaj dalej >>

Adobe Sign vs DocuSign – które narzędzie wybrać?

Stoisz przed wyborem narzędzia do podpisu elektronicznego? Porównaliśmy dwa, najpopularniejsze programy: Adobe Sign i DocuSign – sprawdź, który wypadł lepiej!

czytaj dalej >>