Усогласеност и Документи
од Evrotrust
Услугите обезбедени од Evrotrust се сертифицирани и регистрирани во Европа, така што тие уживаат правно обврзувачки ефект на пазарот. Судовите ги третираат како валиден доказ. Научете зошто:
Evrotrust обезбедува единствена технологија за електронскa идентификaција на далечина, потпишување со квалификуван електронски потписна далечина и услуга за регистрирана испорака. Ова се законски регулирани услуги, се додека на Евротруст му се врши ревизија за усогласеност со сите применливи ЕУ стандарди од страна на независни тела за проценка на усогласеност, регистрирани и надгледувани од националните тела за супервизија. Така, корист на сите услуги е правно признавање согласно Законот.
Технологијата и квалификуваните доверливи услуги се регулирани со посебен наднационален закон во ЕУ – Регулативата (ЕС) 910/2014 за услуги за Електронска Идентификација и Доверливи Услуги (eIDAS). Оваа регулатива има директен ефект и е задолжителна применлива во сите земји-членки на ЕУ без потреба од национално пренесување. Бидејќи Evrotrust Technologies JSCo е регистрирана во земја-членка на ЕУ, квалификуваните услуги што ги обезбедува важат низ цела ЕУ. Регистрацијата на ЕУ Листата на Доверливи услуги е достапна тука.
Во Република Северна Македонија eIDAS е во целост пренесена и квалификуваните доверливи услуги уживаат целосно правно признавање на нејзината територија, во согласност со Законот за електронски документи, услуги за електронска идентификација и доверливи услуги. Понатаму, поради спецификите на законодавството на Северна Македонија, шемата за електронска идентификација е регистрирана и обезбедена од локална компанија – Евротруст Технолоџи ДООЕЛ, Скопје. Регистрацијата во листата на даватели на доверливи услуги и издавачи на шема за eID-шеми на Република Северна Македонија е достапна тука.
Електронска Идентификација на Далечина
Електронската Идентификација на Далечина е развиена како национална приватна шема за е-Идентификација. Целта е идентификација на физички и правни лица во согласност со eIDAS. Ова второто одговара на нивото на сигурност „високо“ според чл. 8, став 2 (ц) од eIDAS и Регулативата за имплементација (ЕУ) 2015/1502. Шемата се заснова на потврда на идентитетот на лицето од паметен уред за која било заинтересирана трета страна со издавање на еднократни атрибутивни квалификувани сертификати, како што е регулирано во чл. 28 (3) од eIDAS. Во Република Северна Македонија, електронската идентификација официјално е регистрирана како услуга обезбедена од издавач на eID-шема и е наведена во Доверливата Листа во Доверливата Листа на даватели на доверливи услуги и даватели на eID шеми. Во ЕУ шемата е регистрирана во Листата на нотифицираните шеми.
Издавање на квалификувани сертификати на далечина и потпишување со квалификувани е-потписи
Тековните технологии за користење на квалификувани е-потписи бараат од корисникот да поседува некаков уред (паметни картички, токени, читачи на картички), да поседува техничко знаење (инсталација на драјвери, сертификати итн.) со тоа станува зависен од одреден компјутер (поседување USB, инсталација на драјвери, инсталација на коренски сертификација и сл.). Од гледна точка на употребливост, овие факти создаваат бариери за широка употреба на е-потписи. Уште повеќе, конвенционалните технологии се ранливи од хакерски напади (човек-во-средина, човек-во-прелистувач). Evrotrust му овозможува на клиентот можност да го издаде и зачува неговиот приватен клуч за создавање потпис во високо обезбеден хардверски сугурносен модул (HSM) и да се потпише од далечина со квалификуван електронски потпис (QES) независно од кој било уред и било какво техничко знаење. Потпишувањето е авторизирано преку најчесто користениот уред ширум светот – паметен мобилен телефон или таблет. Издавањето и одржувањето на квалификувани сертификати за услугата е-потписи и е-печати е сертификувано за усогласеност со eIDAS и е регистрирано како квалификувана доверлива услуга во ЕУ Trust List.
Потпишување на Далечина со квалификувани е-потписи е посебна услуга, на која се прави ревизија за усогласеност со применливите стандарди на ЕУ од страна на независно тело за проценка на усогласеност.
Квалификувана услуга за електронска регистрирана испорака
Предавањето на електронски документи и друга дигитална содржина и докажувањето на двосмислен начин на идентитетот на испраќачот и примачот, времето за испраќање и примање, како и интегритетот на содржината, е правно призната алтернатива на услугата за регистрирана пошта базирана на хартија низ цела Европа и на територијата на Република Северна Македонија. Развиената услуга овозможува законски можно непосредно и безбедно предавање на документите (фактури, потсетници за плаќање, услови и договори, договори и сл.) на други лица регистрирани во адресарот на Евротруст директно на нивниот мобилен телефон преку генерирање на соодветни потврди за враќање. Квалификуваната услуга за електронска регистрирана испорака е сертифицирана за усогласеност со eIDAS и е регистрирана како доверлива квалификувана услуга во Trust List на ЕУ.
Технологијата, услугите и целата инфраструктура исполнуваат бројни технолошки стандарди. Усогласеноста за тоа дали Евотруст ги исполнува горенаведените стандарди е направена од тела за проценка на усогласеност (ревизори), акредитирани според националните шеми за акредитација. Списокот на овие ревизори е достапен на web страницата на Комисијата на ЕУ. Со цел да се обезбедат квалификувани доверливи услуги за e-ID, давателот на доверливи услуги мора да претрпи целосна ревизија за проценка на усогласеност на активностите за секоја квалификувана доверлива услуга што ја обезбедува, на секои две години. Ревизијата на Евротруст за проценка на усогласеност за горенаведените стандарди е извршена од страна на тела за проценка на усогласеност од Франција и Република Чешка, LSTI и TayllorCox, како и ревизорското тело од Норвешка DNV GL.
ISO Стандардизација
- ISO/IEC 27001: Систем за управување со Информатичка безбедност;
- ISO 22301: Систем за управување со континуитет во работењето;
- ISO/IEC 20000-1: Систем за управување со ИТ услугите;
- ISO 9001: Систем за управување со квалитет.
eIDAS Стандардизација
- ETSI EN 319 401: Барања за општи политики за давателите на доверливи услуги;
- ETSI EN 319 411-1: Општи барања;
- ETSI EN 319 411-2: Барања за даватели на доверливи услуги кои што издаваат квалификувани сертификати во ЕУ;
- ETSI EN 319 421: Политика и барања за безбедност за давателите на доверливи услуги кои издаваат електронски временски печат;
- ETSI EN 319 102-1: Процедура за креирање и валидација на AdES дигиталните потписи; Дел 1: Креирање и Валидација;
- ETSI EN 319 521: Политика и барања за безбедност за даватели на услугата регистрирана електронска достава;
- ETSI EN 319 531: Политика и барања за безбедност за даватели на услугата Electronic Registered Electronic Mail Service;
- ETSI TS 119 431-1 and ETSI TS 119 431-2: Creation of remote qualified electronic signatures and seals
- eIDAS Art. 24 (1) (d): Remote electronic identification with level of assurance as to a physical presence for the purposes of issuing of qualified certificates for qualified electronic signatures and seals under Art. 24 (1) (d) of eIDAS;
- eIDAS Art. 8(2)(c) and IR (EC) 2015/1502: Level of assurance high of the remote electronic identification trust service from a smart device, according to Art. 8, para 2 (c) of eIDAS and Implementing Regulation (EC) 2015/1502.
Evrotrust како услуга користи нов метод за електронска идентификација базирана како доверлива услуга, која од правна гледна точка не се потпира на користените технологии (видео идентификација, 3Д живост, итн.), туку на eIDAS доверливата услуга обезбедена од квалификуван давател на доверливи услуги преку издавање на квалификуван сертификат, потпирајќи се на консултации со националните регистри и биометриска идентификација на далечина. Сертификатот носи повеќе атрибути на идентитет во споредба со вообичаените сертификати. Овој метод за е-Идентификација на далечина е експлицитно регулиран како исполнување на условите за AML според чл. 13 (1) од Директивата (ЕУ) 2018/843 на Европскиот парламент и на Советот од 30 мај 2018 година за измена на Директивата (ЕУ) 2015/849 за спречување на употреба на финансиските системи за перење пари или финансирање на тероризам и измена на Директивите 2009/138/ЕЦ и 2013/36/ЕЦ (5-та директива за AML, на сила од 9 јули 2018 година). Под чл. 13 од 5-ти AMLD „идентификување на клиентот и проверување на идентитетот на клиентот врз основа на документи, податоци или информации добиени од сигурен и независен извор, вклучувајќи, каде што е достапно, електронски средства за идентификација, релевантни услуги за доверба утврдени во Регулативата Бр.910/2014 на Европскиот парламент и на Советот…. “. Сите земји-членки на ЕУ и земји кои пристапуваат го пренесуваат правилото.
Како предност, правилата на eIDAS во врска со одговорностите и взаемното признавање се применуваат на таквата идентификација преку квалификуван сертификат.
Овој метод е поповолен за финансиските институции и други лица кои што се обврзани под 5-ти AMLD отколку директната употреба на видео-идентификација. Доколку обврзаните лица користат само видео-идентификација (со 3Д живост и сл.), тие се потпираат на технологијата и ризикот од погрешна идентификација останува на обврзаното лице. Ако го идентификува клиентот преку доверлива услуга (квалификувани сертификати со повеќе атрибути), тоа ќе се потпира на регулирана доверлива услуга, управувана од eIDAS. Според Законот, ризикот од погрешна останува на страна на давателот на доверливи услуги. Метод кој е објаснет е подеднакво легален во сите земји-членки на ЕУ и земјите кои што пристапуваат.
eID решението на Евротруст беше препознаено во официјалниот извештај на Европската комисија како едно од 7-те можни методи за регистрирање на далечина во финансискиот сектор, кои ги исполнуваат условите за AML/KYC. Извештајот е достапен на WEB страницата на Европската комисија тука.
Во Република Северна Македонија, решението е усогласено со АМЛ според експлицитната одредба од чл. 4 (1) од Законот за електронски документи, електронска идентификација и доверливи услуги. Целиот текст е достапен тука.
Решението овозможува правна потврда на значителен дел од податоците на клиентот за цели на KYC, додека се заснова на собирање и валидација на лични податоци, копии од документ за лична идентификација и декларации потпишани од клиентот (ПЕП, извор на пари, вистински акционер итн.) – решението обезбедува правна алатка за потпишување на документите со квалификуван е-потпис со иста правна важност како да е своерачно потпишан. Потребни се за склучување на Договори за банкарски услуги или за обработка на банкарски трансакции. Така, основните барања за проверка на KYC можат целосно да бидат исполнети.
Услугата за електронска идентификација е усогласена со Регулативата (ЕУ) 2016/679 на Европскиот парламент и Советот од 27 април 2016 година за заштита на физички лица во врска со обработка на личните податоци и за слободно движење на такви податоци и отповикување на Директивата 95/46/EЦ (GDPR). Компанијата е сертифицирана за усогласеност со GDPR од страна на акредитирано тело за проценка на усогласенот. Мерките за обработка и чување на лични податоци се далеку над безбедносните барања утврдени со GDPR.
Решението на Евротруст е целосно усогласено со Директивата 2015/2366 (PSD2). Посебно, ги исполнува условите за силна автентикација на клиентите (SCA). Давателите на платежните услуги (PSP) мора да обезбедат воспоставување на безбедносни мерки за заштита на доверливоста и интегритетот на персонализираните безбедносни акредитиви. Член 97 од PSD2 бара од давателите на платежните услуги да направат автентикација на корисниците кога 1) пристапуваат до сметка за плаќање преку Интернет, 2) започнуваат трансакција за електронско плаќање и 3) извршуваат некакво дејствие преку некој канал на далечина што може да значи ризик од измама при плаќање или други злоупотреби (Видете Европска агенција за банкарство – Технички стандарди на Регулаторот за силна автентикација на клиентот и безбедна комуникација според PSD2 – RTS). Основната дефиниција за „силна автентикација на клиентот“ е претставена во членот 4 (30) од PSD2. Се наведува дека автентикацијата мора да се заснова на употреба на два или повеќе можни елементи за проверка, категоризирани како: i) знаење (т.е. нешто што го знаат само корисниците, како лозинка), ii) поседување (т.е. нешто што само корисникот го има , како што е токен или уред) и поврзаност (т.е. нешто што само корисникот го поседува, што се докажува со отпечаток од прст или скенирање на лицето). RTS креира барања околу примената на автентикација со два фактори или повеќе фактори во контекст на PSD2. Мобилниот телефон, користен во рамките на решението “ID operated by Evrotrust“, воспоставува „познат“ објект што го поседуваат потрошувачите, создавајќи метод за автентикација со два фактори. Решението воспоставува биометриска безбедност, како отпечатоци од прсти и препознавање на лицето, независно од интегрираната можност на паметниот телефон (како во iPhone X). Овие методи им овозможуваат на регулираните финансиски организации точно да го верификуваат идентитетот на корисникот што бара пристап.
Технологијата на Евротруст, интегрирана од давателот на платежни услуги и доставена до крајниот корисник, ги исполнува сите овие барања.
Како што е веќе напоменато, се потпира на технологија, која се базира на квалификувани доверливи услуги кои што се сертифицирани и кои на секои две години подлегнуваат на безбедносни, организациски и други ревизии. Тоа е 2FA силен метод за автентикација, кој вградува OTP и други динамички методи за размена на акредитиви, и кој вклучува пристап преку повеќе фактори и се заснова на асиметрична криптологија, заснована на регулирана квалификувана услуга. Упатувањето на такви услуги е директно предвидено со Делегираната регулатива за имплементација на PSD2. Особено, ги исполнува условите од член 29 кои се бараат за идентификација на квалификувани сертификати за електронски печати и за квалификувани сертификати за автентикација на WEB страница.
Evrotrust Technologies JSCo. Софија, Бугарија како давател на квалификувани доверливи услуги е регистриран во во Trust List на ЕУ. Регистрацијата може да се најде тука. Како квалификуван TSP, Evrotrust е под супервизија на Бугарската комисија за регулирање на комуникациите (CRC)
Евротруст технолоџи ДООЕЛ, Скопје, Северна Македонија е регистриран на територијата на Македонија како издавач на шема за електронска идентификација и е регистриран во Trust List на Република Северна Македонија. Регистрацијата може да се најде тука. Како издавач на eID-шемата, Евротруст е под супервизија на македонското Министерство за информатичко општество и администрација (МИОА).
Евротрост е Законски обврзан редовно да ја ажурира документација за квалификуваните доверливи услуги и електронската идентификација. Сите документи се објавени на WEB страницата на Евротуст како квалификуван давател на доверливи услуги, тука.
Шемата за електронска идентификација и услугите што ги обезбедува Евротруст Технолоџис ДООЕЛ Скопје ја следат регулаторната политика и практика на компанијата, достапни овде:
ПОЛИТИКА ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ EVROTRUST
За давање услуги на Евротруст на територијата на Република Северна Македонија, крајните корисници мора да ги консултираат следниве документи:
ПОЛИТИКА ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ EVROTRUST
ОПШТИ УСЛОВИ НА ДОГОВОР СО КРАЈНИ КОРИСНИЦИ
Документите со кои се регулира правниот однос со корпоративните клиенти може да се најдат овде:
ОПШТИ УСЛОВИ НА ДОГОВОР СО КОРПОРАТИВНИ КЛИЕНТИ
КЛАУЗУЛА “ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ“
КЛАУЗУЛА “ОРГАН ЗА РЕГИСТРАЦИЈА”
КЛАУЗУЛА “АВТОМАТСКО ПОТПИШУВАЊЕ”