Temat: Certyfikat kawlifikowany

Z dniem 21.07.2008, do kontaktów z ZUS, wymagany będzie bezpieczny podpis elektroniczny.

Tymczasem jest jak jest. Np. w 2005 wykryto lukę w oprogramo­waniu wykorzystywanym do składania podpisu kwalifikowanego firm Signet i Unizeto. Istniała możliwość podmiany podpisywanego dokumentu!

Porozmawiajmy zatem jak dzisiaj wygląda bezpieczeństwo i koszt certyfikatów kawlifikowanych. Jakie czytniki, karty, centra certyfikacji popieracie i dlaczego.

Temat: Certyfikat kawlifikowany

Marek Kubiś:
Z dniem 21.07.2008, do kontaktów z ZUS, wymagany będzie bezpieczny podpis elektroniczny.

To akurat sie przesuwa, klienci którzy w lipcu odnowią sobie stary certyfikat, będą mogli go używać do końca roku.

Porozmawiajmy zatem jak dzisiaj wygląda bezpieczeństwo i koszt
certyfikatów kawlifikowanych. Jakie czytniki, karty, centra certyfikacji popieracie i dlaczego.

Jeśli chodzi o certyfikaty kwalifikowane w polsce to wybór jest niewielki. W dużych miastach mamy 2-3 firmy do wyboru, w mniejszych miejscowościach - ograniczony jest do sieci dystrybucji. Niewielu klientów godzi sie by pojechać 200km po certyfikat.
Jeśli chodzi o bezpieczeństwo certyfikatów - przy obecnym poziomie znajomości tej technologii u użytkowników, większym zagrożeniem jest sam użytkownik niż błędnie napisane oprogramowanie do podpisów.

Temat: Certyfikat kawlifikowany

Mala prywata:
http://nomadowyblog.blogspot.com/search/label/e-podpis
:)

A co do pytania:
- podpis jest tak bezpieczny, jak bezpieczny jest komputer uzytkownika. I bez roznicy, czy to Windows, czy nie Windows (ale i tak musi to byc Windows) ;)
- wyboru nie ma zadnego - wszytsko to jeden wielki kit nastawiony na wydojenie kasy z przedsiebiorcow. Tylko 3 firmy, ktore trzymaja cene. Moim zdaniem to zmowa cenowa, ktora powinny zajac sie organa do tego przeznaczone.
- kwalifikowany podpis, to bardzo fajne narzedzie - ale wprowadzany racjnalnie. Czemu certyfikaty wydaja prywatne firmy, a nie zajmuje sie tym MSWiA, dolaczajac do naszych ID chipa? Wtedy koszt dowodu zwiekszylby sie o jakies 30-40% (moje wlasne wyliczenia) i wymieniany bylby co 10 lat, a nie jak teraz co 1-2 lata. Wiem, ze wiele osob by nie wykorzystalo podpisu, ale ten, kto by chcial, to by mogl i to za duzo mniejsze pieniadze. Pomijak kwestie bezpieczenstwa danych, bo lepiej bym sie czul gdyby moje klucze lezaly na serwerach MSWiA, niz w prywatnej firmie. Chociaz jak pokazuje praktyka, to co panstwoe nie zawsze musi byc dobre (orzeczenia NSA w sprawie niezgodosci systemu POLTAX z UODO).
- no i bajzel z wydawaniem podpisu na czlowieka prywtnego i na czlowieka z zaznaczeniem firmy. To jest typowe swinstwo firm wystawiajacych podpisy. Dlaczego? Jezei podpis jest na osobe prywatna, to ta osoba odchodzi sobie z firmy i przechodzi do innej, jako posiadacz kw. podpisu. A jezeli podpis jest na osobe z zaznaczeniem firmy, to po odejsciu z pracy podpis ten jest uniewazniany, a nowa firma musi wyrobic pracownikowy nowy podpis. Kasa sie kreci. W sumie ZUS nie wymaga, zeby w podpisie zawata byla firma w imieniu ktorej podpisywany jest dokument. I jeszcze co ciekawe - jezeli chce wziac podpis z zaznaczeniem, ze tylko na czlowieka (bez danych firmy), to chca kupic podpis Sigillum (informacja od przedstawiciela w Białymstoku) musze zaplacic przedplata, a jezeli z zaznaczeniem firmy, to przelewem po. :) Niby mala rzecz, a w duzych firmach wydaje sie nie do obejscia.
Fuj - to tyle opinii :)

Temat: Certyfikat kawlifikowany

Po pierwsze to niewiem gdzie tam sa prywatne firmy, bo Sigillum (to Mennica Panstwowa), KiR (Krajowa Izba Rozliczeniowa- tez raczej nie bardzo prywatne) i Unizeto (to chyba tylko prywatna firma).

Jeśli chodzi o trzymanie certyfikatow to lepiej bym się czuł gdyby to robila prywatna firma (znajac nasze panstwo i porzadek panujacy).
Natomiast nad tymi trzema instytucjami piecze trzyma NBP!

A bajzel z wydawaniem, to przypuszczam ze zwiazany jest tylko z konkretna placowka.

No i podstawowa rzecz - Certyfikatu nie wydaje sie na firme!!
Jezeli jestes pracownikiem firmy X i ona chce bys podpisywal w jej imieniu dokumenty, placi za certyfikat to po prostu robi ci prezent - bo certyfikat jest imienny i nalezy do konkretnej persony! nawet jesli na karcie bedzie widniala informacja o nazwie firmy - nie ma to zadnego znaczenia, gdy zmienisz firme to nadal mozesz uzywac tego certyfikatu, bo to twoj OSOBISTY PODPIS ELEKTRONICZNY. nie ma czegos takiego jak firmowy podpis.

Jezeli odchodzisz z pracy ktora zafundowala ci certyfikat to firma moze zażądać komisyjnego zniszczenia karty (w końcu oni za nią placili), albo zostaje ci ona na amen, natomiast wykluczone jest i niezgodne z prawem zostawienie takiej karty w firmie czy przekazanie innej osobie (np. przejmującej po tobie obowiązki).

Temat: Certyfikat kawlifikowany

No to hurtem pojadę.

Certyfikat kwalifikowany a firma.
Owszem - certyfikat jest na osobę fizyczną. Jednakże, przy kupnie certyfikatu, o ile dobrze pamiętam, można zawrzeć ograniczenia co do wykorzystania. W tym momencie można to porównać do podstemplowaniem się fasymilką "Jan Kowalski, przedstawiciel zarządu f-my A" pod pismem od f-my B.
Dodatkowo certyfikat przez firmę kupiony nie jest prezentem, bo osoby wskazane we wniosku mogą go w każdym momencie unieważnić.

Teraz sprawy ruszone przez Nomada.
1. Podpis kwalifikowany w MSWiA.
Się nie da - zapisy ustawy o Podpisie Elektronicznym zabraniają.
Dodatkowo, wyobrażasz sobie rynek przy czymś takim?

2. Klucze na serwerach MSWiA.
Herezja. Klucze są twoje i tylko twoje. Nie mają prawa opuścić bezpiecznego miejsca, jakim jest nośnik kryptograficzny. Jeśli opuszczą, to z marszu powinno się je uznać za skompromitowane (a nośnik powinien stracić FIPSa)

3. Konkurencja.
Konkurencja jest i to widać. Porównaj sobie ceny zestawów, co jest w cenie i jakie są koszty odnowienia certyfikatu (sam z reszta zauważyłeś, że KIR oferuje je gratis)

4. Windows.
Widocznie nie ma parcia kilentów na firmy, aby dostarczały soft na inne systemy. Będzie parcie - będzie i soft.