курс цб на 19.01:
56.7597
69.2582
курс криптовалют:
11286.1 $
1023.43 $

eIDAS – новый гарант доверия к электронным транзакциям в Евросоюзе?

25 декабря 2017 14:15 Количество просмотров398 просмотров

О сути грядущих законодательных изменений на рынках стран Евросоюза рассказывает Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management. 

Для банков Европейского союза настали крайне непростые времена, связанные с практически одновременным вступлением в силу большого ряда законов и директив, которые оказывают серьезное регуляторное воздействие, в том числе и на банковский сектор. Чтобы оценить масштаб грядущих перемен, достаточно просто перечислить эти документы. Во-первых, это Вторая платежная директива (PSD2), существенно изменяющая расстановку сил на рынках платежных услуг. Во-вторых, вводимый в рамках данной директивы и обязательный для выполнения технический стандарт о строгой аутентификации при операциях дистанционного управления банковским счетом (RTS SCA). Также серьезные перемены обещают закон об электронной идентификации и доверенных услугах (eIDAS) и Единый регламент ЕС по защите данных (General Data Protection Regulation, GDPR).

eIDAS – новый закон по отношению к Директиве 1999/93/EC 1999 года, и хотя он принят в 2014 году, фактическое вступление в силу произошло в 2016 году, а отдельные положения закона будут корректироваться по мере накопления опыта практического применения. Поскольку в конце мая 2018 года вступает в силу закон о защите данных (GDPR), то в процессе применения eIDAS используемые методы защиты персональных данных, которые имеются в распоряжении операторов eIDAS, должны быть приведены в соответствие с требованиями GDPR.

В свою очередь, GDPR заменяет Директиву 95/46/EC по защите данных. Этот документ был разработан с целью согласования законов о конфиденциальности данных в Европе, для защиты и расширения прав и возможностей граждан ЕС по защите данных и изменения организации подхода к конфиденциальности данных на территории ЕС. После четырех лет подготовки и обсуждения GDPR был окончательно одобрен парламентом ЕС 14 апреля 2016 года. Он вступит в силу через 20 дней после его публикации в официальном журнале ЕС и будет непосредственно применяться во всех государствах – членах ЕС с 25 мая 2018 года, после чего всем структурам, которые не будут соблюдать его требования, грозят чувствительные штрафы. Основные моменты GDPR: пользователь имеет право запрашивать у компаний всю информацию, которую она о нем имеет, в определенном формате. Более того, пользователь имеет право потребовать удаления всех своих персональных данных из баз этих компаний. При этом, если какая-либо организация, даже не ведущая свою деятельность на территории Евросоюза, обрабатывает персональные данные граждан ЕС, то она должна выполнять требования GDPR и на нее распространяются все требования и санкции, связанные с их невыполнением. На этом фоне данный документ заслуживает отдельного внимания, а сейчас отметим лишь, что штрафы, которые может навлечь на компанию пренебрежение требованиями GDPR в случае, если оно повлекло компрометацию клиентских данных, могут исчисляться десятками миллионов евро.

Однако вернемся к eIDAS, сделав вначале небольшой исторический экскурс. В далеком 1999 году в Европейском союзе была принята Директива 1999/93/EC, которая содержала рекомендации по гармонизации электронных подписей в странах Евросоюза. Тем, кто познакомился с этим документом до 2011 года, было крайне интересно читать Федеральный закон № 63-ФЗ от 6 апреля 2011 года в силу того обстоятельства, что во многом № 63-ФЗ повторял формулировки и определения директивы Евросоюза. Правда, директивы Евросоюза по определению не являются законом, обязательным для исполнения, а рассматриваются как рекомендации, в то время как федеральный закон обязателен для исполнения. Вероятно, что в силу приверженности технологии открытых ключей ряд понятий в российском законе получил определенную отрицательную коннотацию. Так, перекочевавшее из директивы Евросоюза понятие «усиленной электронной подписи» внезапно получило название «усиленной неквалифицированной подписи» – видимо, чтобы оттенить ее недостатки по отношению к «усиленной квалифицированной электронной подписи».

Тем не менее надо признать, что данный российский закон сыграл положительную роль в жизни ИТ-сообщества в стране, способствовав появлению новых видов электронных подписей на российском рынке.

В 2014 году в Евросоюзе появился новый документ REGULATION (EU) № 910/2014, принятый 23 июля. В преамбуле документа отмечается, что данный закон заменяет Директиву1999/93/EC.

У нового (по отношению к директиве 1999 года) закона, который известен под аббревиатурой eIDAS[1], весьма длинное название: «Об электронной идентификации и доверенных сервисах для электронных транзакциях на внутреннем рынке».

Основная цель закона – обеспечить доверие к электронным транзакциям на рынке Евросоюза, что позволит увеличить эффективность частных и публичных онлайн-сервисов в регионе. Закон обеспечивает единообразное толкование электронных документов и их трансграничный характер на территории Евросоюза.

И хотя новый закон требует единого подхода к электронным документам с целью обеспечения взаимного признания документов в трансграничном режиме, он в явном виде не регулирует использование доверенных услуг в рамках корпоративных и других замкнутых систем, которые могут действовать в соответствии с местным законодательством.

В законе 6 глав:

  1. Общие положения
  2. Электронная идентификация
  • Доверенные сервисы
  1. Электронные документы
  2. Передача полномочий
  3. Окончательные отношения

Также имеются четыре приложения, в которых изложены:

  • Требования к квалифицированным сертификатам для электронной подписи
  • Требования к устройствам создания квалифицированной подписи
  • Требования к квалифицированным сертификатам для электронной печати
  • Требования к квалифицированным сертификатам для аутентификации web-сайтов

Первые четыре главы содержат собственно текст закона, пятая глава описывает процессы передачи полномочий регулирующих органов в процессе внедрения закона, а шестая глава описывает то состояние, которое будет достигнуто к моменту полного внедрения закона в жизнь.

Сравнивая директиву 1999/93/EC и новый закон Евросоюза eIDAS, можно заметить, что закон существенно разросся – количество страниц возросло более чем в три раза. В то же время закон достаточно лояльно относится к тем понятиям, которые были введены в обиход директивой 1999/93. Более того, те пользователи, которые использовали в своей бизнес-практике механизмы в соответствии с директивой 1999/93, получают возможность их дальнейшего использования в соответствии с уже действующим на сегодняшний день законом 910/2014.

Что же изменилось, и почему столь радикально возрос объем документа?

В первую очередь, поскольку речь идет о законе, текст закона всегда более сложен из-за юридической терминологии. Но и область регулирования, которая подпадает под сферу действия закона, стала намного шире.

Достаточно отметить, что если в разделе «Определения» директивы описаны 13 объектов, то в аналогичной главе закона 910/2014 таких определений насчитывается уже 41.

Так, например, в директиве речь шла об электронных подписях, которые были связаны с физическими лицами. Но электронный документооборот существует и между юридическими лицами, организациями и государственными службами. Поэтому появилась необходимость введения понятия «Электронная печать» – практически аналогичное электронной подписи определение.

Оставлены в неприкосновенности три типа электронных подписей: простая, усиленная и усиленная квалифицированная. В связи с появлением понятия доверенные сервисы их предлагается разделить на сервисы с низким, существенным и высоким уровнем доверия.

Появилось понятие зарегистрированной службы доставки электронных сообщений, которая обеспечивает прохождение электронных сообщений от одного адресата другому, обеспечивает свидетельство доставки сообщений и гарантирует невозможность потери сообщений, а также невозможность внесения каких-либо изменений в сообщение в процессе передачи.

Поскольку по своей сути новый закон является основой электронного нотариата, то предусматриваются и услуги по хранению документов и методам, исключающим подделку документов, подписанных механизмами, которые могут потерять надежность в процессе хранения.

Новый закон также вводит понятия штампа времени, который позволяет определить, в какой момент времени электронный документ был подписан, при этом должна быть использована единая европейская служба времени, и отметка времени должна быть защищена от изменений усиленной или усиленной квалифицированной подписью.

Заметим, что закон 910/2014 также требует использования квалифицированных сертификатов для подтверждения подлинности web-сайтов, предоставляющих публичные или государственные услуг, причем заверение сертификатов возможно только теми провайдерами услуг, которые соответствуют требованиям закона и прошли соответствующую аккредитацию.

В законе прямо предусмотрена обязанность провайдеров доверенных услуг обеспечивать компенсацию потерь, возникших по вине оператора доверенных услуг (в том числе и в результате непредумышленных действий провайдера). Бремя доказательства существенно зависит от статуса провайдера: провайдер квалифицированных услуг должен доказать отсутствие намерения или ошибок в своих действиях. В случае, если пользователь считает, что действия или ошибки в работе провайдера неквалифицированных услуг привели к потерям, то потребитель должен подтвердить свое утверждение. Если провайдер доверенных услуг заранее уведомил пользователя об ограничениях, которые имеют оказываемые услуги, то ответственность с поставщика услуги снимается.

На операторов доверенных услуг налагается обязанность информировать обо всех случаях нарушений безопасности, которые могут повлечь за собой нарушение системы проверки достоверности для кросс-граничных транзакций. С момента обнаружения нарушения системы безопасности провайдер услуг должен прекратить или отозвать схему проверки достоверности электронных подписей.

Работа схемы аутентификации должна быть восстановлена по возможности быстро; если это не сделано в течение 3 месяцев с момента приостановки услуг, такой провайдер должен отозвать данное решение с рынка с публикацией данной информации в официальном журнале Евросоюза.

Что же подразумевается под термином «оператор доверенных услуг»? В целом надо признать, что под этим термином в большинстве случаев скрываются старые добрые удостоверяющие центры. Именно эти организации издают электронные идентификационные документы, заверяют их электронными подписями, проверяют валидность заверенных данных, проверяя электронную подпись под идентификационными документами. Эти же организации проверяют личность лица, который желает получить электронные идентификационные документы.

Важным пунктом в законе является необходимость защиты персональных данных клиентов, которыми располагают или которые обрабатывают операторы доверенных услуг, – в этом случае закон предписывает руководствоваться директивой 46/95/EC.

Закон определяет понятие электронного документа, уравнивает в правах документы в бумажном виде и электронные документы и запрещает отказывать в приеме электронных документов только на том основании, что документ не имеет бумажной копии, в том числе и при судебных разбирательствах.

Для реализации закона предусматривается создание организаций, которые на национальном уровне осуществляют надзор как за квалифицированными, так и за неквалифицированными провайдерами доверенных услуг в плане выполнения требований, изложенных в законе, и предупреждают провайдеров в тех случаях, когда предоставляемые услуги не соответствуют законодательству. Национальные органы должны осуществлять взаимодействие с целью обмена опытом, реагирования на обоснованные жалобы национальных органов надзора членов Евросоюза и проводить совместные инспекции для проверки соответствия услуг требованиям закона.

Органы по надзору за провайдерами доверенных услуг имеют достаточно широкие полномочия, среди которых:

  • проведение аудитов соответствия провайдеров доверенных услуг или запрос к компаниям, проводящим оценку соответствия провайдеров услуг установленным требованиям;
  • взаимодействие с организациями, занимающимися защитой данных, и их информирование без задержек обо всех случаях нарушения систем безопасности провайдеров доверенных услуг, которые могли повлечь утечку персональных данных;
  • присвоение и отзыв статуса провайдера доверенных квалифицированных услуг;
  • информирование органа, ответственного за список провайдеров доверенных квалифицированных услуг, об изменении статуса провайдера;
  • проверка наличия и правильного применения списка процедур, планируемых в случае прекращения предоставления услуг провайдером доверенных услуг.

В случае нарушения системы безопасности провайдера доверенных услуг он обязан не позднее 24 часов с момента инцидента уведомить национальный орган по надзору за доверенными провайдерами, а также такие организации, как национальный совет по информационной безопасности и компании, деятельность которых основывается на использовании документов, выданных провайдером услуг.

В свою очередь, национальные органы, наблюдающие за работой провайдеров доверенных услуг, обязаны взаимодействовать с аналогичными органами других государств Евросоюза. В законе предусмотрено создание комитета, который организуется в соответствии с внутренними процедурами Евросоюза для координации взаимодействия национальных органов надзора за провайдерами доверенных услуг. Этот же комитет наделяется полномочиями предлагать внесение изменений в текст закона на основе анализа результатов, полученных в процессе внедрения закона в повседневную бизнес-практику.

В целом можно сказать, что закон позволит существенно расширить область применения электронных документов на рынке Евросоюза и создаст возможность для существенно более широкого использования онлайн-сервисов.

[1] eIDAS Regulation   (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC).




В рубриках:
Форум экспертов
Форум экспертов
50-рублевые банкноты – слухи об их смерти явно преувеличены
На платежном рынке России одним из главных событий уходящего года стал ввод в обращение новых купюр номиналом 200 и 2000 рублей. В декабре 2017 г. ряд СМИ активно обсуждал информацию о выводе из оборота 50-рублевых купюр через пять лет в связи с политикой ЦБ по сокращению наличного денежного оборота в стране. Эксперт-консультант, партнер компании Currency Research (США), член Международной ассоциации IACA Виктор Ионов считает подобные тезисы и столь долгосрочный прогноз довольно наивными. Об этом он рассказал порталу PLUSworld.ru.
29 декабря 2017 13:04
eIDAS – новый гарант доверия к электронным транзакциям в Евросоюзе?
О сути грядущих законодательных изменений на рынках стран Евросоюза рассказывает Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management. 
25 декабря 2017 14:15
Робоэдвайзерам есть чему поучиться у автомобильной промышленности
«Количество роботов превысит количество людей на планете Земля к 2035 году», – таким прогнозом поделились с индустрией эксперты на форуме инновационных финансовых технологий «Финополис-2017» в Сочи. В современном мире машины становятся неотъемлемой частью нашей жизни, и все большее значение они приобретают и в сфере финансовых услуг. Так, робоэдвайзеры (роботы-консультанты) играют важную роль в управлении активами, помогая инвесторам осваивать цифровую торговлю за счет использования автоматизированных решений. Однако насколько успешными в реальной жизни окажутся гибридные решения, пока не ясно. Финтех-индустрии стоит обратить внимание на уроки из опыта автомобильной промышленности, чтобы избежать ошибок, которые могут замедлить технологический прогресс, считает Игорь Домброван, директор отдела институциональных продаж, Saxo Bank. 
22 декабря 2017 14:25
Лента новостей
Форум экспертов
Мероприятия SiGMA 2017: Итоги
18 января 2018 13:41
Количество просмотров 114 просмотров
Криптовалюты Биткоин резко упал в цене 
11 января 2018 13:59
Количество просмотров 424 просмотра