Na rozdíl od listinných dokumentů, kde se mohou o pravost podpisu spořit strany i soudní znalci, je dokument s elektronickým podpisem ze zákona pravý „nad veškerou pochybnost“. To je právní princip, který působí ve prospěch těch, kdo přešli z listinných archivů na elektronické. Platí ale jen za určitých podmínek. Po nedávné novele zákona o elektronickém podpisu lze tyto podmínky jednoduše shrnout jako respektování norem ETSI.
Udržet čitelnost a nezpochybnitelnost po neomezenou dobu
Nedávno jsme čtenáře CFO Worldu upozornili, že od poloviny letošního roku, kdy vstoupila v účinnost novela zákona o elektronickém podpisu (227/2000 Sb.), je možné jasně určit, které formáty elektronického podpisu jsou správné a u kterých je záruka, že úřady budou dokumenty jimi opatřené akceptovat. Vysvětlili jsme, že nestačí jen připojení uznávaného elektronického podpisu (kvalifikovaného certifikátu), ale že jde i o to, jakým způsobem je podpis k dokumentu připojen (způsob šifrování, parametry zahrnuté do výpočtu kontrolního součtu a další technikálie). Další související informace lze nalézt zde.
Uvedli jsme, že zákon nově počítá s tzv. referenčními formáty elektronického podpisu, které jsou označovány zkratkami PAdES (podepisování PDF), XAdES (podepisování XML dat) a CAdES (podepisování libovolného formátu). Tyto referenční formáty vznikly na půdě Evropského institutu pro telekomunikační standardy (ETSI) po diskusi s obdobnou americkou organizací a podle rozhodnutí Evropské komise je mají začít respektovat všechny členské státy. České úřady jsou tak povinny vytvářet a archivovat dokumenty elektronicky s podpisy podle PAdES, XAdES, CAdES, komerční subjekty mají na výběr mezi tímto formátem a papírem. Protože jsme v textu slíbili, že vysvětlíme, jak je technicky možné, aby si elektronický dokument udržel čitelnost a nezpochybnitelnost po neomezenou dobu, vracíme se k tématu znovu.
Spolehlivé dokumenty v nespolehlivé budoucnosti
Nejprve připomenutí, v čem je problém. Většina finančních ředitelů asi ví, že některé dokumenty související s důchodovým zabezpečením zaměstnanců musí být uchovávány po dobu minimálně třiceti let. Téměř jistě také ví, že třeba u účetních dokladů je doba povinné archivace alespoň deset let.
V této souvislosti stačí připomenout, jak rychle se počítačové technologie vyvíjejí. Před třiceti lety byly nejmodernějším zařízením počítače Atari, „pécéčka“ existovala jen v hlavách vizionářů, notebooky ani tam, o tabletech nemluvě. A jak se změní technologie do roku 2042? Dokonce i rozmáchlá vize společnosti Cisco, která předpokládá, že počítače budou nahrazeny malými zařízeními implantovanými do hlav uživatelů, sahá jen do roku 2030. Takže otázka, jak si může elektronický dokument udržet svou spolehlivost i v takto nejistém prostředí, je na místě.
Má-li být dokument dobře prakticky použitelný, je zapotřebí zajistit následující atributy (jak ukážeme níže, lze jich snadno dosáhnout respektováním norem) s respektováním standardů, které mají ambice zajistit jejich dodržování:
Čitelnost. Auditor, který přijde v roce 2041 s dnes neznámým zařízením, musí být schopen si do tohoto zařízení stáhnout dokument, a okamžitě jej otevřít. Jak obtížné to může být, si uvědomíme při pohledu na soubory v historických formátech na pětipalcových disketách nebo dokonce magnetických páscích.
Nezpochybnitelnost. Žádný budoucí hacker nesmí být schopen vytvořit takovou napodobeninu dokumentu, který by mohla vést k pochybnosti, které dokumenty jsou pravé a které nikoliv. Jen tak může být zachována jedna z klíčových výhod elektronického originálu dokumentů – pravost „nade vší pochybnost“. „Jde o to, aby pravost dokumentu byla tak jednoznačná, že vůbec nevznikne prostor pro zpochybnění, a aby si tuto pravost mohl snadno ověřit běžný uživatel. Dokument je přece k tomu, aby jej vlastník mohl předložit a prokázat svůj nárok nebo svoje stanovisko. To by mělo být otázkou několika minut, aniž by vznikl prostor pro zdlouhavé spory,“ vysvětluje expert společnosti Software602 Martin Vondrouš.
Samostatná existence. Čitelnost ani nezpochybnitelnost dokumentu nesmí záviset na žádné správě úložiště, certifikační autoritě ani žádné jiné instituci, která může v příštích desetiletích zaniknout.
Kromě toho je samozřejmě zapotřebí neustále hlídat soulad s legislativou. Martin Vondrouš ze Software602 k tomu uvádí, že „současná situace je výhodná v tom, že legislativa vyžaduje normy ETSI, které předepisují přesně to, co je z hlediska práce s dokumentem prozíravé a praktické. Každý krok má svou logiku.“ Tedy žádné zbytečné úkony jen proto, že by je vyžadoval předpis.
Pravé bohatství se skrývá uvnitř
Jak Martin Vondrouš vysvětluje, základní princip lze shrnout slovy, že všechno podstatné je uvnitř dokumentu nebo je k němu připojeno. To znamená, že příjemce dokumentu dostává zároveň veškeré informace potřebné pro rozlišení, zda se jedná o pravý dokument nebo nikoliv a také pro provedení kontroly, zda v dokumentu nebyly provedeny změny. Jestliže je všechno podstatné uvnitř, dokument se nepotřebuje odvolávat na žádná vnější fakta a nemůže být ani zpochybněn žádnou vnější událostí.
Tentýž princip, tedy všechno podstatné uvnitř, zajišťuje i čitelnost. S tím rozdílem, že přesná pravidla nejsou definována normami ETSI, ale ISO normami vymezujícími speciální archivační formát PDF/A. Nejsou žádné odkazy na fonty nebo obrázky mimo dokument. Žádné šifrování (vyžadovalo by zadat heslo, které nemůže být součástí dokumentu). Podle experta Software602 je v současné době k dispozici více verzí formátu PDF/A, nicméně tento klíčový princip platí pro všechny. A každá z verzí zajišťuje bezproblémovou čitelnost dokumentu ve všech budoucích softwarech.
Ale zpět k ověřitelnosti, tedy k normám ETSI a formátům PAdES, XAdES a CAdES. Postup, který z jejich aplikace vyplývá, lze stručně popsat takto:
* než je dokument uložen do archivu, musí proběhnout ověření platnosti připojených elektronických podpisů. To zahrnuje záležitosti jako kontrolu neporušenosti kontrolního otisku dokumentu či kontrolu, zda použitý certifikát není uveden na CRL (listina zneplatněných certifikátů) příslušné certifikační autority nebo zda nevypršela jeho platnost (po vypršení platnosti není možné ověřit pravost dokumentu).
* Protokol o ověření, zmíněná CRL listina a další informace potřebné k ověření pravosti jsou připojeny k dokumentu nebo do něj vloženy.
* K dokumentu je připojen elektronický podpis a časové razítko takovým způsobem, aby kontrolní otisk chránil nejen vlastní dokument, ale i uvedené doplňující informace.
* Poté je zapotřebí pečovat o digitální kontinuitu dokumentu, to znamená připojit nové časové razítko vždy dříve, než vyprší platnost předchozího, a připojit informace potřebné pro pozdější ověření pravosti.
„Díky tomu je dokument neustále opatřen časovým razítkem s nejsilnější možnou metodou šifrování,“ říká již citovaný Martin Vondrouš ze Software602. To znamená, že pokud bude kupříkladu v roce 2025 prolomena šifra z roku 2012 a vznikne technická možnost zpětně upravit dokument, ty správně ošetřené budou opatřeny časovým razítkem z roku 2020 nebo pozdějším. Jejich pravost bude nadále nezpochybnitelná.
Ignorujte detaily, ale hlídejte soulad s normami
Tento výklad neznamená, že by se měl finanční ředitel zajímat o otázky šifrování či výpočtu kontrolního součtu elektronického podpisu. Měl by si však být jistý, že podpisy a časová razítka na dokumentech uložených ve firemním archivu odpovídají PAdES, CAdES nebo XAdES. To je něco, co není možné nechat na IT expertech ani na dodavatelích ujišťujících, že „je to určitě v pořádku“. Nikdo se nechce dostat do situace, že by se až při finanční kontrole ukázalo, že archiv účetních dokladů může být snadno zpochybněn.
Na závěr této části se ještě dotkneme „druhé možnosti“. V některých organizacích se totiž můžeme setkat s archivačními systémy, které hodnověrnost dokumentů odvozují od toho, že hardwarové nebo softwarové zařízení brání provádět v uložených dokumentech změny a vytváří záznamy o tom, kdy byl který dokument uložen. Z technologického hlediska je takové řešení zcela v pořádku. Z finančního, právního a praktického hlediska se ovšem rýsuje problém.
Nezáleží na tom, kde dokument leží, ale jaký je
„Pokud bychom chtěli dokumenty používat jen interně, vlastně bychom takové komplikované řešení ani nepotřebovali. Stačilo by ukládat dokumenty na sdílený disk a požádat IT, aby je znemožnilo mazat a provádět změny,“ říká výkonný ředitel Software602 Jan Petr, který je ve firmě odpovědný i za finanční řízení a schvalovací procesy. „A tam, kde dokumenty potřebujeme předložit úřadům, můžeme zase narazit na problém, jestli budou potvrzení o pravosti vydaná naším vlastním systémem akceptována. Kromě toho by to pro nás znamenalo, že se stáváme závislými na jediném systému, a s případnou výměnou či změnou přijdeme o veškeré doklady.“ V zásadě stejný problém existuje i tam, kde o dokumenty pečuje nějaké nezávislé centrum. I kdyby jej dnes úřady respektovaly, budou jej respektovat ještě za dvacet let? A bude takové centrum ještě vůbec existovat?
„Podstatné není, kde je dokument uložen, ale v jakém je stavu,“ shrnuje to Martin Vondrouš. „Je kontrolní součet neporušený? Jedná se vůbec o PAdESový podpis? To jsou důležité otázky. Určitě bych nikomu nedoporučoval, by se spoléhal na logy nebo jiné záznamy informačního systému.“
Pro finančního ředitele z toho vyplývají dvě důležitá sdělení.
Za prvé. Od července 2012 můžete archivovat pouze elektronicky.
Za druhé. Musíte si ale zkontrolovat, jestli se jedná o správné verze referenčních formátů.
Ale ani tam, kde už nainstalovali systém, který normy ETSI nerespektuje, není nic ztraceno a nejspíš nebude zapotřebí jej měnit. Jak ukážeme příště, může být jeho přizpůsobení relativně nenáročné. Stejně tak může být relativně nenáročné přizpůsobení ERP nebo jiného informačního systému tak, aby doklady byly vytvářeny a uchovávány přímo v něm.
