Az elektronikus archiválásra vonatkozó jogszabályi követelmények
Az elektronikus dokumentumok archiválásának szabályait a digitális archiválásról szóló 114/2007. GKM rendelet határozza meg. E rendelet nem kizárólag az elektronikusan aláírt dokumentumokra, hanem általában az elektronikus információ hiteles megőrzésére vonatkozik.

114/2005. GKM r.:
2. § (1) A megőrzésre kötelezett a megőrzési kötelezettség lejártáig folyamatosan köteles biztosítani, hogy az elektronikus dokumentumok megőrzése olyan módon történjen, amely kizárja az utólagos módosítás lehetőségét, valamint védi az elektronikus dokumentumokat a törlés, a megsemmisítés, a véletlen megsemmisülés és sérülés, illetve a jogosulatlan hozzáférés ellen.

  Az elektronikus archiválásról szeretne olvasni?

 

A rendelet nemcsak követelményeket határoz meg, hanem azt is leírja, hogy e követelményeket hogyan lehet teljesíteni. A rendelet szerint ha valaki elektronikus információt hitelesen szeretne megőrizni a következő módszerek valamelyikét kell alkalmaznia:

  1. Az információn legalább fokozott biztonságú elektronikus aláírást és minősített időbélyeget helyez el. E fogalmakat az elektronikus aláírásról szóló 2001. évi XXXV. törvény (Eat.) definiálja. Ekkor kriptográfiai módszerekkel biztosítja az információ hitelességét, így az információ hitelességét annak szerkezet biztosítja, attól függetlenül, hogy az információt hol és milyen eszközökkel őrzik.
  2. Olyan zárt rendszert alkalmaz, amelyre egy akkreditált tanúsító szervezet igazolja, hogy megfelel a rendeletben szereplő követelményeknek. Ekkor a zárt rendszer biztosítja a hitelességet, de a rendszer csak addig igazol hitelességet, amíg az valóban zárt.
  3. Elektronikus adatcsere (EDI, electronic data interchange) rendszert alkalmaz; ezzel a jogszabály egy speciális zárt rendszert nevesít.

 

A továbbiakban arról a lehetőségről írunk, ha valaki legalább fokozott biztonságú elektronikus aláírást és minősített időbélyeggel kívánja biztosítani az archivált dokumentumok hitelességét.

 

  Az elektronikus aláírásról szeretne olvasni?
  Az időbélyegzésről szeretne olvasni?

 

Az elektronikus aláírás természetesen csak az észrevétlen utólagos módosítást zárja ki, nem biztosítja azt, hogy a dokumentum nem sérül vagy semmisül meg. Aki ezt a megoldást választja, annak továbbra is meg kell őriznie a dokumentumot, de jelentősen egyszerűbb és olcsóbb hozzáférés-védelmi megoldásokat alkalmazhat, mintha a megőrzésre használt környezettel próbálná igazolni, hogy a dokumentumot nem módosították.

Aki legalább fokozott biztonságú elektronikus aláírással és minősített időbélyeggel ellátva szeretné biztosítani rendelet 2 § (1) pontjában leírt követelményeket, annak a következőképpen kell eljárnia:

    1. Ha még nincs aláírva a dokumentum, neki kell aláírást elhelyeznie rajta.
    2. Ellenőriznie kell az aláírást, és ha még nincs időbélyegezve a dokumentum, neki kell időbélyeget elhelyeznie rajta. 
    3. Megjegyzés: 
Ha valaki egy XAdES-T
       
aláírással ellátott dokumentumot akar archiválni, akkor e fenti lépéseket nem kell elvégeznie.
  1. Ha a megőrzési kötelezettség időtartama hosszabb, mint 11 év, akkor a fentieken túl:
    1. Be kell szereznie minden olyan információt, amely az aláírás érvényességét igazolja.
    2. Minősített időbélyeget kell elhelyeznie a fenti adatokon.
    3. Újabb minősített időbélyeget kell elhelyeznie, ha az előző pontban szereplő időbélyeg az "Eat. szabályai szerint" (azaz a Nemzeti Hírközlési Hatóság határozata szerint) már nem biztonságos.

 

A jogszabály alapvetően az aláírás műszaki érvényességének megőrzését írja elő. Ugyanakkor, a jogszabályi követelmények néhol eltérnek a műszaki szempontoktól.

 

 


  Kíváncsi rá, mitől válhat ellenőrizhetetlenné egy korábban érvényes aláírás?

 

A rendelet szerint a megőrzésre kötelezett maga is elvégezheti a fenti műveleteket, de minősített archiválás szolgáltatót is megbízhat vele. A kettő között az jelenti a fő különbséget, hogy ha minősített archiválás szolgáltató archivál egy dokumentumot, akkor az Eat. szerint vélelmezni kell, hogy "jól" végzi az archiválást, és felel azért, hogy az archiválást jó végezze. Ezzel szemben, ha valaki saját maga végzi az archiválást, akkor neki kell bizonyítani, hogy megfelelően jár el (pl. megfelelően helyezi el az időbélyeget), és ő maga felel minden ebből eredő kárért.