Home
Skip to main content eIDAS szerinti minősített bizalmi szolgáltató

Az elektronikus archiválásra vonatkozó jogszabályi követelmények

Az elektronikus dokumentumok archiválásának szabályait a digitális archiválásról szóló 1/2018. (VI. 29.) ITM rendelet határozza meg. E rendelet nem kizárólag az elektronikusan aláírt dokumentumokra, hanem általában az elektronikus információ hiteles megőrzésére vonatkozik.

1/2018. (VI. 29.) ITM rendelet:
3. § (1) A megőrzésre kötelezett a megőrzési kötelezettség lejártáig folyamatosan köteles biztosítani, hogy az elektronikus dokumentum megőrzése olyan módon történjen, amely védi az elektronikus dokumentumot a törlés, a megsemmisítés, a véletlen megsemmisülés, az utólagos módosítás és sérülés, valamint a jogosulatlan hozzáférés ellen.

  Az elektronikus archiválásról szeretne olvasni?

 

A rendelet nemcsak követelményeket határoz meg, hanem azt is leírja, hogy e követelményeket hogyan lehet teljesíteni. A rendelet szerint ha valaki elektronikus információt hitelesen szeretne megőrizni a következő módszerek valamelyikét kell alkalmaznia:

  1. Az információn legalább fokozott biztonságú elektronikus aláírást és minősített időbélyeget helyez el. E fogalmakat az eIDAS rendelet definiálja. Ekkor kriptográfiai módszerekkel biztosítja az információ hitelességét, így az információ hitelességét annak szerkezete biztosítja, attól függetlenül, hogy az információt hol és milyen eszközökkel őrzik.
  2. A 7. § szerint elektronikus számla dokumentum megőrzésére is lehetőség van. Ehhez a NAV által előírt hash algoritmus segítségével előállított értéket kell a hozzá tartozó elektronikus számlával a állami adó- és vámhatósághoz elküldeni. Visszaigazolás esetén az elektronikus számla dokumentumot és a korábban kiszámolt hash értéket kell megőrizni.
  3. Olyan zárt rendszert alkalmaz, amelyre egy akkreditált tanúsító szervezet igazolja, hogy megfelel a rendeletben szereplő követelményeknek. Ekkor a zárt rendszer biztosítja a hitelességet, de a rendszer csak addig igazol hitelességet, amíg az valóban zárt.
  4. Elektronikus adatcsere (EDI, electronic data interchange) rendszert alkalmaz; ezzel a jogszabály egy speciális zárt rendszert nevesít.

 

A továbbiakban arról a lehetőségről írunk, ha valaki legalább fokozott biztonságú elektronikus aláírást és minősített időbélyeggel kívánja biztosítani az archivált dokumentumok hitelességét.

 

  Az elektronikus aláírásról szeretne olvasni?
  Az időbélyegzésről szeretne olvasni?

 

Az elektronikus aláírás természetesen csak az észrevétlen utólagos módosítást zárja ki, nem biztosítja azt, hogy a dokumentum nem sérül vagy semmisül meg. Aki ezt a megoldást választja, annak továbbra is meg kell őriznie a dokumentumot, de jelentősen egyszerűbb és olcsóbb hozzáférés-védelmi megoldásokat alkalmazhat, mintha a megőrzésre használt környezettel próbálná igazolni, hogy a dokumentumot nem módosították.

Aki legalább fokozott biztonságú elektronikus aláírással és minősített időbélyeggel ellátva szeretné biztosítani rendelet 3 § (1) pontjában leírt követelményeket, annak a következőképpen kell eljárnia:

    1. Ha még nincs aláírva a dokumentum, neki kell aláírást elhelyeznie rajta.
    2. Ellenőriznie kell az aláírást, és ha még nincs időbélyegezve a dokumentum, neki kell időbélyeget elhelyeznie rajta. 
    3. Megjegyzés: 
Ha valaki egy XAdES-T aláírással ellátott dokumentumot akar archiválni, akkor e fenti lépéseket nem kell elvégeznie.

A jogszabály alapvetően az aláírás műszaki érvényességének megőrzését írja elő. Ugyanakkor, a jogszabályi követelmények néhol eltérnek a műszaki szempontoktól.

  • A jogszabály külön nem emeli ki az időbélyegzés szolgáltatói magánkulcsok kompromittálódását, vagy az időbélyegzés szolgáltatói tanúsítványok lejártát, holott ezek is indokolják, ha ismételt időbélyeget kell elhelyezni egy aláíráson.
  • Egy időbélyegzés szolgáltató tanúsítványa nem feltétlenül érvényes x évig. Így előfordulhat, hogy az időbélyegzés szolgáltató tanúsítványa lejár, és így műszakilag már nem lehet igazolni egy aláírás érvényességét.
  • Az EÜT. értelmében a bizalmi szolgáltató a tanúsítvány lejártától számított 10 évig őrzi meg, hogy az adott tanúsítvány kihez tartozik, illetve az adott tanúsítvány mikor került visszavonásra. Ez azt jelenti, a bizalmi szolgáltatótól ennyi ideig még biztosan beszerezhetőek az aláírás időpontjára vonatkozó visszavonási információk.

  •   Kíváncsi rá, mitől válhat ellenőrizhetetlenné egy korábban érvényes aláírás?

     

    A rendelet szerint a megőrzésre kötelezett maga is elvégezheti a fenti műveleteket, de minősített archiválás szolgáltatót is megbízhat vele. A kettő között az jelenti a fő különbséget, hogy ha minősített archiválás szolgáltató archivál egy dokumentumot, akkor az eIDAS szerint vélelmezni kell, hogy "jól" végzi az archiválást, és felel azért, hogy az archiválást jó végezze. Ezzel szemben, ha valaki saját maga végzi az archiválást, akkor neki kell bizonyítani, hogy megfelelően jár el (pl. megfelelően helyezi el az időbélyeget), és ő maga felel minden ebből eredő kárért.