E 'possibile dare valore legale ai servizi web firmati?

1

Il contesto utilizza servizi web firmati digitalmente (con XML-DSIG ad esempio) per l'interoperabilità di e-government tra database.

L'idea è di dare l'approvazione sia all'editore di dati che al consumatore di dati: l'editore di dati riceve richieste firmate, che garantiscono l'identità del consumatore, l'autenticità della richiesta e vietano il ripudio. Lo stesso accade con la risposta ricevuta dal consumatore di dati.

Il problema è: chi sta firmando il webservice e con quale valore legale? Nel mio paese, solo le persone "naturali" ricevono un valore legale quando firmano digitalmente e in base al principio di poter leggere il documento prima di firmarlo. Ma ovviamente una persona "naturale" non è in grado di elaborare e firmare ogni richiesta, quindi questa persona deve delegare la firma al server, con il rischio di furto di identità che implica.

In questo contesto, pensi che questa firma digitale possa avere valore legale? Pensi che un responsabile del governo accetterà delegare la sua firma digitale a un server? E il più importante: quale schema alternativo consigli?

    
posta Sylvain Lesage 05.04.2016 - 16:18
fonte

1 risposta

1

Lavoriamo in questo dominio da un po 'di tempo. Come hai già detto, c'è una differenza tra la firma tecnica (quindi i sistemi / database possono contare sull'integrità dei dati è garantita) e il valore legale dei dati stessi, dove (secondo il quadro legale) legalmente può firmare solo un 'naturale' persona.

Ogni stato effettivamente "convalida" i propri cittadini e assicura la loro identità (emettendo i loro documenti di identità, passaporto, certificati di autenticazione e firma). È possibile che sia emesso un certificato di applicazione, ma non hanno alcun valore di firma legale. La maggior parte dei paesi adotta questo principio.

Spesso esiste un accordo reciproco tra le organizzazioni per fidarsi dei dati firmati dalle applicazioni al di fuori del campo di applicazione del quadro legale. Vedo molte iniziative per automatizzare la firma (mi piacerebbe sostenermi), ma - come ha detto WoJ - l'applicazione non può prendere le proprie decisioni e non può assumersi alcuna responsabilità legale.

Ho visto un sistema in cui la persona responsabile firma un batch (l'intero elenco dei documenti digeriti) senza avere effettivamente il tempo di leggere tutti i documenti. In questo caso viene utilizzato un modulo di sicurezza hardware. Ancora: è la persona che si assume legalmente la responsabilità, quindi firma i documenti.

    
risposta data 06.04.2016 - 00:11
fonte

Leggi altre domande sui tag