Mégis, kinek a felelőssége?

Gondolatok az elektronikus aláírás és a felelősség vállalása körül

 

Erdősi Péter, Magyar Posta Rt. e-mail: Erdosi.Peter@posta.hu

 

Bevezetés

Az elektronikus aláírás tömeges elterjedése még mindig várat magára. Több lehetséges oka közül most egyet, a felelősségvállalás mikéntjét boncolgatja ez a cikk. A szolgáltató, az aláíró és az ellenőrző (fogadó) fél felelősségét és kártérítési kötelezettségeit a szabályozások természetes módon tartalmazzák, azonban az alkalmazhatóság problematikusnak tűnik. A cikk erre a problémakörre vonatkozó megfontolásokat és a szolgáltatókról szóló információkat taglal és jár körbe.

A szereplők és eszközeik

Az esemény legfontosabb szereplői nyilvánvaló módon az elektronikus aláírás elkészítője és az aláírás ellenőrzője lesz. Vitás kérdésekben lehet fordulni a szolgáltató felé, aki viszont saját jól felfogott érdekében akkor vállal csak bármilyen felelősséget, ha az minden kétséget kizáróan felróható neki. Magyarországon egyetlen szolgáltatónál sem jött létre a PKI (Public Key Infrastructure) környezetben ismert Arbitrator/Döntőbíró, aki a szolgáltató és az érintett ügyfelek közötti problémás ügyekben állást foglal, így bármilyen ügy a bíróságokon köt ki. Nézzük meg, mikor lehet erről szó.

Az aláírás készítője a saját környezetében elkészíti az adott dokumentumhoz tartozó elektronikus aláírást a megadott tanúsítványban szereplő kulcs titkos párjának használatával, majd elpostázza azt a dokumentummal együtt a fogadó fél számára. A fogadó a saját környezetében újra ellenőrzi azt úgy, hogy megnézi, hogy érvényes-e az aláíró aláírása, és az aláírással is minden rendben van-e. Ha nincs, figyelmeztető üzenetet küld a felhasználó számára. Kérdés, hogy ezt az üzenetet milyen erősen fogadja el a bíróság bizonyítékként?

Szakmai körökben számos olyan módszer ismert, mellyel egy elektronikus aláírás érvényességét meg lehet változtatni, ha ezt a környezet biztonsága - illetve biztonsági hiányosságai - lehetővé teszik.

Fontos megemlíteni a felhasználói magatartást is. Aláírt web-oldalak elolvasásához például le kell töltenünk az aláíró kulcsot kibocsátó szolgáltató tanúsítványát, és a feljövő kérdésre "Biztonságosnak elfogadja-e ezt a tanúsítványt?" ha igen választ adunk, akkor megnézhetjük az oldalt, ha tagadólag válaszolunk, akkor nem nézhetjük meg az oldalt. Ha elfogadjuk biztonságosnak az adott szolgáltató tanúsítványát, és ez beépül a böngészőnkbe, akkor az összes általa kibocsátott tanúsítványt is biztonságosnak fogadtuk el.

Sokat számít mind az aláíró, mind a fogadó fél környezetének informatikai biztonsága. Ha a fogadó nem tett meg mindent az aláírás érvényességének megállapítására (pl. off-line módon nem nézi meg a CRL-t (certificate Revocation List - amiben az adott szolgáltató teszi közzé a már nem érvényes (általában a visszavont és felfüggesztett) tanúsítványait), akkor a felelősségben tovább nem mutogathat, el kell vinnie a balhét. Hasonlóképpen akkor sem lehet a szolgáltatókra mutogatni, ha például egy PKI-specifikus vírus vagy trójai látens módon rátelepül a gépünkre és megakadályozza az érvényesség kiderítését.

Akkor hát mennyi felelősséget vállalnak a szolgáltatóink? A magyarországi szolgáltatók felelősségvállalásait a tanúsítvány-típusaik, és a hozzájuk kapcsolódó regisztrációs folyamatok mentén járjuk körbe. A félig nyilvánosnak számító Microsec Kft. által nyújtott szolgáltatás bemutatását mellőzzük.

NetLock Informatikai és Hálózatbiztonsági Korlátolt Felelősségű Társaság

Korát tekintve a Netlock a legrégebbi motoros ezen a pályán, hiszen már több mint öt éve, elsőként kezdte meg tanúsítványok szolgáltatását Magyarországon. Szolgáltatását informatikai biztonsági szempontokból megbízható módon és helyen nyújtja. A HíF 2001. október 20-tól nyilvánította "fokozott biztonságú szolgáltatóvá" - azaz vette lajstromba, és 2003. március 18-tól az első magyarországi minősített hitelesítés-szolgáltatót is benne tisztelhetjük.

A Netlock a törvény által felsorolt mindhárom szolgáltatás végzésére (tanúsítvány-kiadás, időbélyegzés és privát kulcs elhelyezés) bejegyeztette magát. Ez tehát azt jelenti, hogy regisztrációs és hitelesítő funkciót végez, amely közben négy hitelesítési osztályban ad ki tanúsítványokat - de valójában csak három az, ami tényleges kötelezettség-vállalás igazolására használható közülük. A szolgáltatások nyújtásának módjaiban a cég rugalmas, támogatja a csak tanúsítványt kérőket is, de lehetővé teszi, hogy nála virtuális szolgáltatót hozzon létre más cég saját használatra, melynek csupán a rendelkezésre állását biztosítja, az adminisztrációs feladatok a megrendelő cégre áthárítódnak. Valamint a láncolt CA-tanúsítvány lehetővé teszi bármely vállalati CA bekapcsolását a Netlock által felülhitelesítettek körébe.

Teszt osztályú tanúsítványok

A teszt tanúsítvány a hálózatbiztonsági szolgáltatások tesztelési céljaira kiadott tanúsítvány. A teszt szinten a hitelesítés szolgáltató nem végez és nem vesz igénybe entitás-azonosító szolgáltatásokat. A teszt tanúsítvány csak a megadott elektronikus cím létezését biztosítja az érintett felek számára, semmi többet. Érvényességi időtartama 1 hónap, igénylése on-line módon történik. Felelősséget erre a Netlock nem vállal.

"C" osztályú tanúsítványok

A "C" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát korlátozott, részben emberi beavatkozással történt ellenőrzési lépéseken keresztül azonosította a hitelesítés szolgáltató. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a kft. Felelősséget 50.000 Ft-ig vállal ezen típusú tanúsítványokra.

A C-osztályú tanúsítványok kiadását az alábbiak ellenőrzése előzi meg:

Ellenőrzés

C osztály

Személyek azonosításához

"B" osztályban regisztrált 2 tanú

Postacím, telefonszám létezése

Személyi igazolvány másolata

Adóigazolvány bemutatása

Közüzemi számlák másolata

Szervezetek azonosításához

Nyilvános cégnyilvántartási adatok

Postacím, telefonszám létezése

Szerverek azonosításához

Saját domain név

Nyilvános kulcs ellenőrzése

Kérelem elektronikus aláírása

Jogosultság ellenőrzéséhez

Igénylő felhatalmazása

Funkció ellenőrzéséhez

Nyilatkozat a funkció ellátásáról

"B" osztályú tanúsítványok

A "B" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorúbb ellenőrzési lépések során azonosította a hitelesítés szolgáltató. Használata elektronikus levelezéshez, közepes kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a cég. Felelősséget 500.000 Ft-ig vállal ezen típusú tanúsítványokra.

A B-osztályú tanúsítványok kiadását az alábbiak ellenőrzése előzi meg:

Ellenőrzés

B osztály

Személyek azonosításához

Személyi igazolvány, útlevél bemutatása

Postai adategyeztető lap

Adóigazolvány bemutatása

Közüzemi számlák

Szervezetek azonosításához

 

Cégbíróság, APEH okmányok

Kamarai adategyeztető lap

Szerverek azonosításához

Saját domain név

Nyilvános kulcs ellenőrzése

Kérelem elektronikus aláírása

Jogosultság ellenőrzéséhez

Igénylő felhatalmazása

Funkció ellenőrzéséhez

Funkció írásos megerősítése

 

"A" osztályú tanúsítványok

Az "A" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a hitelesítés szolgáltató. Használata nagy értékű tranzakcióknál, pénzügyi utasítások és információk ellenőrzésénél, szerződéskötéseknél ajánlott a Netlock szerint. Felelősséget 5.000.000 Ft-ig vállal ezen típusú tanúsítványokra.

Az A-osztályú tanúsítványok kiadását az alábbiak ellenőrzése előzi meg:

Ellenőrzés

A osztály

Személyek azonosításához

Közjegyzői nyilatkozat

Szervezetek azonosításához

Közjegyzői nyilatkozat

Szerverek azonosításához

Saját domain név

Nyilvános kulcs ellenőrzése

 

Kérelem elektronikus aláírása

Jogosultság ellenőrzéséhez

Közjegyzői nyilatkozat

Funkció ellenőrzéséhez

Közjegyzői nyilatkozat

 

Tanúsítványtípusok

Az "A", "B" és "C" osztályokban a következő tanúsítványtípusokba tartozó tanúsítványok kiadását végzi a Netlock:

Személyes aláíró és titkosító tanúsítványok

Személyes tanúsítványokat természetes személy igényelhet a saját nevében.

Meghatalmazásos aláíró és titkosító tanúsítványok

Meghatalmazásos (névjegykártyás) tanúsítványokat természetes személy igényelhet egy adott szervezet tagjaként. A szervezet - többek között - lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány. A tanúsítványban szerepel a személy szervezetben betöltött funkciója is.

Szervezet aláíró és titkosító tanúsítványok

Szervezet tanúsítványokat szervezet vagy annak szervezeti egysége igényelhet saját nevében. A szervezet - többek között - lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány.

Szerver tanúsítvány

Szerver tanúsítványt Internet címmel (ún. host névvel) rendelkező, szervert üzemeltető természetes személy vagy szervezet igényelhet.

WAP Gateway tanúsítvány

WAP Gateway tanúsítványt WAP Gateway eszközt üzemeltető természetes személy vagy szervezet igényelhet.

VPN tanúsítvány

VPN tanúsítványt VPN eszközt üzemeltető természetes személy vagy szervezet igényelhet.

Láncolt Hitelesítés Szolgáltató tanúsítvány

Egy adott szervezet számára, a szervezet alkalmazottai számára történő tanúsítvány-kibocsátást lehetővé tevő tanúsítvány.

Az árlista a http://www.netlock.net-en közzétett információkon alapul. A cikk készítésekor (2003. március 31.) a minősített tanúsítványok árai még nem voltak fellelhetők a homlapon.

 

 

Expressz(Class C)

Üzleti(Class B)

Közjegyzői(Class A)

Személyes

400 Ft/hó

650 Ft/hó

750 Ft/hó

Névjegykártyás

800 Ft/hó

1300 Ft/hó

1500 Ft/hó

Névjegykártyás csomag (5 db)

2400 Ft/hó

3900 Ft/hó

4500 Ft/hó

Szervezeti

800 Ft/hó

1300 Ft/hó

1500 Ft/hó

SSL-Szerver

1600 Ft/hó

2600 Ft/hó

3000 Ft/hó

Láncolt CA

Egyedi elbírálás

Egyedi elbírálás

Egyedi elbírálás

 

Magyar Távközlési Részvénytársaság

A MATÁV Rt. hosszasan készülődött a hitelesítés-szolgáltatási tevékenysége megkezdésére, amíg eldöntötte, hogy anyavállalata, a Deutsche Telecom eszközeit és know-how-ját adaptálja a magyarországi viszonyokra. A szolgáltatás értékesítését e-Szignó néven kezdte meg, a HiF 2001. december 21-i regisztrációját követően. A törvényben meghatározott szolgáltatások közül csak kettőt nyújt, időbélyegzéssel nem foglalkozik - a cikk írásának pillanatában.

Szolgáltatásának lényege, hogy a MATÁV, mint szolgáltató virtuális CA-kat (VCA) definiál és bocsát rendelkezésre a saját eszközein minden ügyfelének, akik ún. Közvetítőként biztosítják egy web-felületen keresztül a szolgáltatás tartalommal való feltöltését, az Egyedi Ügyfélszerződésben leírt igényeik alapján elkészített tanúsítvány-típusok használatával. Ennek megfelelően a regisztrációs szervezet is kétszintű, mivel helyi viszonylatban a Local Registration Authority-t (LRA) képviselő operátorok betanítását és tanúsítvánnyal történő ellátását a MATÁV Master Registration Authority-jének (MRA) munkatársai végzik.

Tanúsítvány-típusokat külön a MATÁV nem határoz meg - az MRA, CA, LRA és BatchRA profilokon kívül, ellenben megadja a Szolgáltatási Szabályzatában az általa kezelhető legbővebb tanúsítvány mezőit, és kijelenti, hogy a kibocsátott tanúsítvány-típusokat a tanúsítvány-mezők adatai alapján lehet azonosítani. A kibocsátott tanúsítányok típusa Közvetítőnként kerül meghatározásra és azt az Egyedi Ügyfélszerződés, illetve a Tanúsítvány Szabályzat rögzíti. A tanúsítvány-típusok vonatkozásában a Tanúsítvány Szabályzatban minden esetben szabályozásra kerülnek az alábbiak:

i) az, hogy a Tanúsítvány az Aláíró saját nevében történő elektronikus aláírásra, vagy más személy (szervezet) nevében történő elektronikus aláírásra jogosít fel.

ii) a kulcshasználat lehetőségei - pl. elektronikus aláírás, ügyfél azonosítás, titkosítás, stb.

iii) a Tanúsítványok felhasználásának korlátai és egyben a Tanúsítványok használatához kapcsolódó jogkövetkezmények.

iv) Az Aláíró és az Aláírás Ellenőrző feleket terhelő kötelezettségek.

Díjak

A MATÁV díjairól explicit információ nem lelhető fel. A Szolgáltatási Szabályzatban leírtak szerint a szolgáltatás érvényes díjait és fizetési feltételeit a Közvetítővel kötött Egyedi Ügyfélszerződés rögzíti. Sejteni azért lehet, hogy a MATÁV üzletpolitikája a nagy cégeknek kedvez, azaz a nagy tételben tanúsítványt rendelők bizonyosan számíthatnak jelentős kedvezményekre, így a darabonkénti ár nem mond semmit ebben az esetben. Azt lehet csupán tudni, hogy a szolgáltatás díjazása során alkalmazott díjelemek az alábbiak közül kerülnek ki.

I. VCA létrehozásához, megvalósításához és üzemeltetéséhez kapcsolódó díjtételek

1. egyszeri felállítási, testre szabási díj: egyszeri díjtétel, mely magában foglalja az Egyedi Ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA felállítását, valamint 2 fő LRA-operátor kártyáját (a kapcsolódó kulcspárral és Tanúsítvánnyal), olvasóját és oktatását).

2. havi üzemeltetési díj: havonta számlázandó díjtétel, mely magában foglalja az Egyedi Ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA üzemeltetését.

3. Konzultáció díja: Opcionális díjtétel, mely tartalmazza az Egyedi Ügyfélszerződésben rögzített, Közvetítő által igényelt konzultációs tevékenység díját, a szolgáltatás létesítése és üzemeltetése során.

II. Kártyás Tanúsítványokhoz kapcsolódó díjtételek

1. chipkártya (+ telepítő) díja: egyszeri, kártyánként fizetendő díjtétel, mely akkor kerül számlázásra, ha a Tanúsítvány illetve a magánkulcs tárolásához a Közvetítő chipkártyát rendelt meg.

2. kártya perszonalizálás díja: egyszeri, kártyánként fizetendő díjtétel, mely magában foglalja a kulcsok és a Tanúsítvány elhelyezését a kártyán, valamint a kártya egyoldali indent nyomással történő perszonalizálását, és akkor kerül számlázásra, ha a Tanúsítvány illetve a magánkulcs tárolásához a Közvetítő kártyát rendelt meg. A perszonalizációs rendszer szállítója a Cardnet Rt, auditálója a HunGuard Kft.

III. Tanúsítványokhoz tartozó díjtételek

1. Tanúsítványok éves díja: Tanúsítványonként számlázott éves díjtétel. A MATÁV az egész évi díjat a Tanúsítvány kiadásakor számlázza egy összegben. A Tanúsítvány éves díja magában foglalja a Tanúsítvány korlátlan használatának lehetőségét az érvényességi időn belül. Tranzakciós díj a Tanúsítvány használatához kapcsolódóan nem kerül felszámításra. A Tanúsítvány visszavonása esetén az éves díjból nincs visszatérítés. A Tanúsítvány érvényességi időtartama - az Egyedi Ügyfélszerződés alapján - egy évnél rövidebb időszak is lehet. Az ennek megfelelő árakat az Egyedi Ügyfélszerződés tartalmazza.

2. Tanúsítványok regisztrációs díja: opcionális egyszeri, Tanúsítványonként számlázandó díjtétel, melyet akkor számláz a MATÁV, ha az Aláírók Tanúsítvány kérelembe rögzített adatainak ellenőrzését, az adategyeztetési tevékenységet és a Tanúsítvány kérelmek jóváhagyását (LRA operátori funkciók) az Egyedi Ügyfélszerződésben rögzített feltételekkel a Szolgáltató végzi.

IV. Egyéb hitelesítés-szolgáltatáshoz kapcsolódó díjak: egyéb egyszeri, vagy havi díjtételek, melyek akkor számlázandók, ha az Egyedi Ügyfélszerződésben rögzített módon a Szolgáltató a Közvetítő részére más szolgáltatásokat is biztosít. (pl. Közvetítő munkatársainak oktatása, vagy oktatási kurzusok Aláíróknak, végfelhasználók részére biztosított ügyfélszolgálati tevékenység havidíja, stb.)

 

GIRO Elszámolásforgalmi Részvénytársaság

"A GIRO Elszámolásforgalmi Rt. küldetése a magyar fizetési rendszerben a hitelintézeti elszámolóház feladatainak hatékony ellátása, tevékenységének folyamatos fejlesztése úgy, hogy a szolgáltatást igénybe vevő pénzintézetek magas szinten felelhessenek meg ügyfeleik elvárásainak. Ennek érdekében megbízható és stabil, de ugyanakkor megújulásra képes csapatot épít. Új termékeket és szolgáltatásokat fejleszt ki és nyújt, amelyekre a bankközösség minden körülmények között számíthat." Ez a hitvallás alapvetően determinálja a GIRO potenciális ügyfélkörét, mely szerint GIRO Rt., a GIRO Rt.-vel szerződést kötött Pénzügyi Intézmények, a Magyar Nemzeti Bank, a Magyar Államkincstár és a KELER Rt. lesz a GIRO által kibocsátott tanúsítványok alkalmazó közössége. A tanúsítvány megszerzéséhez a bankoknál vezetett számlák tulajdonosainak a saját bankjuknál kell érdeklődniük. A GIRO a hitelesítési szolgáltatását a pénzintézetek - mint Regisztrációs Szervezetek - bevonásával nyújtja. A tanúsítvány-igénylést tehát a honos bank fogja befogadni, és elbírálni. Azonnal felmerül az a kérdés is, hogyha több banknál is szeretnénk elektronikusan intézni bankügyeinket, vajon mindannyiszor újra kell-e regisztráltatni magunkat, vagy ha egyszer beléptünk a GIRO-s tanúsítvánnyal rendelkező ügyfelek táborába, szabadon mozoghatunk-e a továbbiakban a bankok között? Elképzelhető, hogy a bankok közösen megállapodnak abban, hogy a másik pénzintézet által végzett ügyfél-regisztrációt elfogadják mindenkire nézve érvényesnek - nyilván bizonyos korlátozások mellett, így alakulna ki az, hogy milyen feltételek mellett lehetnének a pénzintézetek az ügyfelek számára "átjárhatóak".

E mellett szól egyrészt az, hogy a GIRO non-profit módon nyújtja a szolgáltatását, másrészt az is, hogy a GIRO Hitelesítés-Szolgáltató működési rendjét, Szolgáltatási Szabályzatát a GIRO, tehát a tagintézményei alakítják ki, így gyakorlatilag saját maguk számára készítik el az egész PKI-rendszert. Ez nagymértékben valószínűsíti azt, hogy a GIRO szolgáltatása a hitel- és pénzintézetek többségének meg fog felelni, így nem fognak a piacon más szolgáltatókat keresni.

A GIRO fokozott biztonságúnak nevezett, szolgáltatói és teszt osztályú tanúsítványokat fog kibocsátani. A szolgáltatói és teszt osztályú tanúsítványok kibocsátását és kezelését a GIRO nem nyilvános szolgáltatás keretében tervezi végezni. A Szolgáltatási Szabályzatban a fokozott osztályúnak nevezett tanúsítványok kezelését találhatjuk meg. A fokozott biztonságú tanúsítvány olyan személyeknek, szervezeteknek vagy eszközöknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a szolgáltató. Használatát pénzügyi tranzakcióknál, utasításoknál és információk eredetiségének és sértetlenségének ellenőrzésénél ajánlja a GIRO.

A felelősségvállalás mértékéről információ a tanúsítványban is fel lesz tüntetve. A Szolgáltatási Szabályzat tanúsítvány-profil részében azonban erre nem történik utalás.

Az Általános Szerződési Feltételek rendelkeznek a felelősségvállalás mértékéről az alábbi módon:

A GIRO azon bizonyított vagyoni károkért, amelyek felelősségi körében keletkeztek, kártérítést fizet a következő káreseményenkénti felső határokkal:

a) A fokozott biztonságú, a magánszemély részére kiadott személyi tanúsítványok esetében 100.000 forint/tanúsítvány, de összesen legfeljebb 50.000.000,-Ft;

b) a fokozott biztonságú, szervezet kiadott tanúsítványok esetében 250.000 forint/tanúsítvány, de összesen legfeljebb 100.000.000,-Ft;

c) a fokozott biztonságú, eszköztanúsítványok esetében 250.000 forint/tanúsítvány, de összesen legfeljebb 50.000.000,-Ft.

A felelősség felvállalhatóságához a GIRO szerint hozzátartozik az is, hogy nem fogad el más által generált privát kulcsot, azt minden esetben saját maga szeretné generálni újonnan.

Díjak

Az ügyfelek által fizetendő díjakat a Szolgáltatási Szabályzat szerint - az Általános Szerződési Feltételeknek megfelelően - a Regisztrációs Szervezet által közzétett díjszabás tartalmazza. Ilyen szervezet azonban egyetlen egy volt - a Kereskedelmi és Hitelbank Rt. - volt a cikk írásának idején. A bank a tanúsítványt az "e-bank" szolgáltatásához nyújtja, de felelősségvállalását nem terjesztette ki sem az elektronikus lehallgatásból, sem pedig a felhasználó helytelen kártya- és PIN használatából-tárolásából adódó károkra. Az ügyfél által fizetendő díj a kártya- és a kártyabirtoklás valamint a számlavezetés költségeiből tevődik össze, mindösszesen 7.400 Ft/év.

A díjszabást az teheti érdekessé, hogy a Szolgáltató nyereségéből a tulajdonos bankok részesednek, így egyrészről érdekeltek a relatíve magas díjtételekben, másrészről a díjat a banki ügyfelek fogják megfizetni, így az alacsony díjak potenciális ügyfeleket - vagyis más oldalról jelentkező bevételt - jelenthetnek a kiélezett pénzpiaci versenyben.

MÁV INFORMATIKA Kereskedelmi és Szolgáltató Kft.

A MÁV INFORMATIKA Kft. később csatlakozott a hitelesítés-szolgáltatók táborába, de rendkívül gyorsan utolérte a néhány hónapos-féléves előnnyel indult versenytársait. Anyavállalata a Magyar Államvasutak révén kiváló gazdasági adottságokkal startol a most kialakuló piacon. Emiatt a tanúsítványok díjairól és a felelősség-vállalás mértékéről sincsen a cikk írásának pillanatában fellelhető információ. A nyilvános dokumentumokból az alábbiakat tudhatjuk meg:

A szolgáltató a felelősségeket az Általános Szerződési Feltételeiben a következőképpen szabályozza:

1.        felelősséget vállal a Polgári Törvénykönyv szerint az általa kibocsátott tanúsítványok használatából adódó kárért, de

2.        felelősségét kizárja, ha az elfogadó úgy fogadja el az aláííró elektronikus kötelezettség-vállalását, hogy nem teszi meg az ellenőrzés összes lépését, valamint

3.        felelősségét csak a rögzített mértékig - esetenként és összesen - köteles megtéríteni.

4.        A szolgáltató harmadik fél felé közzétett tanúsítványok használatából adódó felelősséget nem vállal.

5.        Aláíró tudomásul veszi, hogy az aláírásáért a felelősséget ő vállalja.

6.        Az aláíró csak a szerződésben rögzített célokra használhatja a kulcsait. Ettől eltérő használat esetén a szolgáltató felelősséget nem vállal.

Összegszerű meghatározást sem a Hitelesítés-szolgáltatási Szabályzat, sem pedig az ÁSZF nem tartalmaz, azt az ügyféllel kötendő megállapodás írja majd várhatóan le. Azt azonban biztosan tudjuk, hogy szintén felső összeghatárhoz lesz kötve minden kifizetés, egyedileg és összességében nézve is - illeszkedve az eddigi magyar gyakorlathoz.

Összegzés

Összefoglalásként azt leszűrhetjük, hogy az elektronikus aláírás használatakor az a jó magatartás, ha minden tőlünk telhetőt megteszünk az ellenőrzéskor - és természetesen az aláírás készítésekor is, mert a tanúsítványokat kibocsátó szolgáltatónak gyakorlatilag egy elektronikusan kötött ügyletben szerepe nincsen, azon túl, hogy hitelesen összeköti a való világbeli entitásokat a nyilvános - és így a titkos - kulcsukkal egyetemben.

Ezen túl érthető módon felelősséggel nem tartoznak a felhasználók által elkövetett hibákért. Ezért szépen lassan elkezdődhet az elektronikus aláírás használatának megtanulása, hogy a kezdeti bizonytalanság után megfelelően biztonságos módjául szolgálhasson a kötelezettségek elektronikus úton történő felvállalásának. Amúgy is az APEH-nek 2003. szeptember környékén már felkészültnek kell lennie az első magyar minősített elektronikus aláírással ellátott adóbevallás fogadására.

Irodalomjegyzék

[1]       2001. évi XXXV. (IX.1.) Törvény az elektronikus aláírásról

[2]       15/2001. (VIII.27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról

[3]       151/2001. (IX.1.) Kormányrendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól

[4]       16/2001. (IX.1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről

[5]       20/2001. (XI. 15.) MeHVM rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással összefüggő minősítéssel és nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról

[6]       GIRO Rt. Hitelesítési Szolgáltatási Szabályzata

[7]       GIRO Rt. Az Elektronikus Aláírás Hitelesítés Szolgáltatás Általános Szerződési Feltételei (ÁSZF)

[8]       GIRO Rt. Személyes tanúsítványtípus Hitelesítési Szabályzata

[9]       GIRO Rt. Szervezeti tanúsítványtípus Hitelesítési Szabályzata

[10]   MATÁV Rt. Szolgáltatási Szabályzat a Matáv Rt. e-Szignó - Üzleti Szolgáltatások nyújtásának feltételeiről

[11]   Matáv Rt. e-Szignó Üzleti Szolgáltatás Általános Szerződési Feltételek

[12]   Netlock Kft. Szolgáltatási Szabályzat

[13]   Netlock Kft. Általános Szerződési Feltételek

[14]   Egerszegi Krisztián, Erdősi Péter: Minősített aláírás, InfoBYTE 2002. január

[15]   Erdősi Péter: A PKI rendszerek bevezetésének biztonsági követelményei, Infoszféra Kft. 2000. nov. 29.

[16]   Horváth László, dr. Lukács György, dr. Tuzson Tibor, Vasvári György: Informatikai biztonsági rendszerek, BMF-Ernst&Young, Budapest, 2001.

[17]   Dr. Rátai Balázs: Az elektronikus aláírás szabályozásának kulcskérdései az 1999/93/EC irányelv alapján (2000. március 19.-i  PJ TDK előadásvázlat)

[18]   Vasvári György: Bankbiztonság, Műegyetemi Kiadó, Budapest, 1995

[19]   Vasvári György: Biztonsági rendszerek szervezése, Pro-Sec Kft., Budapest, 1997

[20]   CEN/ISSS WS/E-Sign; Area D1 Draft CWA 14167-1: Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures; Version: 0.17

[21]   Certification in the area of electronic signatures; TTP.NL-broshure, 2001 június.

[22]   CISA Review Manual, 2001.

[23]   Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures (1999.12.13.)

[24]   http://www.giro.hu/hiteles

[25]   http://www.netlock.net

[26]   http://www.matav.hu

[27]   http://www.hif.hu

[28]   http://www.itb.hu/ajanlasok

[29]   http://www.europki.org

[30]   http://www.iks-jena.de

[31]   http://www.thawte.com

[32]   http://www.telekom.de

[33]   http://digitalid.verisign.com

[34]   http://www.globalsign.com

[35]   http://www.entrust.com

[36]   http://www.digsigtrust.com

[37]   http://www.baltimore.com/unicert/pdfs.html

[38]   http://www.tscheme.org/directory/index.html

[39]   http://www.ecp.nl

[40]   http://www.etsi.org/sec/el-sign.htm

[41]   http://www.ca.com

[42]   http://www.safeguard.com

[43]   http://www.eema.org/pki-challenge/

[44]   http://www.mavinformatika.hu