Det finns olika typer av elektroniska underskrifter och det kan vara svårt att veta vilken typ av elektronisk underskrift som krävs i varje enskild situation.
Olika typer av elektroniska underskrifter
Det finns tre typer av elektroniska underskrifter: enkel, avancerad och kvalificerad elektronisk underskrift. Det som skiljer underskrifterna åt är olika krav på säkerhet. Vilken säkerhetsnivå du behöver beror på vad den elektroniska underskriften ska användas till.
Exempel på elektroniska underskrifter
Enkel elektronisk underskrift
Du skapar en elektronisk underskrift varje gång du skriver under ett elektroniskt meddelande.
Det kan till exempel vara när du skriver under med ditt namn i ett vanligt e-postmeddelande.
För den här typen av enklare elektroniska underskrifter finns det få eller inga säkerhetskrav. Det går till exempel inte att låsa dokumentets innehåll till underskriften på ett säkert sätt.
Avancerad elektronisk underskrift
När vi i dagligt tal pratar om elektronisk underskrift menar vi ofta en avancerad elektronisk underskrift. Det handlar till exempel om BankID eller Freja eID Plus.
Det är en underskrift i elektronisk form som med kryptografiska tekniker knyter identiteten på en undertecknare till det undertecknade dokumentet.
Den här underskriften knyter alltså identiteten på en undertecknare till det undertecknade dokumentet. Detta innebär att du i efterhand kan verifiera vem som skrivit under och vad som skrivits under.
Det finns ingen förteckning över aktörer som erbjuder avancerade elektroniska underskrifter. Det enklaste sättet att veta om det rör sig om en avancerad elektronisk underskrift är att fråga leverantören.
Även om tillhandahållare inte behöver anmäla sig till PTS, är de skyldiga att rapportera in incidenter. PTS kan granska tillhandahållare om det finns misstankar om att de inte uppfyller kraven i eIDAS
Kvalificerad elektronisk underskrift
En kvalificerad underskrift är en avancerad underskrift som har särskilda krav på hur undertecknaren ska kunna identifieras och hur underskriften ska skyddas mot förfalskning. Samtliga krav regleras i eIDAS-förordningen.
Det är bara företag som är kvalificerade leverantörer av betrodda tjänster som har rätt att leverera en kvalificerad betrodd tjänst.
I en del EU-länder finns krav på att du måste använda en kvalificerad elektronisk underskrift vid särskilda ärenden.
Är en kvalificerad elektronisk underskrift bättre?
Nej, en kvalificerad elektronisk underskrift är inte alltid bättre. Det beror på vad du har för behov, vilken mycket säkerhet som behövs och i vilken situation du ska använda den elektroniska underskriften.
När det gäller kvalificerade elektroniska underskrifter så finns det tydliga säkerhetskrav. Kraven är däremot mer oklara när det handlar om en avancerad elektronisk underskrift.
Om du använder, eller tar emot, avancerade elektroniska underskrifter behöver du ta ställning till om du kan lita på tjänsten för underskrifter. Du behöver också ställa krav på att tjänsten uppfyller dina verksamhetsbehov.
Skillnad mellan e-legitimation och betrodd tjänst
Den stora skillnaden är att en e-legitimation används för elektronisk legitimering, alltså att identifiera en person, medan en betrodd tjänst kan kopplas till elektronisk signering.
Om du endast legitimerar dig med en e-legitimation så använder du inte en betrodd tjänst. Vissa tjänster, som exempelvis BankID och Freja eID plus, tillhandahåller tjänster för både e-legitimation och elektroniska underskrifter. När en sådan tjänst används för signering utgör den en betrodd tjänst.
Införa elektronisk underskriftstjänst i verksamheten
När du ska införa en underskriftstjänst i din verksamhet behöver du fundera kring ett antal saker. Till exempel:
- Hur hög säkerheten behöver vara i relation till hur ni ska använda elektroniska underskrifter?
- Hur ska uppgifterna ska lagras?
- Vem ska skriva under och vem ska ta emot underskrifterna?
Hur ska jag tänka när jag inför en elektronisk underskriftstjänst i min verksamhet?
Det finns inga generella regler som säger när du ska använda en enkel, avancerad eller kvalificerad elektronisk underskrift.
I vissa fall kan det finnas regler kring att du ska använda avancerade elektroniska underskrifter. Men utöver det så är det verksamhetens behov som avgör vilken underskriftsmetod du väljer.
Finns krav på att använda kvalificerade elektroniska underskrifter?
Nej, det finns i dagsläget inga lagkrav på att du måste använda kvalificerade elektroniska underskrifter i Sverige. I en del EU-länder finns det krav på att du måste använda en kvalificerad elektronisk underskrift i samband med vissa situationer.
Vilka icke-kvalificerade tjänster är säkrast, enligt PTS?
Vi kan inte uttala oss om vilka tjänster som är säkrast. Vi har inget mandat att utreda det.
Vi har inte heller någon förteckning över vilka icke-kvalificerade tjänster som finns. De är nämligen inte skyldiga att anmäla sig till oss. De måste dock rapportera incidenter till oss, då vi är tillsynsmyndighet för icke-kvalificerade tillhandahållare.
Upphandla en tjänst för kvalificerade elektroniska underskrifter
Om du väljer att upphandla kvalificerade elektroniska underskrifter så finns det tydliga krav på sådana, i eIDAS-förordningen.
Det finns därtill krav i standarder som kan utgöra ett bra stöd i er kravställning.
Tillitsinformation, med information om kvalificerade tillhandahållare och kvalificerade betrodda tjänster, publiceras av EU:s medlemsstater.
Ta emot elektroniskt undertecknade dokument
När ni tar emot en handling som har skrivits under med en avancerad eller en kvalificerad elektronisk underskrift kan den behöva valideras. Det innebär att underskriften kontrolleras om den kan godtas eller inte.
Kontrollera en elektronisk underskrift
För att kontrollera en avancerad eller en kvalificerad elektronisk underskrift används normalt en tjänst eller programvara för att genomföra kontrollen (valideringen). Det kan vara en tjänst som verksamheten tillhandahåller eller en inbyggd funktion i till exempel en programvara för att läsa PDF-filer.
Valideringstjänsten kan även baseras på öppen källkod från myndigheten för digital förvaltning (Digg) eller EU-kommissionen.
Vilka underskrifter kan jag kan lita på?
Det finns flera sätt att ta reda på vilka elektroniska underskrifter som ni kan lita på. Det kan finnas en förteckning i er organisation över vilka tillhandahållare som ni har valt att lita på. Ni kan även ha valt att lita på de som finns listade i den programvara som ni använder för att kontrollera elektroniska underskrifter.
På vår webbplats finns en lista över vilka företag som i Sverige är så kallade kvalificerade tillhandahållare av betrodda tjänster. Här finns även EU:s lista över kvalificerade tillhandahållare.
Kvalificerad tillhandahållare av en betrodd tjänst
Endast företag som är kvalificerade tillhandahållare av betrodda tjänster har rätt att leverera kvalificerade betrodda tjänster enligt eIDAS-förordningen. För att få statusen som kvalificerad tillhandahållare behöver företaget och dess betrodda tjänster genomgå en prövning hos både ett ackrediterat certifieringsföretag och hos PTS.
Olika krav i olika länder
I en del EU-länder finns krav på att en kvalificerad elektronisk underskrift måste användas i samband med vissa elektroniska förfaranden, exempelvis för att elektroniskt kunna lämna anbud i offentliga upphandlingar.
Vilka olika lösningar finns?
Följande tekniska lösningar är vanligast på svenska marknaden.
Underskrift med en e-legitimation
En elektronisk underskrift i en e-legitimation är den vanligaste formen av underskrift. Underskriftsfunktionen ingår i e-legitimationen.
När du använder en e-legitimation som underskriftslösning måste du som användare ha tillgång till programvara och utrustning som krävs för att skapa underskrifter.
Det kan vara en mobil lösning med e-legitimation i mobiltelefonen eller en lösning där e-legitimation och underskriftsfunktion finns på ett så kallat smart kort. Gemensamt för den här typen av lösningar är att du som användare själv har kontroll över den enhet och de nycklar som skapar den elektroniska underskriften.
Fristående underskriftstjänst
En fristående underskriftstjänst används ofta i myndighetstjänster som kräver att användare kan skriva under olika handlingar och ansökningar med sin e-legitimation. En fristående underskriftstjänst möjliggör att användaren kan identifiera sig med valfri e-legitimation inom ramen för de avtal om elektronisk identifiering som myndigheten har.
Myndigheten för digital förvaltning (Digg) har tagit fram ett tekniskt ramverk för fristående underskriftstjänster. En underskriftstjänst som följer Diggs ramverk kan användas för att skapa såväl avancerade som kvalificerade elektroniska underskrifter.
Stämpling av individuellt undertecknat PDF-dokument
En vanligt förekommande tjänst i dag är en underskriftstjänst där en eller flera undertecknare bjuds in att ”skriva under” ett PDF-dokument.
Den slutliga underskrivna handlingen förses med tjänstens stämpel i stället för undertecknarnas individuella underskrifter eller en kombination av underskrifter och en stämpel. Denna typ av tjänst används oftast för att skapa digitala avtal men används även för att skriva under årsredovisningar och andra typer av dokument i PDF-format.
Elektronisk stämpel
En elektronisk stämpel fungerar på samma sätt som en elektronisk underskrift, men den pekar ut en juridisk person (ett företag) istället för en fysisk person.
På samma sätt som en elektronisk underskrift har olika säkerhetsnivåer har även en elektronisk stämpel det. Det finns så kallade enkla elektroniska stämplar, avancerade elektroniska stämplar och kvalificerade elektroniska stämplar. Samtliga varianter regleras i eIDAS-förordningen.
Det finns fler lösningar på marknaden
Det finns fler lösningar och tillhandahållare av tjänster för elektroniska underskrifter än de som vi informerar om här på vår webbplats.
PTS är tillsynsansvarig myndighet över de företag som är kvalificerade tillhandahållare av betrodda tjänster eftersom de måste granskas och anmäla sin verksamhet till myndigheten för att få status som kvalificerad tillhandahållare.
Företag som levererar andra typer av elektroniska underskrifter behöver inte anmäla sig eller sin verksamhet till PTS, vilket innebär att myndigheten inte känner till alla lösningar och tillhandahållare som finns på marknaden.
Reglering av betrodda tjänster
Elektroniska underskrifter regleras i en EU-förordning som kallas eIDAS-förordningen. Förordningen är uppdelad i två delar. PTS har tillsynsansvar för den ena delen som handlar om betrodda tjänster, där elektroniska underskrifter ingår. Elektronisk identifiering som utgör den andra delen av eIDAS-förordningen har myndigheten för digital förvaltning (Digg) ansvar för.
Faktaruta
Vill du veta mer om elektroniska underskrifter och betrodda tjänster? Besök våra webbsidor om betrodda tjänster. Här finns information om PTS arbete, frågor och svar om betrodda tjänster samt särskild information för dig som tillhandahåller en betrodd tjänst. Har du frågor, mejla oss på eidas@pts.se.