În luna Aprilie 2017 am avut un scandal de presă pe FB și print pe tema unui proiect de ordin MCSI care ar favoriza firmele românești emitente de certificate calificate. În mod evident era un subiect preluat întrucât în nici unul dintre articole nu se indicau exact prevederile care deturnau proiectul. În analiza mea era vorba de:
Art.16. - Prestatorii de servicii de încredere calificați trebuie să îndeplinească următoarele cerințe, în funcție de specificul serviciului pe care îl prestează:
(1)Atunci când emite un certficat calificat, un prestator de servicii de încredere calificat trebuie să verifice identitatea persoanei fizice sau juridice căreia i s-a emis un certificatul.
Activitatea de emitere certificate calificate poate fi împărțită în două mari zone: infrastructura PKI (serverul central) și activitatea cu publicul (ghișeul unde se verifică identitatea solicitantului). Regulamentul european 910/2014 prevede:
Articolul 24
Cerințe pentru prestatorii de servicii de încredere calificați
(1) Atunci când emite un certificat calificat pentru un serviciu de încredere, un prestator de servicii de încredere calificat verifică, prin mijloace corespunzătoare și în conformitate cu legislația națională, identitatea și, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia i s-a emis un certificat calificat.
Informațiile menționate la primul paragraf sunt verificate de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unei părți terțe, în conformitate cu dreptul intern:
Dacă analizăm cele două citate putem observa că proiectul românesc cerea explicit ca prestatorul să verifice identitatea singur, fără menționarea părților terțe. Scenariul de intrare a unui furnizor european pe piața românească este de a folosi infrastructura sa PKI deja existentă și de a contracta un terț cu prezență (ghișee) în întreaga țară. Această strategie de extindere a fost folosită în trecut, pe vechea legislație, și de furnizorii români care au semnat parteneriate cu băncile putând fi obținute certificate și de la sucursalele acestora.
Iată însă că, în ultima clipă, apare ordinul 449/2017 – materializarea oficială a proiectului din Aprilie - cu următorul text:
Art.16
b) în sensul art. 24 alin. 1 din Regulamentul (UE) nr. 910/2014, verificarea identității în scopul emiterii de către un prestator de servicii de încredere a unui certificat calificat se face prin identificare directă, astfel:
(i) de către prestatorul de servicii de încredere calificat;
(ii) de către o parte terță, cu respectarea legislației naționale în vigoare, aplicabilă în domeniul certificării/atestării identității;
În mod evident este varianta corectă, care respectă Regulamentul și nu mai avantajează furnizorii locali. O mare surpriză pentru mine, nu mă așteptam având deja o experiență neplăcută de interacțiune cu ”norocul” pe care-l au firmele românești din domeniu. Când Augustin a vorbit despre reclamarea către dl Dragnea a unor abordări neprincipiale m-am gândit că poate despre asta este vorba dar că o să rămână doar vorbe, eventual un denunț dar nu că va reuși să se impună în fața ministerului pe acest subiect. Păcat că nu a ajuns interimar la MAI, poate rezolva și problemele similare din proiectul legii Cărții Electronice de Identitate.
Un ultim cuvânt despre presă. Ambele surse menționate au avut reveniri, chiar cu titlul ”Vicepremierul și ministrul Comunicațiilor, Augustin Jianu, a semnat ordinul care reglementează piața semnăturilor electronice, o afacere de câteva zeci de milioane de euro anual. Surse din piața IT susțin că ordinul lui Jianu îl favorizează pe afaceristul Tiberiu Urdăreanu, cel care deține compania Certsign SA.” cu menționarea în articol ”Acest ordin a fost pus în dezbatere publică, dar degeaba! Forma finală a proiectului nu are nici o virgulă schimbată față de proiectul inițial supus dezbaterii.” Rămâne să mă întreb dacă autorul este deosebit de prost … jurnalist și nu vede paragrafe din cauza virgulelor, a schimbat tabăra sau reciclează iresponsabil articole vechi. Oricum nu mai contează, acest ordin ar fi meritat un cu totul alt tratament public.
Niciun comentariu:
Trimiteți un comentariu