Egy PDF-et bárki módosíthat. Egy weboldal tartalma egy kattintással átírható. A digitális termékútlevél viszont hivatalos, hatóság és tanúsító által is elfogadott adat — ezért hitelesnek és sérthetetlennek kell lennie. Az EU-ban erre az eIDAS keret ad jogi alapot.
Mi az eIDAS?
Az eIDAS (electronic IDentification, Authentication and trust Services — 910/2014 rendelet, és annak modernizált változata) az EU egységes kerete az elektronikus aláírásokra, bélyegzőkre és bizalmi szolgáltatásokra. Lényege: egy eIDAS szerint létrehozott minősített aláírás EU-szerte joghatással bír, és bizonyítja az adat eredetét és sértetlenségét.
Aláírás vs. bélyegző — melyik kell a DPP-hez?
- Elektronikus aláírás természetes személyhez kötődik (egy ember írja alá).
- Elektronikus bélyegző (seal) jogi személyhez (cég) kötődik — a DPP-hez jellemzően ez illik, hiszen a terméket egy szervezet hozza forgalomba.
Mindkettő lehet minősített (qualified), ami a legmagasabb bizonyító erőt adja, és minősített bizalmi szolgáltató (QTSP) bevonását igényli.
Mit ad az aláírás a termékútlevélnek?
1. Sértetlenség (integritás): ha az adatot utólag módosítják, az aláírás érvénytelenné válik — a manipuláció azonnal kiderül. 2. Eredet (azonosíthatóság/letagadhatatlanság): bizonyítható, ki bocsátotta ki az adatot. 3. Ellenőrizhetőség: bárki (hatóság, tanúsító) ellenőrizheti az aláírást — zöld/piros pipa.
Ez pontosan az a három elv, amelyet a prEN 18246 (DPP data authentication, reliability and integrity) szabványtervezet is megfogalmaz az ESDC (Electronically Signed Data Conductors) koncepcióban.
Hogyan jelenik meg ez a gyakorlatban?
A technikai megvalósítás gyakran W3C Verifiable Credentials (VC) formátum + beágyazott Data Integrity aláírás (pl. Ed25519 kulccsal, eddsa-rdfc-2022 cryptosuite). A kibocsátó kulcsa egy trust list / DID dokumentum alapján ellenőrizhető — ez az eIDAS Bizalmi Lista logikájának digitális analógiája.
Miért előny a „beépített" aláírás?
Sok DPP-megoldás külső, drága aláíró szolgáltatást igényel. Egy in-house, eIDAS-kompatibilis aláírási képesség:
- csökkenti a költséget (nincs per-aláírás díj),
- gyorsítja a folyamatot,
- és lehetővé teszi az on-premise működést, ahol az érzékeny adat nem hagyja el a céget.
Demó vs. éles
Fontos a transzparencia: egy demó aláírás (illusztratív kulccsal) nem minősített eIDAS-aláírás — ezt mindig egyértelműen jelölni kell („Demo signature — NOT eIDAS-qualified"). Az éles rendszerben minősített bizalmi szolgáltató (QTSP) adja a jogi erőt.
Gyakori kérdések
Kötelező a minősített aláírás a DPP-hez?
A pontos követelmény a delegált aktusoktól függ, de a hitelesség és ellenőrizhetőség elvárás — az eIDAS adja erre a legbiztosabb jogi alapot.
Mi a különbség az egyszerű és a minősített aláírás között?
A minősített a legmagasabb bizonyító erejű, QTSP-vel és minősített eszközzel; az egyszerű/fokozott alacsonyabb garanciát ad.
Ellenőrizheti a fogyasztó is az aláírást?
A tanúsítói/hatósági nézet mutatja az aláírás-státuszt; a fogyasztó a hitelesség jelzését látja.
A bizalom nem opció. A ReadyPass beépített, eIDAS-kompatibilis aláírási technológiára épül — több mint 25 év tanúsított aláírási tapasztalattal.
Források: eIDAS 910/2014; prEN 18246; W3C VC Data Model 2.0 + Data Integrity.
