Każdy zmawiający na etapie wejścia w życie ustawy PZP z 2019 r. stanął przed dylematem: jakim programem weryfikować podpisy elektroniczne? Mam wrażenie, że największą popularnością cieszy się Szafir 2.0 wydany przez KIR. Jest jednak wiele podmiotów wydających oprogramowanie do weryfikacji podpisów i najczęściej są to podmioty sprzedające podpisy kwalifikowane. Na stronie Narodowego Centrum Certyfikacji znajdziemy następujących dostawców PODPISÓW:
Możemy sobie jednak zadać pytanie: Czy dostawcy podpisów kwalifikowanych muszą tworzyć oprogramowanie do weryfikacji? Oraz, czy to oprogramowanie jest rozwiązaniem pewnym?
Otóż nie muszą, jest to ich dobra wola. Mało tego nie są to usługi kwalifikowane a zazwyczaj co najwyżej zaufane.
Listę podmiotów zaufanych wraz z zakresem ich usług i politykami świadczenia tychże usług znajdziemy na stronie: PRZEJDŹ.
ZOBACZ, jaka jest różnica między walidacją a weryfikacją! OBEJRZYJ odcinek o walidacji i weryfikacji podpisów elektronicznych i subskrybuj kanał PRZETARGowa na YouTube! 
Rodzaj świadczonych usług – NCCERT
Po przeanalizowaniu “rodzaju świadczonych usług” przez poszczególne podmioty możemy zauważyć, że:
KIR: Brak jakichkolwiek informacji o weryfikacji
EuroCert: Brak jakichkolwiek informacji o weryfikacji
PWPW: Brak jakichkolwiek informacji o weryfikacji
Mamy zatem grupę dostawców podpisów, którzy nie są nawet zaufanymi usługodawcami w zakresie weryfikacji podpisów! I to grupę, w której pojawiają się najczęściej wykorzystywane przez zamawiających narzędzia.
Jak powinniśmy traktować wyniki zwracane przez te oprogramowania? W żołnierskich słowach – ostrożnie. Możemy mieć świetnego informatyka/programistę, który napisze dla nas aplikacje do sprawdzania podpisów. Ale jaką wartość dowodową będzie miała taka weryfikacja? I czy możemy ze spokojnym sumieniem na podstawie jej działania odrzucić lub uznać ofertę wykonawcy? Wątpliwe.
WIĘCEJ o podpisach zagranicznych i ich poprawnej weryfikacji dowiesz się z odcinka na kanale YouTube PRZETARGowa!
Weryfikatory NIEzaufane
Wszystkie narzędzia, które nie są usługą zaufania dostarczaną przez dostawcę usług zaufania (czyli dostawca usługi zaufania walidacji wpisany na listę dostawców niekwalifikowanych NCCERTu lub innego, który posiada Politykę świadczenia usługi zaufania etc.), są po prostu weryfikatorami (niebędącymi usługą zaufania). Tj. nie korzystają z żadnych domniemań prawnych przewidzianych eIDASem, rygorów bezpieczeństwa stawianych dostawcom usług zaufania.
Weryfikatory zaufane
Zatem przejdźmy do kolejnej grupy, dostawców zaufanych. W tym przypadku “rodzaj świadczonych usług”, jak i polityki świadczenia tychże usług wskazuje na poważne podejście do tematu weryfikacji podpisu:
Madkom: Weryfikacja statusu certyfikatu
Enigma: Poświadczenie ważności certyfikatów kwalifikowanych
Smarttech IT: Tworzenie, weryfikacja i walidacja podpisów elektronicznych oraz certyfikatów powiązanych z tymi podpisami
Czy zatem są to rozwiązania bezbłędne i godne pełnego zaufania? Niestety też nie. Prawdopodobieństwo ich poprawnego działania jest wysokie szczególnie w kontekście podpisów krajowych, jednak odpowiedzialność za ich działanie nadal leży po stronie zamawiającego! Zatem również nie możemy czuć się w 100% bezpiecznie, ani w kontekście trafności wyników weryfikacji, ani w kontekście ponoszonej przez nas odpowiedzialności.
Weryfikatory kwalifikowane
Dochodzimy do ostatniej grupy, czyli KWALIFIKOWANYCH walidatorów. Jaka jest różnica pomiędzy walidatorem kwalifikowanym a zaufanym weryfikatorem? Taka sama jak między podpisem elektronicznym, a podpisem kwalifikowanym. Na pierwszy rzut oka widzimy przepaść dzielącą te rozwiązania. I widzimy, że w mnogości wszelakich podpisów elektronicznych – kwalifikowane stanowią szczyt bezpieczeństwa. W Polsce kwalifikowany walidator jest jeden:
Asseco: Weryfikowanie statusu certyfikatów w trybie on-line
– Kwalifikowana walidacja podpisu elektronicznego i pieczęci elektronicznej
Pamiętaj, że nielimitowany dostęp do WALIDACJI podpisów elektronicznych przez narzędzie WebNotarius dostępny jest dla Klientów platformazakupowa.pl: ZOBACZ więcej!
Kwalifikowana walidacja w UE
Kwalifikowana walidacja podpisów kwalifikowanych w UE to 30 podmiotów. Prym wiodą Czechy, gdzie jest aż 5 dostawców tej usługi, które oferują usługi kwalifikowanej walidacji. Drugie miejsce w rankingu ma Słowacja, gdzie funkcjonują 4 podmioty. Następnie Bułgaria exe quo z Hiszpanią po 3 firmy. W Polsce aktualnie funkcjonuje jedna firma Asseco Data Systems, która może prowadzić kwalifikowaną walidację podpisów kwalifikowanych – Web Notarius.
Na stronie TL Browser znajdziecie wyszukiwarkę usług zaufanych i kwalifikowanych:
Mimo tego, że na stronie znajdują się filtry do wyszukiwania usług niekwalifikowanych, na liście tej znajdują się tylko usługi kwalifikowane. Nie ma zaufanej listy europejskiej dla usług niekwalifikowanych i należy ich szukać na listach krajowych.
Reasumując, jeżeli mamy do podjęcia decyzję, od której zależy wybór oferty, a niejednokrotnie, kilkuset tysięczna różnica w cenie ofert, to podejmujmy te decyzje w oparciu o pewne narzędzia. Róbmy to z pełną świadomością podejmowanych działań tak, żebyśmy mogli spać spokojnie. Czego Wam zamawiający z całego serca życzę.
Dowiedz się WIĘCEJ i uporządkuj swoją wiedzę o podpisach elektronicznych w zamówieniach publicznych! Obejrzyj nasze filmy na kanale YouTube PRZETARGowa
