Pytania i odpowiedzi

1. Wejdź na stronę Sigillum.pl

2. Wybierz produkt

3. Skonfiguruj produkt

4. Załóż konto 

5. Wypełnij niezbędne dane na stronie 

6. Wybierz jeden z fizycznych Punktów Rejestracji w celu weryfikacji tożsamości

7. W czasie wizyty odbierz produkt i podpisz umowę

*W celu weryfikacji tożsamości w punkcie rejestracji niezbędne będzie okazanie dokumentu tożsamości

Szczegółowy opis procesu rejestracji konta i złożenia zamówienia w CUZ Sigillum: Instrukcja

Niezbędnymi dokumentami wymaganymi i do okazania podczas podpisywania umowy o świadczenie usług certyfikacyjnych z firmą, jednostką samorządową czy inną jednostką administracyjną są:

1. Aktualny (nie starszy niż 6-mcy) odpis z Krajowego Rejestru Sądowego – dla firm, partii politycznych, związków zawodowych, stowarzyszeń itp.

2. Dokument tożsamości osoby uprawnionej do zawierania umów

3. Poświadczenie funkcji (np. akt mianowania na stanowisko) – w przypadku jednostek administracji. Jeżeli osoba uprawniona do zawierania umów nie może stawić się osobiście, to możliwe jest zawarcie umowy przez wyznaczonego innego pracownika. Jednak w takim przypadku niezbędne jest upoważnienie podpisane przez osoby mające w firmie uprawnienia do podpisywania umów.

Certyfikaty Sigillum wydawane są po sprawdzeniu tożsamości ich właściciela przez Inspektora Sigillum. Standardowo odbywa się to podczas wizyty Klienta w Punkcie Rejestracji. Jednak możliwy jest przyjazd Inspektora do siedziby firmy, gdzie zgodnie z procedurą nastąpi weryfikacja tożsamości oraz podpisanie umowy. W tym ostatnim przypadku należy się liczyć z dodatkowym kosztem doliczanym do standardowych opłat związanych z zakupem certyfikatów. 

Standardowo certyfikat Sigillum jest ważny zaraz po jego wydaniu. Jednak możliwe jest również wydanie certyfikatu, który uzyska ważność dopiero w określonym, ustalonym przez Klienta dniu.

Certyfikaty są wystawiane na okres 1 roku lub 2 lata.

1. Wybór produktu, założenie konta, uzupełnienie danych na stronie Sigillum.pl - w sumie około 10 minut

2. Wizyta w wybranym Punkcie Rejestracji po wcześniejszym ustaleniu terminu - około 15 minut

Sigillum Sign jest aplikacją służącą do składania i weryfikacji podpisu elektronicznego na pliku, przeznaczoną do użytkowania na pojedynczym komputerze.

Centrum Certyfikacji Elektronicznej działające w ramach struktur Polskiej Wytwórni Papierów Wartościowych S.A. świadczące usługi w zakresie kwalifikowanej oraz niekwalifikowanej usługi zaufania.

Podpis elektroniczny można wyrobić w dowolnym Punkcie Rejestracji (PR) po uprzednim założeniu konta na stronie Sigillum.pl i wypełnieniu niezbędnych danych. W całej Polsce jest kilkadziesiąt PR zlokalizowanych w największych miastach.

Urząd Certyfikacji jest to jednostka wydająca certyfikaty i odpowiadająca za utrzymanie całej infrastruktury związanej z funkcjonowaniem systemu Infrastruktury Klucza Publicznego (obejmuje ona m.in. publikację list CRL, polityk certyfikacji i innych niezbędnych informacji). Urzędem certyfikacji jest np. CUZ Sigillum.

Tak, gwarantuje to wymóg stosowania przepisów ustawy o ochronie danych osobowych oraz przepisów rozporządzenia unijnego o ochronie danych osobowych 2016/679 (RODO).

Tak. Istnieje możliwość wykupienia szkolenia, powiązanego (lub nie) z instalacją oprogramowania na sprzęcie Klienta. Więcej informacji na ten temat na Infolinii.

Tak. Organem nadzorującym kwalifikowanych dostawców usług zaufania jest Ministerstwo Cyfryzacji.

W Polsce działa pięciu kwalifikowanych dostawców usług upoważnionych przez Ministerstwo Cyfryzacji do wydawania kwalifikowanych certyfikatów. Lista (TSL) kwalifikowanych dostawców usług zaufania jest publikowana na stronie Narodowego Centrum Certyfikacji NCCert.

Certyfikat kwalifikowany służy wyłącznie do wyrażania woli i wiedzy na temat podpisywanych treści plików. Nie służy on jednak (w większości przypadków automatycznie czuwa nad tym oprogramowanie) do szyfrowania, ani podpisywania poczty elektronicznej, czy logowania do systemu. Te dodatkowe funkcjonalności zapewniają dopiero certyfikaty niekwalifikowane. Podstawową cechą certyfikatu kwalifikowanego, odróżniającą go w sposób pozytywny od certyfikatu niekwalifikowanego, jest gwarancja prawna – w polskim prawie certyfikat kwalifikowany jest zrównany z podpisem odręcznym. Zastosowaniami praktycznym certyfikatu kwalifikowanego jest: podpisywanie umów zapisanych w formie elektronicznej, składanie zleceń w niektórych aukcjach internetowych, podpisywanie faktur elektronicznych, uwierzytelnianie transakcji w Banku, uwierzytelnianie sprawozdań do systemu GIIF i GIODO itp.

Certyfikatów niekwalifikowanych jest kilka rodzajów i dlatego służyć mogą one dość różnym celom: szyfrowaniu, podpisywaniu plików (to zastosowanie jest podobne do zastosowań certyfikatu kwalifikowanego, jednak posiada ono słabsze umocowanie prawne) i poczty elektronicznej, podpisywania kodu aplikacji, uwierzytelnianiu serwera, logowaniu do systemu.

Logika podpisu elektronicznego nakierowana jest na potwierdzanie integralności dokumentów w formie elektronicznej i w związku z tym nie funkcjonuje ona dla dokumentów drukowanych. Dlatego podpisu elektronicznego się nie drukuje, ani nie przedstawia w postaci graficznej.

Aby móc podpisać cyfrowo dokument niezbędne jest spełnienie następujących warunków (opcja najczęściej spotykana):

• Sprawdzić, czy wykonane są czynności instalacyjne (patrz pytanie „Jakie czynności instalacyjne należy wykonać, aby móc korzystać z zestawów do podpisu elektronicznego Sigillum?”)

• Uruchomić program do podpisywania elektronicznego dokumentów

• Zaznaczyć odpowiednie opcje podpisywania/szyfrowania dokumentów

• Zatwierdzić funkcję podpisywania

• Wybrać certyfikat do podpisu

• Wpisać kod PIN do odpowiedniej struktury karty kryptograficznej

Warunkiem niezbędnym do prawidłowej weryfikacji certyfikatu jest zainstalowanie w systemie zaświadczenia certyfikacyjnego urzędu wydającego dany certyfikat oraz certyfikatu nadrzędnego, tzw. Root, wydanego przez NCCERT. Zaświadczenia te instaluje się poprzez kliknięcie (i krótkie przytrzymanie) prawym klawiszem myszy na pliku zaświadczenia (plik o rozszerzeniu „crt”) i wybranie z menu „zainstaluj certyfikat”. Wszystkie niezbędne zaświadczenia certyfikacyjne znajdują się na stronie www.sigillum.pl/pliki

Aby uniknąć w przyszłości problemów z zaświadczeniami i weryfikacją certyfikatów, warto jest zainstalować wszystkie umieszczone tam zaświadczenia, przy czym certyfikat root należy zainstalować w magazynie "Zaufane Główne Urzędy Certyfikacji", a certyfikat SubCA- PWPW, w magazynie "Pośrednie Urzędy Certyfikacji".

Jeśli nastąpi zmiana treści dokumentu po jego podpisaniu, to wynik weryfikacji może być negatywny, lub przybiera postać komunikatu „dokument został zmieniony”.

Jeśli zapisany w certyfikacie termin ważności został przekroczony, wtedy mamy do czynienia z inną formą negatywnej weryfikacji, co może też objawić się komunikatem „certyfikat poza okresem ważności”.

Jeśli certyfikat zostanie odwołany, wtedy w wyniku pobrania listy CRL, oprogramowanie wyświetla komunikat o negatywnej weryfikacji podpisu elektronicznego. Uwagi: Sprawdzenie warunków weryfikacji jest realizowane automatycznie przez oprogramowanie. Jednak aby mogło się ono zrealizować niezbędne jest aktywne połączenie z Internetem, które pozwoli na sprawdzenie, czy dany certyfikat nie został odwołany.

Główną przyczyną powodującą negatywne zweryfikowania podpisanego cyfrowo e-maila jest zmiana jego treści po podpisaniu. Niestety, przyczyna takiej sytuacji może być różna, co niekiedy prowadzi do nieporozumień np. niektóre serwery poczty automatycznie dołączają do transmitowanych wiadomości pewne dodatkowe informacje, co skutkuje negatywną weryfikacją podpisu, ponieważ wiadomość jest zmieniana.

Niepełna weryfikacja podpisu elektronicznego oznacza, że program prawidłowo rozpoznał przyporządkowanie podpisu do treści (nie uległa ona zmianie w porównaniu do stanu przed podpisem) oraz że certyfikat jest prawidłowy od strony formalnej. Jednak pełne ustalenie ważności certyfikatu nie było możliwe, ponieważ nie udało się sprawdzić, czy nie figuruje on na liście odwołanych certyfikatów – CRL. Przyczyny niepełnej weryfikacji podpisu elektronicznego mogą być następujące:

1. Brak zainstalowania w systemie operacyjnym zaświadczeń certyfikacyjnych (certyfikatów urzędu)

2. Brak poprawnego połączenia z listą CRL, co wynika zwykle z np.:

- pozostawania w trybie offline (bez połączenia z siecią)

- wprowadzonego nieprawidłowego (lub całkowity jego brak) adresu listy CRL

- inne problemy z połączeniem z Internetem (nieprawidłowe ustawienie wartości serwera Proxy, chwilowy zanik połączenia)

Problem ten pojawia się najczęściej na komputerach z zainstalowanym systemem Windows 98. Niestety, nie ma na ów błąd dobrej rady, bo firma Microsoft nie wspiera już tego systemu i nie publikuje stosownych poprawek. Dopiero systemy operacyjne nowsze niż Windows 98 poprawnie obsługują pola certyfikatów. Rozwiązaniem połowicznym, możliwym do zastosowania wyłącznie do obsługi poczty elektronicznej jest, posłużenie się alternatywnym programem pocztowym np. Mozilla Thunderbird. Program ten jest wyposażony we własne procedury obsługi certyfikatów, które umożliwiają poprawne wyświetlanie pól dla certyfikatów podpisujących i szyfrujących wiadomości e-mail.

Do złożenia zwykłego podpisu (bez znakowania czasem) połączenie z Internetem nie jest wymagane. Jednak połączenie to musi być aktywne podczas weryfikacji podpisu oraz podczas znakowania czasem.

Weryfikacja podpisu elektronicznego to potwierdzenie zgodności z autentycznością podpisu cyfrowego. Dzięki temu otrzymujemy 100% gwarancję, że dokument nie jest sfałszowany. Potwierdzenie to można pobrać jako poświadczenie zgodności i może ono stanowić dowód w sprawach spornych np. w sądzie.

Weryfikacja podpisu elektronicznego jest realizowana automatycznie przez oprogramowanie służące do tego celu. Obejmuje ona sprawdzenie:

• czy zawartość dokumentu nie zmieniła się od momentu podpisania

• czy sam podpis dokumentu jest poprawny

• czy certyfikat osoby podpisującej jest poprawny i czy nie został odwołany

• sprawdzenie, czy urząd certyfikacji nie został odwołany.

Termin „wielopodpis” lub „podpis wielokrotny” używany jest w dwóch kontekstach:

• jako synonim kontrasygnaty, czyli umieszczania wielu różnych podpisów (podpisów elektronicznych różnych osób) pod jednym dokumentem

• jako możliwość podpisywania na raz wielu dokumentów – czyli podpisywanie tych dokumentów za pomocą pojedynczego wprowadzenia kodu PIN (standardową opcją jest wprowadzanie PIN-u dla każdego podpisywanego dokumentu osobno)

To usługi elektroniczne pozwalające na bezpieczne zawieranie transakcji elektronicznych między obywatelami, konsumentami, podmiotami gospodarczymi oraz administracją publiczną. Kwalifikowane usługi zaufania muszą spełniać wymagania Rozporządzenia eIDAS.

Podpis elektroniczny jest deklaracją tożsamości złożoną w formie elektronicznej pod dokumentem. Pozwala powiązać informacje o osobie podpisującej z treścią podpisywanego dokumentu. Zawiera podstawowe dane osobowe (m. in. imię, nazwisko, nr PESEL). Podpis elektroniczny spełnia swoją funkcję tylko wtedy, gdy jest opatrzony certyfikatem.

Podpis elektroniczny złożony z wykorzystaniem certyfikatu kwalifikowanego jest równoważny z podpisem odręcznym i wywołuje takie same skutki prawne. Wydawany jest przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w Rozporządzeniu eIDAS. Podpis elektroniczny weryfikowany niekwalifikowanym certyfikatem może również służyć do podpisywania dokumentów, jednakże nie wywołuje skutków prawnych równoznacznych z podpisem odręcznym. Najczęściej znajduje zastosowanie w podpisywaniu poczty elektronicznej i jej szyfrowaniu oraz w logowaniu do rożnego rodzaju domen.

Jest to usługa polegająca na powiązaniu danych w postaci elektronicznej z innymi danymi w postaci elektronicznej z określonym czasem. Stanowi to dowód na istnienie tych danych w danym czasie.

Oznacza dane w postaci elektronicznej dodane do innych danych w postaci elektronicznej lub logicznie z nimi powiązane. Pieczęć elektroniczna powinna służyć jako dowód wydania danego dokumentu elektronicznego przez daną osobę prawną, dając pewność co do pochodzenia i integralności dokumentu.

Jest to zmodyfikowana wersja standardowego podpisu kwalifikowanego, w której klucz prywatny nie jest w bezpośrednim posiadaniu Subskrybenta. Dzięki temu możliwe jest podpisywanie dokumentów bez dodatkowych nośników.

Podpis kwalifikowany może służyć do: podpisywania e-faktur, kontaktu z ZUS-em poprzez program Płatnik, logowania do systemu Windows, podpisywania i szyfrowania poczty elektronicznej, podpisywania deklaracji składanych w Urzędzie Celnym, składania plików JPK do Urzędu Skarbowego przez mikro, średnie oraz duże przedsiębiorstwa, składania wniosków do KRS-u, internetowej komunikacji z GIODO, podpisywania wniosków o dotacje unijne w PARP-ie, udziału w elektronicznych platformach przetargowych, komunikacji pomiędzy sądami, kontaktu internetowego z GIIF-em, uwierzytelnienia w ePUAP-ie, elektronicznych postępowań w sądach powszechnych, podpisywania umów cywilno-prawnych na odległość, elektronicznej dokumentacji medycznej, przesyłania miesięcznych raportów przez apteki do CSIOZ.

Podpis elektroniczny daje możliwość podpisywania danych w formie elektronicznej na odległość bez konieczności drukowania podpisanego dokumentu. Dużo trudniej go sfałszować oraz łatwiej zweryfikować. Podpis złożony za pomocą kwalifikowanego certyfikatu jest równoważny z podpisem odręcznym i wywołuje takie same skutki prawne.

Tak. System dopuszcza taką możliwość.

W przypadku zgubienia / kradzieży karty z podpisem elektronicznym należy niezwłocznie powiadomić o tym fakcie CUZ Sigillum przez Infolinię lub w osobiście w Punkcie Rejestracji oraz unieważnić certyfikat. Aby nadal korzystać z usług podpisu elektronicznego należy wyrobić sobie nowy certyfikat.

PKI jest skrótem od angielskiego terminu Public Key Infrastructure i oznacza całą infrastrukturę informatyczną, prawną i administracyjną służącą kryptograficznemu potwierdzaniu tożsamości osób, danych, znakowania czasem.

Certyfikat jest elektronicznym zaświadczeniem, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby. Patrząc od strony informatycznej certyfikat jest zwykle plikiem w którym zostały m.in. zgromadzone informacje o podpisującym, jego klucz publiczny oraz o urzędzie certyfikacji wydającym dany certyfikat. Dostęp do certyfikatu jest niezbędny podczas podpisywania, szyfrowania i odszyfrowywania danych, a także weryfikacji podpisu. Pod względem prawnym możemy wyróżnić dwa rodzaje certyfikatów: kwalifikowany i niekwalifikowany.

Certyfikat kwalifikowany określony w Ustawie o Podpisie Elektronicznym jest powiązany z tzw. „bezpiecznym podpisem elektronicznym”, dzięki niemu możliwe jest składanie bezpiecznego podpisu elektronicznego. Oznacza to, że w stosunku do zwykłych certyfikatów musi on spełnić dodatkowe wymagania związane z bezpieczeństwem oraz weryfikacją tożsamości osoby tym certyfikatem się posługującej. Ważną cechą certyfikatu kwalifikowanego jest jego ściśle określone (ograniczone) przeznaczenie – certyfikat ten służy do potwierdzenia wiedzy i woli osoby podpisującej.

Znacznik czasu jest dodatkowym atrybutem dodawanym do podpisu elektronicznego, który zawiera informację o czasie jego wystawienia. Ponieważ dane o czasie używane podczas znakowania czasem są pobierane z serwera znacznika czasu i są potwierdzane przez niezależny urząd certyfikacji, to znacznik czasu jest bardzo pewnym i niezwykle trudnym do sfałszowania potwierdzeniem istnienia dokumentu w określonej chwili. Znakowanie czasem dokonywane jest podczas podpisywania cyfrowego dokumentu i wymaga aktywnego połączenie z Internetem.

Usługa katalogowa LDAP jest stosowana w celu umożliwienia zainteresowanym osobom dostępu do bazy certyfikatów osób zarejestrowanych w danym urzędzie (np. bazy Sigillum). Dzięki temu dostępowi możliwe jest odnalezienie certyfikatu wybranej osoby (oczywiście o ile znajduje się ona w bazie), a w konsekwencji np. zaszyfrowanie do niej poczty. Katalog LDAP daje też możliwość sprawdzenia, czy dany certyfikat faktycznie został wydany danej osobie przez określone centrum certyfikacji, a w konsekwencji może stanowić dodatkową formę potwierdzenia tożsamości.

Lista CRL gromadzi dane o certyfikatach, które uległy odwołaniu. Odwołanie certyfikatu następuje z różnych przyczyn – zwykle na wniosek właściciela certyfikatu, choć w niektórych przypadkach odwołanie certyfikatu może nastąpić na wniosek Urzędu Certyfikacji.

Na karcie kryptograficznej Sigillum zwykle zapisane są dwie struktury:

• PKI Token zawierająca klucz i certyfikat niekwalifikowany Sigillum

• SetEID zawierająca klucz i certyfikat kwalifikowany Sigillum

Możliwe jest, że na konkretnej karcie aktywna jest tylko jedna z tych struktur.

Rootem jest nadrzędny urząd certyfikacji, czyli urząd certyfikacji potwierdzający zaufanie dla urzędu podrzędnego (urząd podrzędny to tzw. SubCA). Układ Root – SubCA funkcjonuje w przypadku gdy struktura urzędów jest hierarchiczna. W Polsce rootem urzędów kwalifikowanych jest Narodowe Centrum Certyfikacji, zarządzane przez NBP.

Jest to pojęcie z obszaru kryptografii asymetrycznej. To ciąg danych używanych podczas weryfikacji podpisu elektronicznego i szyfrowania wiadomości. Klucz publiczny zwykle jest dostępny dla większej liczby osób i stanowi integralną część certyfikatu (najczęściej jest publikowany na serwerze internetowym, gdzie jest dostępny dla wszystkich zainteresowanych). Publikowanie klucza publicznego powoduje, że dowolna osoba może zaszyfrować poufną wiadomość przeznaczoną dla posiadacza klucza. Podobnie, każda osoba może zweryfikować podpis elektroniczny.

Jest to pojęcie z obszaru kryptografii asymetrycznej. To specjalny ciąg danych, umożliwiających podpisywanie danych i odszyfrowywanie wiadomości. Klucz prywatny z założenia powinien być w wyłącznej dyspozycji właściciela certyfikatu (musi być chroniony przed dostępem osób postronnych). Klucz prywatny wraz z kluczem publicznym stanowią parę ściśle dopełniających się funkcjonalnie kluczy kryptograficznych. Tylko klucz prywatny odbiorcy może odszyfrować informację zakodowaną jego kluczem publicznym.

Konserwacja podpisów elektronicznych oraz pieczęci zapewnia ich prawną wartość oraz gwarantuje możliwość ich późniejszej walidacji. Usługę konserwacji świadczy dostawca usług zaufania.

Dyspozycję unieważnienia/zawieszenia certyfikatu w CUZ Sigillum można zgłosić:

1. Telefonicznie – infolinia:  801 640 033 (24h)

Zgłaszający składając dyspozycję podaje:

a) Imię, nazwisko oraz numer PESEL osoby, której certyfikat będzie unieważniany.

b) Hasło do unieważnienia tzw. Passphrase – Niezbędne w przypadku unieważnienia lub zawieszenia.

2. Pocztą elektroniczną e-mail: dyspozycja_certyfikat@pwpw.pl

a) Zgłoszenia e-mail zazwyczaj są realizowane przez Punkty Rejestracji z użyciem podpisu kwalifikowanego Inspektora.

b) Zgłaszający bezpośrednio składa dyspozycję drogą e-mail wypełniając wniosek (link do wniosku na stronie ), podając hasło do unieważnienia tzw. Passphrase. Wniosek należy podpisać ważnym certyfikatem.

Zawieszanie certyfikatu

• Dyspozycję zawieszenia certyfikatu składa się na okres 7dni.
• W tym czasie certyfikat można odwiesić.
• Jeżeli upłynie 7 dni od zawieszenia certyfikatu następuje jego automatyczne unieważnienie.

Uwaga: wszystkie rozmowy Infolinii są rejestrowane i składanie dyspozycji wiąże się z wyrażeniem zgody na podawanie danych osobowych zgodnie z Polityką Prywatności.