PYTANIA I ODPOWIEDZI

Wystawienie kwalifikowanego certyfikatu wymaga spotkania z Inspektorem ds. rejestracji, w jednym z naszych Punktów rejestracji. Możliwe jest również zamówienie usługi z dojazdem inspektora. Po okazaniu dokumentu tożsamości i podpisaniu niezbędnych dokumentów Inspektor wydaje kartę (lub token) z e-podpisem. Cała procedura typowo trwa ok. 15 minut.

Otrzymaną kartę trzeba następnie aktywować na swoim komputerze, przy użyciu pliku aktywacyjnego otrzymanego mailem z CenCert.

Przed wizytą w wybranym punkcie rejestracji prosimy o telefoniczne potwierdzenie możliwości obsługi w danym terminie. Wyjątkiem jest Centralny Punkt Rejestracji, gdzie nie ma potrzeby telefonicznego uzgadniania wizyty (w godzinach pracy).

Ceny są określone przy opisie poszczególnych produktów.

Robiąc zakupy u nas nie ponoszą Państwo żadnych dodatkowych kosztów typu „opłata za weryfikację tożsamości”, „opłata za przesłanie dokumentów” itp.
Jedyne dodatkowe koszty, które mogą ewentualnie wystąpić, są związane z dodatkowymi usługami: dojazd pod wskazany przez Państwo adres, szkolenie itp.

Kwalifikowany certyfikat CenCert zawierający imię i nazwisko musi zawierać dane pozwalające na jednoznaczną identyfikację osoby – numer PESEL albo numer NIP (osoby fizycznej, użytkownika certyfikatu), albo numer dokumentu tożsamości.

Wiele systemów administracji wymaga, aby w certyfikacie był umieszczony nr PESEL.

Zakupu certyfikatu z nr dokumentu zamiast numeru PESEL należy rozważyć w przypadku, gdy będzie on wykorzystywany do podpisywania dokumentów dostępnych następnie publicznie lub w szerokim gronie odbiorców (np. do podpisywania aktów prawnych bądź decyzji administracyjnych).

W przypadku certyfikatów nabywanych w celu kontaktu z systemami administracji (np. rozliczenia z urzędem skarbowym, eKRS), bezpieczniej jest kupić certyfikat z nr PESEL.

Wybór formatu certyfikatu (z nr PESEL czy bez) leży po stronie użytkownika i nie może być powodem roszczeń reklamacyjnych.

Kwalifikowany certyfikat może być anonimowy, tzn. nie zawierać danych osobowych właściciela certyfikatu.

W takim przypadku certyfikat nie zawiera pól “imię”, “nazwisko”, “numer seryjny”, a zamiast nich zawiera pola “pseudonim” oraz “nazwa powszechna” (o treści takiej samej jak pseudonim). Taki certyfikat może też zawierać dane organizacji (wtedy przy wystawieniu certyfikatu jest potrzebne upoważnienie wystawione przez tę organizację).

Przykład 1: Certyfikat z polami identyfikatora “Kraj=PL, Pseudonim=J24, Nazwa powszechna=J24”.

Przykład 2: Certyfikat z polami identyfikatora “Kraj=PL, Pseudonim=Inspektor nr 34678, Nazwa powszechna=Inspektor nr 34678, Organizacja=Urząd powiatowy XXXX, Jednostka organizacyjna=Wydział Transportu”.

Certyfikaty anonimowe są wystawiane tak, jak wszystkie inne certyfikaty kwalifikowane (wymagają uwierzytelnienia na podstawie dokumentu tożsamości) i tak samo, jak inne certyfikaty kwalifikowane do podpisu – są przypisane wyłącznie do osoby, której zostały wystawione.

W sensie prawnym podpis kwalifikowany złożony przy użyciu certyfikatu anonimowego jest takim samym podpisem kwalifikowanym (zastępującym podpis własnoręczny), jak podpis złożony przy użyciu certyfikatu zawierającego dane osobowe.  W praktyce jednak nie można gwarantować, że w każdym systemie informatycznym certyfikaty anonimowe będą dopuszczone do użytku. W konkretnych zastosowaniach podpisu kwalifikowanego mogą istnieć jakieś specyficzne wymagania nakazujące możliwość identyfikacji osoby na podstawie podpisu (wtedy certyfikaty anonimowe nie będą mogły być tam zastosowane).

Certyfikaty anonimowe są “anonimowe” tylko w pewnym stopniu. Odbiorca podpisanego dokumentu nie otrzymuje wraz z dokumentem danych osobowych – i w tym sensie certyfikaty są rzeczywiście anonimowe. Jednak CenCert, jako kwalifikowany podmiot świadczący usługę zaufania, dysponuje pełnymi danymi osobowymi właściciela certyfikatu. W przypadkach nakazanych przepisami prawa dane osobowe właściciela certyfikatu będą udostępnione uprawnionym instytucjom (Policja, prokuratura itp.).

Tak, udostępniamy dla jednostek administracji ścieżkę pozwalającą na zakup na podstawie faktury płatnej przelewem w terminie 21 dni.

W skrócie: Należy złożyć normalne zamówienie w sklepie www, wybierając płatność “przelewem bankowym”, następnie prosimy o maila na adres biuro@cencert.pl, z prośbą o wystawienie faktury do zamówienia o danym numerze. Po wystawieniu faktury, można od razu odebrać podpis, kod do odnowienia lub inny produkt, a zapłacić w terminie wskazanym na fakturze.

Szczegółowa instrukcja

Podstawowe cechy podpisu rSign znajdziesz TUTAJ.

Aplikacja rSign by CenCert, instalowana na urządzeniach mobilnych z systemem Android, iOS (telefon komórkowy, tablet itp.), służy do zatwierdzania woli złożenia podpisu kwalifikowanego (lub wielu podpisów).

Do każdego wydanego certyfikatu CenCert może być przyporządkowane tylko jedno urządzenie mobilne. Nie ma możliwości “klonowania” urządzeń, ale jest możliwość “przeniesienia aktywacji”.

Dla wygody użytkownika, CenCert oferuje łatwą metodę przeniesienia aktywacji podpisu na inne urządzenie, pod następującymi warunkami:

1. użytkownik zna PIN do aplikacji rSign, który ustawił na poprzednim urządzeniu,
2. użytkownik ma dostęp do aktualnego pliku backupu, utworzonego przez aplikację rSign,
3. użytkownik ma możliwość odebrania SMS wysłanego na ustawiony w aplikacji rSign numer telefonu.

Ad. 2.
Aplikacja rSign informuje o konieczności wykonanie backupu, i przesłania go poza urządzenie mobilne, zawsze, kiedy jest to potrzebne. Plik backupu jest bardzo mały (kilkadziesiąt bajtów) i bez problemu można go np. przesłać mailem poza urządzenie lub zapisać na dysku Google czy iCloud.
W celu zachowania możliwości odtworzenia rSign w przypadkach losowych, nie należy pomijać propozycji utworzenia backupu, wyświetlanych przez aplikację rSign.

Ad. 3.

W przypadku zmiany numeru telefonu, ważne jest, aby niezwłocznie uaktualnić numer telefonu w bazie CenCert, przy użyciu aplikacji rSign.

Otrzymana od Inspektora ds. rejestracji karta elektroniczna (lub token) zawiera dane do generowania podpisu elektronicznego, ale jest nieaktywna i zabezpieczona specjalnym kodem transportowym. Kod ten jest wysyłany przez nasz system mailem, na adres użytkownika podany przy rejestracji.

Po otrzymaniu maila (zawiera plik z kodem transportowym) można przystąpić do aktywacji karty.

W celu aktywowania najpierw trzeba zainstalować na komputerze (nie musi to być komputer, na którym później będziemy podpisywać) program PEM-HEART Signature.

Następnie należy:

• w systemie Windows – kliknąć dwukrotnie myszą na zapisanym na dysku pliku z kodem transportowym,
• w innych systemach – uruchomić program PEM-HEART Aktywacja (zawarty w pakiecie PEM-HEART Signature), a następnie wskazać w programie plik z kodem transportowym.

Program PEM-HEART Aktywacja przeprowadzi proces aktywacji karty. Po aktywacji, karta będzie gotowa do użycia.

Przy aktywacji karty trzeba będzie nadać nowe kody PIN i PUK. Zalecamy, aby wprowadzone kody PIN i PUK zapisać i przechowywać w bezpiecznym miejscu (oddzielnie od karty!!!). CenCert nie posiada kodów PIN/PUK nadanych przez użytkownika i nie jest w stanie pomóc w przypadku zablokowania karty.

Zestaw narzędzi do składania podpisu zależą od konkretnych potrzeb użytkownika – co i gdzie potrzebuje podpisywać.

W każdym przypadku, na komputerze służącym do składania podpisów trzeba zainstalować biblioteki Encard. Biblioteki można zainstalować wraz z pakietem PEM-HEART Signature lub samodzielnie. Biblioteki Encard umożliwiają dostęp do karty za pomocą standardowych poleceń, zgodnych ze standardami PKCS#11, CSP.

W przypadku składania podpisów w jakimś systemie informatycznym (np. na stronach WWW urzędów), wystarczające jest korzystanie z bibliotek Encard oraz oprogramowania dostarczanego przez dany system informatyczny lub strony WWW.

Do podpisywania plików (np. PDF. DOC itd.) można użyć pakietu PEM-HEART Signature.

Nie ma żadnych ograniczeń licencyjnych co do liczby komputerów, na których można używać kartę i/lub token.

Na każdym komputerze musi być zainstalowana biblioteka Encard, ewentualnie cały pakiet PEM-HEART Signature (patrz pytanie Jakie narzędzia są potrzebne do składania e-podpisu?).

PIN do karty/tokenu można zmienić przy użyciu oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PIN.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Zmień PIN.

W programie Zarządca kart Encard – polecenie Zarządzanie PINami -> PIN do karty -> Zmień PIN.

PUK do karty/tokenu można zmienić przy użyciu oprogramowania Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać aktualny kod PUK.

W programie Zarządca kart Encard należy wybrać polecenie Zarządzanie PINami -> PIN administratora -> Zmień PIN.

Jeśli zapomnimy kod PIN, a znamy (lub mamy gdzieś zapisany) kod PUK – nie ma żadnego problemu.

Zablokowaną kartę da się odblokować przy pomocy oprogramowania PEM-HEART Signature lub Zarządca kart Encard (tylko na Windows, program z pakietu Encard). Trzeba znać kod PUK.

W programie PEM-HEART Signature należy wybrać polecenie Karta->Odblokuj kartę.

W programie Zarządca kart Encard – polecenie Operacje -> Zaloguj się do tokenu. Operacja się nie uda z powodu zablokowanego PINu, a program zaproponuje odblokowanie i zmianę PINu, na podstawie kodu PUK.

Jeśli nie znamy kodu PIN ani PUK, niestety nie ma możliwości odblokowania karty. Nikt poza użytkownikiem nie zna tych kodów, a bez nich karta jest bezużyteczna.

W takim przypadku można jedynie zakupić nowy certyfikat, w cenie odnowienia.

Jeśli ktoś chce mieć pewność, że jego narzędzie do składania podpisu nie będzie mogło być przez nikogo użyte – najprostszym sposobem jest fizyczne zniszczenie karty, np. poprzez przecięcie w miejscu, w którym znajduje się układ scalony (w miejscu złotych kontaktów). W przypadku tokena USB jest podobnie – trzeba otworzyć token (podważając klapkę), wyjąć ze środka kartę typu SIM i zniszczyć kartę. Sam czytnik (token) nie zawiera żadnych elementów związanych z certyfikatem i może być ponownie wykorzystany (np. przez inną osobę).

Jeśli ktoś ma taką potrzebę (np. nie chce lub nie umie wyjąć karty z czytnika typu token), kartę (token) można również zablokować logicznie. W tym celu należy zablokować kody PIN i PUK.
W celu zablokowania kodu PIN należy wywołać dowolną operację wymagającą podania kodu PIN (np. operację składania podpisu) – i podawać niepoprawny PIN tyle razy, aż pojawi się komunikat Karta zablokowana.
W celu zablokowania kodu PUK należy wywołać operację wymagającą podania kodu PIN (np. operację zmiany kodu PUK) – i podawać niepoprawny PUK tyle razy, aż pokaże się komunikat Kod PUK zablokowany lub PIN administratora zablokowany.

Po zablokowaniu karty (kodów PIN oraz PUK) nie ma żadnej możliwości użycia klucza do podpisywania, zapisanego na karcie.

Jeśli zmienią się dane identyfikacyjne zawarte w certyfikacie, to jest imię lub nazwisko, należy unieważnić certyfikat i zakupić nowy w cenie odnowienia, na nowej karcie.
Ze względu na zmianę danych zapisanych w certyfikacie, nie można tej wymiany certyfikatu wykonać on-line, zapraszamy do jednego z naszych Punktów rejestracji.

Jeśli certyfikat do podpisu zawiera dane dokumentu tożsamości (dowód, paszport) zamiast nr PESEL, po pewnym czasie dokument ten przekroczy swój okres ważności.

Nie ma to wpływu na wystawiony wcześniej certyfikat, zawierający dane tego dokumentu – nie trzeba go wymieniać. W dalszym ciągu można również wymienić ten certyfikat online, z przepisaniem danych tego dokumentu tożsamości do nowego certyfikatu.

Zgodnie z normami opisującymi budowę certyfikatów kwalifikowanych, pole serialNumber, zawierające PESEL, NIP lub nr dokumentu, służy do jednoznacznego wskazania danej osoby fizycznej, w sytuacji, gdy pola Imię i Nazwisko nie są do tego celu wystarczające. Rolę tę w dalszym ciągu spełnia numer dokumentu tożsamości będącego już poza okresem ważności. Posługując się tym numerem dokumentu, w dalszym ciągu można wskazać konkretną osobę, dla której ten dokument tożsamości był wystawiony. W związku z tym nie ma przeszkód, aby dalej umieszczać tę daną w certyfikatach odnawianych online.

W przypadku zmiany adresu mail, prosimy o kontakt telefoniczny z naszą linią pomocy technicznej w celu aktualizacji adresu.

Aktualizacja numeru telefonu jest bardzo ważna w przypadku używania podpisu rSign. Aktualizację nalezy wykonać przy pomocy aplikacji rSign by CenCert (menu Ustawienia -> Powiązany numer telefonu).
W przypadku podpisu na karcie, aktualizacja numeru telefonu nie jest konieczna.

Podpisem elektronicznym mogą być podpisywane dowolne pliki. Nie ma żadnych ograniczeń ani na format, czy strukturę plików, ani na ich wielkość.

Natomiast nie wszystkie formaty podpisu mogą być zastosowane w każdym przypadku. Format PadES jest przeznaczony tylko dla plików PDF, XAdES otoczony – tylko dla plików XML i tylko do pojedynczego podpisu. Pozostałe formaty (czyli inne formy XAdES, podpisy CAdES) nie mają ograniczeń na format pliku podpisywanego.
W przypadku podpisów odłączonych (gdy podpis jest zapisywany w oddzielnym pliku), pamiętać trzeba, że komplet danych stanowią dwa pliki – plik podpisywany oraz plik z podpisem. W przypadku takiej formy podpisu, podpisu nie da się zweryfikować bez pliku podpisywanego.

W przypadku formatu podpisu PAdES – wynikiem jest zawsze plik PDF (*.pdf). Podpis znajduje się w środku pliku, w formacie zgodnym z PDF. Dokument (PDF) można odczytać bez weryfikacji podpisu (np, w programie Acrobat Reader DC).

W przypadku formatu XAdES otoczony, wynikiem jest plik w formacie zgodnym z XML (*.xml), dokument (XML) można odczytać bez programu do weryfikacji podpisu.

W przypadku formatu XAdES otaczający, wynikiem jest plik XML, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.xades.

W przypadku formatu XAdES w osobym pliku, wynikiem jest dodatkowy plik XML, zawierający podpis (zazwyczaj *.xades). Plik podpisywany (źródłowy) pozostaje bez zmian i można go odczytywać niezależnie od weryfikacji podpisu.

W przypadku formatu CAdES, wynikiem jest plik PKCS#7 lub SMIME, zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.sig.

W przypadku formatu ASiC, wynikiem jest skompresowany plik zawierający podpis oraz zakodowany plik źródłowy. Nie ma możliwości odczytania dokumentu bez programu do weryfikacji podpisu. PEM-HEART Signature nadaje rozszerzenie *.asisc.

Najpewniejszym sposobem przekonania się, czy plik jest podpisany, i ewentualnie ile i jakich podpisów zawiera, jest próba zweryfikowania podpisu. Można do tego użyć PEM-HEART Signature.

W przypadku plików PDF można także otworzyć dokument w Acrobat Reader DC i otworzyć Panel podpisu.

Tak. Do weryfikacji podpisu jest potrzebne tylko oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. PEM-HEART Signature. Token nie jest potrzebny.

Do weryfikacji podpisu potrzebne jest oprogramowanie, które potrafi rozpoznać i zweryfikować odpowiedni format podpisu, np. program PEM-HEART Signature.

Szczególnym przypadkiem jest format podpisu PAdES (pliki PDF), ponieważ do weryfikacji tych podpisów wystarczy Acrobat Reader DC. W przypadku podpisów PDF nie ma więc potrzeby instalowania dodatkowego oprogramowania do podpisu. Dodatkowo, aktualne wersie Acrobat Reader DC korzystają z europejskiej listy TSL, a więc poprawnie rozpoznają certyfikaty europejskich kwalifikowanych dostawców usług zaufania, co oznacza, że nie ma potrzeby wykonywania żadnych czynności konfiguracyjnych przy weryfikacji podpisów składanych certyfikatami CenCert.

Przy weryfikacji podpisu, program musi dysponować aktualnymi informacjami o unieważnieniach certyfikatów oraz aktualnym certyfikatem dostawcy usług zaufania, który wystawił certyfikat użyty do podpisu. Informacje te program pobiera automatycznie przez Internet, kontaktując się z odpowiednim serwerem OCSP, czy też pobierając aktualną listę CRL lub TSL.

W przypadku braku połączenia internetowego, program PEM-HEART Signature wciąż umożliwia weryfikacje podpisów, z tym że wtedy potrzebne listy CRL i/lub TSL trzeba pobrać z Internetu ręcznie (np. na innym stanowisku) i następnie wczytać w programie (Ustawienia, następnie zakładka Import danych).

Tak, dokument może być podpisany przez wiele osób. W PEM-HEART Signature można to zrobić w następujący sposób: Funkcje zaawansowane -> Dodaj podpis.

Kontrasygnatą nazywamy podpis złożony pod podpisem.
W przypadku dodania „normalnego” podpisu do dokumentu, w większości formatów, podpisy są zapisane niezależnie od siebie. Każdy podpis potwierdza treść dokumentu, ale nie obejmuje innych podpisów. W związku z tym istnieje techniczna możliwość, aby usunąć np. jeden z podpisów dokumentu (nawet złożony wcześniej), a pozostałe podpisy będą wciąż poprawne.

Ponieważ podpis złożony jako „kontrasygnata” obejmuje również podpis złożony wcześniej, nie da się usunąć z dokumentu podpisu wcześniejszego i zachować jednocześnie ważności „kontrasygnaty”.

Potrzeba składania podpisów w trybie „kontrasygnaty” może wynikać z zaawansowanych potrzeb użytkowników podpisu elektronicznego. Format PAdES wymusza dodawanie następnych podpisów w trybie kontrasygnaty ze względów technicznych – każdy następny podpis musi obejmować wszystkie wcześniejsze podpisy z powody takiej konstrukcji normy PAdES.

W PEM-HEART Signature kontrasygnatę można złożyć w następujący sposób: Funkcje zaawansowane -> Kontrasygnata.
Przy weryfikacji dokumentu w PEM-HEART Signature, podpis w trybie kontrasygnaty jest widoczny na drzewie podpisów jako „gałąź”, poniżej podpisu, do którego jest dołączony.

Znakowanie czasem polega na dodaniu do podpisu „znacznika czasu”, gwarantującego, że określony podpis (a więc i podpisany dokument) istniał w danym momencie.

Szczególne znaczenie mają kwalifikowane znaczniki czasu, wydawane przez kwalifikowanego dostawcę usług zaufania (jak CenCert). Takie znaczniki odnoszą skutek tzw. „daty pewnej”, są prawnie równoznaczne z urzędowym potwierdzeniem daty.

Zastosowanie znaczników czasu może być różnorodne – wszędzie tam, gdzie jest potrzebny dowód istnienia określonego dokumentu w określonym czasie. W ten sposób można np. datować dokumenty formalne jak protokoły z zebrań zarządów spółek czy zgromadzeń udziałowców.

Odrębnym, i bardzo ważnym, polem zastosowań jest zapewnienie ważności podpisu elektronicznego w dłuższym czasie.

Jeśli dysponujemy dokumentem popisanym elektronicznie, a certyfikat użyty do podpisu jest wciąż ważny i nie został unieważniony, sytuacja jest prosta. Możemy weryfikować podpis elektroniczny bez dodatkowych struktur jak znaczniki czasu.
Sytuacja się komplikuje, gdy certyfikat zostanie unieważniony (bo np. właściciel certyfikatu zgubi kartę lub zmieni pracę) albo jest już poza okresem ważności. W takim przypadku weryfikacja podpisu nie jest już taka prosta. Podpis elektroniczny dalej pozostaje ważny (pomimo utraty ważności certyfikatu), o ile został złożony wcześniej – w okresie ważności certyfikatu. A najlepszym i najpewniejszym dowodem istnienia tego podpisu w danym momencie (gdy certyfikat jest jeszcze ważny) jest kwalifikowany znacznik czasu.

W PEM-HEART Signature po weryfikacji podpisów pod dokumentem wyświetlane są informacje o ewentualnych znacznikach czasu.
W przypadku dokumentów PDF, można to sprawdzić także w Acrobat Reader DC. Po otwarciu podpisanego dokumentu, w Panelu Podpis, znajduje się w takim przypadku adnotacja „Podpis zawiera osadzony znacznik czasu”.