Ing. Petr Budiš, Ph.D., MBA je CEO a předseda představenstva společnosti První certifikační autorita, a.s. Dále působí v dozorčí radě společnosti DTCA, a.s. Má za sebou 25 let zkušeností v oblasti bezpečnosti a managementu. Je autorem několika knih a tematických publikací.
Celá historie vaší společnosti souvisí s poskytováním širokého spektra služeb souvisejících s kryptografickými nástroji pro bezpečnost dat, správu identit a nakládání s dokumenty. Neuvažujete o rozšíření záběru směrem k biometrickým nástrojům včetně biometrického podpisu?
V současné době o takovém rozšíření neuvažujeme a nejspíš to tak nebude ani v budoucnu. Problematiku biometriky a jejího využívání samozřejmě dlouhodobě sledujeme. Připomenul bych, že právě ve vašem časopise už v roce 2012 vyšel článek našeho tehdejšího pracovníka Jaroslava Tománka Biometrický podpis – Mýty a fakta. Když jsem si nyní článek znovu prošel, moc bych na něm neměnil. Biometrický podpis si své místo v běžném životě našel, ale euforie, která kolem něj před lety nastala, je pryč.
Každý z nás ví, v jakých situacích ho používá, resp. kdy je k jeho použití vyzván. A řekněme si, že se nejedná zrovna o situace, kdy by byl podpis bůhví jak důležitou součástí daného úkonu. Na druhou stranu máme ve svém portfoliu službu Úschova soukromých klíčů, která může být pro subjekty používající biometrický podpis velmi přínosná jako určitá nadstavba. O této službě se jistě v našem rozhovoru ještě zmíníme.
Biometrický podpis svou charakteristikou nepochybně patří mezi nejpokročilejší provedení tzv. prostého elektronického podpisu1. My se zcela cíleně a dlouhodobě věnujeme nástrojům pro vytváření vyšších forem elektronických podpisů, tj. zaručeného a kvalifikovaného spojení s certifikáty, zpravidla kvalifikovanými. Základem je pro nás legislativa EU – konkrétně nařízení známé pod zkratkou eIDAS – a navazující české zákony. A od nich se odvíjí poptávka a požadavky okruhu našich klientů. Pro úplnost je možné uvést, že výslovnou oporu v legislativě biometrický podpis nemá, tj. jeho náležitosti nejsou tímto způsobem upraveny.
Většímu rozšíření biometrického podpisu nejspíš neprospělo určité zpochybnění jeho používání ze strany Úřadu pro ochranu osobních údajů2. Dobrým signálem není, a nejen pro biometrický podpis, ani přetrvávající nejednotnost názoru soudů na používání různých typů elektronických podpisů.
V roce 2022 má IBM v plánu vytvořit kvantový počítač o kapacitě 433 qubitů. Připravujete se na to nějak? Nebojíte se, že váš business skončí v momentě dalšího rozvoje kvantových počítačů?
Sama uvádíte, že IBM má v plánu. To znamená, že dopad do praxe má před sebou ještě delší a nejspíš ne zrovna jednoduchou cestu. Pokrok samozřejmě nezastavíme a bránit se mu by bylo minimálně velmi hloupé. Reakce na jakýkoli další vývoj však bude záležitostí nejen naší firmy a nejen České republiky, ale minimálně celé EU. Znovu bych zopakoval – naše služby jsou převážně orientované na produkty a služby definované legislativou na úrovni EU s cílem jejich přeshraničního použití a uznávání.
I ti, kteří se na vývoji kvantových počítačů podílejí, jsou toho názoru, že nelze tvrdit, že kvantové počítače nahradí ty klasické, ale budou se doplňovat. Existují i úvahy o tzv. hybridních počítačích, které budou obsahovat jak klasický, tak i kvantový počítač a využívat předností obou typů. Kvantové počítače mají před sebou nejspíš velkou budoucnost, i když se objevují i varování před nereálnými očekáváními. Z pohledu certifikační autority a technologie elektronického podpisu k zásadním změnám v dohledné době nedojde, k postkvantové kryptografii se však stavíme jako k jednomu z projektů pro budoucnost.
Nabízíte službu vzdáleného kvalifikovaného podpisu I.CA RemoteSign. Můžete nám tuto službu více popsat? Jak je zajištěno, že ten, kdo se podepsal, je skutečně tím, kdo je u podpisu uveden?
Do nedávné doby platilo, že pro vytvoření kvalifikovaného elektronického podpisu musela podepisující osoba disponovat hodnocenou čipovou kartou, přičemž v čipu je uložen soukromý klíč, resp. data pro vytváření podpisu.
V případě služby I.CA RemoteSign je elektronický podpis vytvářen na zařízení typu HSM, který je ve správě poskytovatele služeb vytvářejících důvěru, tj. u nás. Uživatel tedy nemusí mít čipovou kartu.
Služba umožňuje vytváření elektronického podpisu na mobilních zařízeních (mobilní telefony a tablety) a máme už připravené řešení pro PC/NTB. Uživatel má vždy k dispozici aplikaci, kterou využívá pro přijímání požadavků a vytváření elektronického podpisu. V současnosti jsou v rámci služby podporována mobilní zařízení s operačním systémem Android nebo iOS a pro PC/NTB Windows. Je samozřejmé, že veškerá komunikace mezi zařízením uživatele a službou I.CA RemoteSign je šifrována speciálně vytvořeným protokolem a data předávaná do systému I.CA RemoteSign neobsahují dokumenty, které jsou určeny k podepsání.
Část bezpečnosti je na uživateli – pokud umožní vlastní neopatrností jinému přístup k aplikaci, pak skutečně může dojít ke zneužití. Ale to platí obecně – pokud jinému umožním použití mé platební karty, také mohu být nemile překvapen. A bohužel se stále ještě neoficiálně dozvídáme, že někteří šéfové přenechávají vytváření svého podpisu např. asistentkám či jiným pracovníkům. Na druhou stranu pamatujeme šéfy, kteří před odjezdem na dovolenou nechávali svým zástupcům čisté papíry, na kterých byl jen jejich podpis. Můžeme konstatovat, že technologie se mění, my lidé a naše zvyky však bohužel nikoli.
Tato služba vzdáleného kvalifikovaného podpisu I.CA RemoteSign je velmi praktická a šetří čas v porovnání s některými jinými způsoby přihlašování. Službu lze využít i pro jiné účely, např. pro přihlášení na web VoZP. Je nějaký způsob, jakým I.CA s předstihem uživatele služby informuje o novém softwaru nekompatibilním se starými kartami? (pozn.: V těch případech si totiž musí uživatel v bance vyžádat instalaci nové karty a je několik dnů nejen bez této užitečné služby, ale jsou mu navíc zablokovány i platby při přihlášení přes heslo.)
Nejprve bych zdůraznil, že máme pouze omezený vliv na to, jakým způsobem klient náš produkt použije. Lze říci, že pokud s námi klient otázku použití nekonzultuje nebo se nedohodneme na spolupráci při zavedení či implementaci, můžeme se o nevhodném použití následně dozvědět a klienta na to upozornit. Ale také se to dozvědět nemusíme vůbec. Samozřejmě platí, že zásadní požadavky na použití jsou uvedeny ve smlouvě s daným klientem.
Tak např. služba I.CA RemoteSign není rozhodně určena pro přihlašování do jakékoli aplikace. Jak sám název napovídá, je určena pro vytváření elektronického podpisu. Pokud se ale podíváme na webové stránky VoZP, nabízí se zde dva způsoby přihlášení – Bank ID nebo přihlášení pomocí identity občana. VoZP stanovila, a po jednom „kliknutí“ se to uživatel dozví, že pro přihlášení akceptuje Mobilní klíč eGovernmentu, občanský průkaz s aktivovaným čipem, NIA ID, Moje ID a konečně naši I.CA Identitu s čipovou kartou Starcos. Konkrétně se jedná o nový typ Starcos 3.7.
Připomenul bych informaci Ministerstva vnitra ČR vydanou již před mnoha lety, ve které se uvádí, že použití kvalifikovaného certifikátu, resp. elektronického podpisu pro autentizaci je možné řešit výhradně tak, že osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému…“. Je nepřípustné, aby podepisující osoba elektronicky podepisovala množinu dat, jejíž obsah nezná. Elektronický podpis je vždy nutné chápat jako podpis, tj. projev vůle vztahující se ke konkrétním datům3.
Jaké jsou odlišnosti bezpečnostních parametrů mezi vzdáleným kvalifikovaným elektronickým podpisem a standardním elektronickým podpisem?
Díky za tuto otázku, která ukazuje určitou nepřehlednost v názvech jednotlivých typů elektronických podpisů. Dovolte mi je v krátkosti představit:
- „Prostý“ elektronický podpis – takto může být označeno cokoli, co lze chápat jako podpis, např. jméno napsané z klávesnice, scan podpisu učiněného vlastní rukou a rovněž již zmíněný biometrický podpis jako nejvyšší forma tohoto typu.
- Zaručený elektronický podpis – ne úplně šťastný předklad anglického „advanced“ a některé jeho formy skutečně stěží něco zaručí. Jiné jsou naopak důvěryhodné a použitelné zejména v komerční sféře. Sem lze zařadit např. BankID Sign nabízený některými našimi bankami.
Oba uvedené typy e-podpisu nařízení eIDAS sice zmiňuje, bližší upřesnění uvádí pouze k zaručenému podpisu.
Naopak velmi striktní požadavky stanoví pro dva následující typy, kterými jsou zaručený elektronický podpis založený na kvalifikovaném certifikátu (ZEP QC) a kvalifikovaný elektronický podpis. U obou je požadavek na kvalifikovaný certifikát, rozdíl je v nárocích na uložení soukromého klíče, resp. kvalifikovaný elektronický podpis musí být vytvořen s použitím soukromého klíče uloženého v QSCD (Qualified Signature Creation Device). Seznam těchto prostředků je zveřejněn na oficiálních stránkách EU4.
Česká legislativa pak zavedla zkratku pro dva výše uvedené „kvalifikované“ typy, a to „uznávaný elektronický podpis“. Tento pojem je však za našimi hranicemi neznámý a v praxi působí spíš chaos.
Z hlediska použití nařízení eIDAS stanoví, že kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu. Podle české legislativy pak pro právní jednání, kdy je nejméně jedním účastníkem komunikace stát, musí být použit kvalifikovaný elektronický podpis zástupcem státu a stejný typ nebo ZEP QC tím, kdo se na stát obrací.
Uvedený popis rozdílů mezi jednotlivými typy není rozhodně vyčerpávající, pro prvotní orientaci však nejspíš postačí.
Ale zpět k vaší otázce. Měla jste zřejmě na mysli kvalifikovaný elektronický podpis s uložením soukromého klíče na čipové kartě a kvalifikovaný elektronický podpis ve variantě „remote“. Pro uživatele rozdíl v bezpečnostních parametrech není, pro poskytovatele musí být samozřejmě hardwarový modul daleko robustnější než čip integrovaný v kartě nebo tokenu. Bezpečnost použití nemá a ani nesmí mít odlišné parametry. Vysoké nároky na správu na straně poskytovatele a cena pořízení HW modulu jsou vyváženy pohodlím uživatele.
Co nás velmi trápí, je existence dvou názorových proudů mezi právními autoritami, pokud jde o typ elektronického podpisu nezbytného pro naplnění požadavku na písemnou formu jednání v komerční sféře. Ve zkratce – jedni jsou toho názoru, že postačí použití tzv. prostého elektronického podpisu, druzí mají zcela odlišný názor, tj. že je nezbytné použít kvalifikovaný elektronický podpis, případně zaručený elektronický podpis založený na kvalifikovaném certifikátu (souhrnně uznávaný elektronický podpis). Objevují se i tendence vydávat jiné typy elektronického podpisu za podpis stejných kvalit, jako je ten uznávaný. To už tak komplikovanou situaci ještě znepřehledňuje.
Pro ilustraci je možné uvést, že v Německu platí jednoznačný požadavek na použití kvalifikovaného elektronického podpisu.
Co citelně chybí, je aktuální judikatura Nejvyššího soudu. Přetrvává tedy celkem významná právní nejistota. Připomeňme si, že první právní předpisy upravující elektronický podpis byly přijaty už v roce 1999 (EU), resp. v roce 2000 (ČR). Času tedy bylo dost, přestože se mezitím tyto předpisy změnily.
V této oblasti zatím rozhodují především okresní soudy, a ty se přiklánějí převážně k druhému názorovému proudu. Což vede k situacím, kdy hrozí neplatnost právního jednání pro nedodržení písemné formy. A důsledky? Jen krátce pro názornost – nebankovní instituce, která uzavřela smlouvu o úvěru, může od soudu odejít s tím, že má nárok jen na takovou zápůjční úrokovou sazbu, kterou je repo sazba uveřejněná Českou národní bankou, a k ujednáním o jiných platbách sjednaných ve smlouvě o spotřebitelském úvěru se nepřihlíží. A že se nejedná jen o hypotetickou možnost, je možné se přesvědčit v řadě zveřejněných rozsudků5.
Přestože jsou tedy soudy preferovány podpisy založené na námi (a nejen námi) vydávaných kvalifikovaných certifikátech, žádnou radost nám stávající situace nepřináší. Uživatel potřebuje mít právní jistotu a my mu potřebujeme poskytnout kvalitní a jednoznačnou odpověď na jeho dotaz, jaký typ elektronického podpisu má v konkrétní situaci použít. V současnosti můžeme jen stále opakovat, že použití kvalifikovaného certifikátu je tou nejjistější cestou.
Bohužel k důvěře v elektronickou komunikaci tento stav přispěje jen stěží.
Co vás vedlo k zavedení služby Úschova kryptografických klíčů? Jak tuto službu realizujete? Jaká byla pro vás největší výzva při zajišťování zabezpečení této služby?
Služba nabízí komplexní správu kryptografických klíčů a jejich dlouhodobé uchovávání v prostředí třetí, nezávislé strany. V současné době ji využívá zejména řada klientů z bankovního sektoru. Při vývoji a zavádění na trh jsme se v případě této služby nesetkali s žádnými mimořádnými problémy.
K zavedení služby nás přivedly požadavky praxe – kryptografické klíče se využívají v řadě projektů a technických řešení pro zajištění důvěrnosti ukládaných nebo přenášených dat. A základní podstatou služby je nemožnost dešifrovat data bez vzájemné interakce I.CA a klienta. Klient tak má možnost prostřednictvím této služby sofistikovaně chránit data svých zákazníků. Služba má, kromě jiného, pro klienty podpůrný charakter při potenciálním soudním sporu a při prokazování projevu vůle jeho zákazníka. Je určena pro široké spektrum klientů.
Zajímavé je pro klienty využití v projektech integrace biometrického podpisu. Službu je možné využít, a také se tak děje, jako jednu z nadstavbových funkcí při použití této technologie, která řeší problém zachování důvěrnosti dat.
Ohromilo mě množství certifikátů a auditů, kterým vaše společnost disponuje. Drtivá většina je od společnosti TAYLLRCOX. Zvažujete také certifikáty od jiných společností?
Pokud je nám známo, v ČR získaly od Ministerstva vnitra pověření k posuzování prostředku pro elektronickou identifikaci a systému elektronické identifikace tři subjekty – TAYLLORCOX, Relsie a EZÚ. A pro posuzování shody v oblasti důvěryhodných služeb jsou v ČR ze strany Českého institutu pro akreditaci, o. p. s., akreditovány EZÚ, TAYLLORCOX a LL-C (Certification) Czech Republic, a. s. S Relsie a EZÚ trvale spolupracujeme a snad neprozradím nic tajného, když uvedu, že tyto firmy často spolupracují i mezi sebou. Skutečně kvalifikovaných a kvalitních auditorů není v naší branži mnoho a ti uznávaní si své postavení tvrdě obhajují – nedají nám zadarmo ani píď. Musíme si uvědomit, že kdyby došlo k nějakému incidentu a ukázalo se, že auditor „něco přehlédl“, mohlo by to pro něj mít až likvidační důsledky.
Navíc „stálý“ auditor dobře zná naše silné i ty slabší stránky a může se právě na ně při následném auditu zaměřit o něco více.
Možná může být pro někoho překvapující, že na stanovení požadavků auditů se i určitým způsobem podílíme. Aktuálně je např. nezbytné do požadavků zařadit určitou novou skutečnost a Ministerstvo vnitra k tomu pořádá velmi přínosné konzultace s auditory a s námi, kteří jsme auditování – a to není jen I.CA. Nakonec náš zájem je společný – bezpečnost a důvěryhodnost služeb. Pokud naše služby takové nebudou, náš business to tvrdě zasáhne. Jakékoli změkčování požadavků by postrádalo smysl. Rozhodně nejsme tak finančně silná firma, která si může dovolit určité riziko, jehož případné dopady či ztráty jednoduše pokryje finančním odškodněním.
Jaké máte certifikáty osvědčující soulad s normami ISO/ IEC řady 27000? Které konkrétně a kdo vás certifikoval?
Získali jsme certifikát shody systému řízení informační bezpečnosti (ISMS) s požadavky normy ISO/IEC 27001:2013. Využívaný Systém řízení informační bezpečnosti přitom zahrnuje využívání a provoz všech interních systémů využívaných v I.CA k poskytování služeb vytvářejících důvěru ve smyslu nařízení eIDAS jako hlavní náplně své činnosti.
Audit, resp. posouzení shody s požadavky normy ISO/IEC 27001 prováděla renomovaná auditorská firma TAYLLORCOX, s. r. o., jako česká pobočka společnosti TAYLLORCOX UK Ltd.
Na našich webových stránkách je příslušný certifikát zveřejněn. Pro tuto certifikaci jsme se rozhodli celkem logicky v rámci procesu průběžného zkvalitňování poskytovaných služeb. Součástí certifikace jsou i následné periodické roční dohledové audity, které proběhly v letech 2020 a 2021 a letos nás čeká další.
Jakým způsobem budete reagovat na doporučení německého federálního úřadu pro informační bezpečnost (BSI) ke kryptografickým algoritmům a délce klíčů, podle kterého se aktuální délky klíčů 2000 bitů pro el. podpisy doporučují používat do roku 2022 až 2023? Budou pro vaše klienty dostupné certifikáty s klíči 3000 a více bitů?
Pro nás je závaznou normou tzv. ALGO PAPER a pro německý BSI rovněž, i když mu nic nebrání být na teritoriu Německa přísnější. Konkrétně se jedná o normu ETSI TS 119 312 V1.4.2 (2022-02) Electronic Signatures and Infrastructures (ESI); Cryptographic Suites, takže zcela aktuální verze je z února tohoto roku (viz Tab. 1).
A odpověď je jednoduchá – našim klientům musí být k dispozici produkty a služby, které odpovídají této normě. Klienty na změny upozorňujeme předem, v dostatečném časovém předstihu, aby se na ně mohli připravit.
Tab. 1: https://www.etsi.org/deliver/etsi_ts/119300_119399/119312/01.04.02_60/ts_119312v010402p.pdf
V branži se objevují soudní spory související s produkty typově podobnými vašim. Dotkl se nějaký soudní spor i vás? Pokud ano, s jakým výsledkem?
Nikdy jsme nebyli účastníky jakéhokoli soudního řízení. Občas, ale neděje se to často, nás osloví Policie ČR s žádostí o potvrzení nějaké skutečnosti a vždy jsou naprosto spokojeni s našimi podklady.
Jen pro ilustraci – před mnoha lety jsme se obávali podvrhování zpráv a obdobných hrozeb, ale kromě teoretických odborných článků jsme se s ničím takovým v praxi nesetkali. Největší kauzou zjištěnou orgány činnými v trestním řízení bylo falšování „papírových“ dokumentů, resp. ověřovacích doložek notářů, tedy jejich razítek. Těmito dokumenty nám žadatelé o certifikát dokládali určitou skutečnost. A zhotovili si k tomu zcela obyčejné neelektronické razítko. Viníci byli celkem rychle zjištěni a jistě i náležitě potrestáni.
Nemyslím, že by se soudní spory týkaly přímo jednotlivých produktů, např. že by nebyly shledány bezpečnými. Spíš přetrvává problém s ne úplně jednotným přístupem soudů při posuzování přípustnosti použití některých typů elektronických podpisů u určitých úkonů. K tomu my můžeme jen doporučit použití kvalifikovaného elektronického podpisu, který sice není nezbytné použít v každé životní situaci, ale v žádné nesmí být zpochybněn, a to v rámci celé EU.
V prostředí bezpečnosti dat, elektronických podpisů, digitalizace a kyberbezpečnosti obecně se pohybujete už řadu let. Co je pro Vás osobně největší vizí, cílem do budoucna, ke kterému byste tyto služby v českém prostředí rád přiblížil?
Tato otázka mě přiměla k zamyšlení, jak dlouho se touto problematikou ve skutečnosti zabývám. První projekt jsme zahajovali v roce 1996, což je, pokud dobře počítám, už 26 let. Přijde mi to neskutečné, zejména v oblasti informačních technologií.
Za tu dobu se mnohé změnilo. Bezpečnostní technologie, zejména v elektronické komunikaci, jsou již poznanou nutností, nikoliv pouze volbou. Pořád se nám ale nepodařilo dosáhnout takové uživatelské přívětivosti a snadnosti implementace a použití těchto technologií, jaké bych si představoval. Myslím, že budoucnost směřuje k organickému propojení bezpečnostních a komunikačních technologií v jeden nedělitelný celek. Tak, jak dnes sedáme do auta, které je automaticky vybaveno všemi povinnými i volitelnými prvky komfortní výbavy, stejně tak je součástí každého vozu i airbag, bezpečnostní pásy a mnoho asistentů, aktivních i pasivních prvků bezpečnosti. Stejně tomu bude i v IT technologiích. Při návrhu řešení budou bezpečnostní požadavky automaticky implementovány prakticky do všech řešení a procesů a budou mít stejnou váhu, jako samotná funkčnost. To se sice zatím úplně všude neděje, ale domnívám se, že ta doba není daleko.
Co pro Vás bylo naopak v průběhu praxe největší překážkou, se kterou jste se musel potýkat?
Největší překážkou, se kterou se za celou svou odbornou praxi potýkám je nízká odbornost a nedostatečná úroveň znalostí v bezpečnostní problematice. Mnoho času věnujeme osvětě. I vy pořádáte konference, semináře, vydáváte časopis. Já si ale myslím, že se nám často nedaří vysvětlovat tuto složitou a komplexní problematiku takovým způsobem, aby byla srozumitelná a uchopitelná pro ty, kteří to ke své práci potřebují. Mám na mysli manažery, projektové manažery, implementátory a vývojáře, často ale i ty, kteří jsou akceptováni jako odborníci v oblasti IT bezpečnosti. To potom vyústí v mnohá nedorozumění a omyly, které v důsledku zpomalují implementaci vhodných bezpečnostních technologií do praktických řešení. Leckde se navíc zejména v posledních letech setkávám s neochotou se učit nové věci a přicházet s novými řešeními. V bezpečnostní branži je to tak, že největší ochota řešit bezpečnostní hrozby je v okamžiku, kdy nastal, respektive, když byl zjištěn významný bezpečnostní incident. V tom okamžiku všichni řeší konkrétní problém a snaží se minimalizovat škody. To je sice v pořádku, při systémovém přístupu k bezpečnosti by ale takové situace pravděpodobně ani nenastaly. Ale to už jsme zase zpět u té znalosti, odbornosti a ochotě se učit. Přejme si společně, abychom našli správnou cestu ve vzdělávání především mladých lidí a našli i to, co je bude k tomuto úsilí motivovat.
Máte nějaký vzkaz na závěr pro čtenáře DSM?
Všichni vnímáme, že žijeme ve složité době. Cítíme blízkost válečného konfliktu, pořád jsme se nevyrovnali s důsledky covidové epidemie, dopadá na nás ekonomická a společenská krize. Mnoho věcí se změnilo a málo co k dobrému. Dovolte mi tedy v této předvánoční době jednoduchý apel. Zkusme se z toho všeho nezbláznit. Berme věci tak, jak jsou, snažme se měnit to, co měnit můžeme a přijímat skutečnosti, se kterými nemůžeme nic dělat. Přeji všem čtenářům DSM klidné a krásné svátky, hodně zdraví, klidu a pohody.
Děkujeme za rozhovor.
Za DSM se ptala Daniela Seigová.
Poznámky pod čarou:
- KORBEL, František – KOVÁŘ, Dalibor – JAROŠ, Ján: Pojistný obzor: Aktuální právní přístup k dynamickému biometrickému podpisu [online]. Dostupné na: https://www.opojisteni.cz/pojistny-trh/pojistny-obzor-aktualni-pravni-pristup-k-dynamickemu-biometrickemu-podpisu/c:21090/
- Např. Kontrola využití biometriky u klientů (UOOU-09654/18) [online]. Dostupné na: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ ktg=6546&n=kontrola%2Dvyuziti%2Dbiometriky%2Du%2Dklientu%2Duoou%2D09654%2D18.
- Viz https://www.mvcr.cz/clanek/informace-k-pouzivani-kvalifikovanych-certifikatu-pro-elektronicky-podpis-a-zaroven-pro-autentizaci-a-sifrovani.aspx
- https://esignature.ec.europa.eu/efda/notification-tool/#/screen/browse/list/QSCD_SSCD
- Viz např. JANOŠEK, Vladimír: Prostý elektronický podpis dle EIDAS v soudní praxi. [online] Dostupné na: https://www.epravo.cz/top/clanky/prosty-elektronicky- podpis-dle-eidas-v-soudni-praxi-114434.html.