biocertiX to oprogramowanie rozszerzające funkcjonalność istniejących elektronicznych systemów obiegu dokumentów o możliwość złożenia na dokumencie elektronicznym własnoręcznego podpisu za pomocą rysika na tabletach Samsung. System zapisuje, poza samym obrazem podpisu, szereg parametrów wykorzystywanych w analizie autentyczności (dane biometryczne).
System od samego początku był projektowany z myślą o zapewnienieniu wysokiego poziomu bezpieczeństwa i z sukcesem przeszedł rygorystyczną, międzynarodową certyfikację Common Criteria.
Back-end systemu biocertiX (część serwerowa) instalowany jest w infrastrukturze klienta. Front-end systemu stanowi aplikacja mobilna instalowana na tabletach Samsung. Klienckie systemy elektronicznego obiegu dokumentów po integracji z back-end biocertiX wysyłają poprzez API dokument do podpisu. Aplikacja mobilna prezentuje ten dokument oraz umożliwia uzupełnienie go o dodatkowe informacje i złożenie własnoręcznego podpisu elektronicznego.
Po złożeniu podpisu rysikiem na aplikacji mobilnej dane biometryczne są szyfrowane i tworzony jest wynikowy plik PDF, który jest dodatkowo pieczętowany kwalifikowaną pieczęcią elektroniczną oraz znakowany kwalifikowanym znacznikiem czasu.
BiocertiX został certyfikowany w ramach Common Criteria (ISO 15408). Oznacza to, że spełnia surowe międzynarodowe standardy bezpieczeństwa sprawdzone przez akredytowane laboratorium krajowe. Posiada szereg zabezpieczeń gwarantujących, że dokument jest integralnie połączony z podpisem, a jego treść oraz dane biometryczne podpisu nie wpadną w niepowołane ręce.
Wśród licznych zabezpieczeń można wyróżnić:
Dzięki usłudze Zaufanej Strony Trzeciej klucz prywatny, niezbędny do odszyfrowania danych biometrycznych jest bezpieczne przechowywany na sprzętowym module bezpieczeństwa HSM (ang. Hardware Security Module), na którym został wygenerowany i którego nigdy nie opuszcza.
signaturiX to kompleksowa platforma podpisów elektronicznych, umożliwiająca złożenie różnych rodzajów podpisów elektronicznych na jednym dokumencie tj. podpisu prostego (click-to-sign), podpisu prostego z weryfikacją SMS, podpisu zaawansowanego (odręczny z danymi biometrycznymi lub bez), a także kwalifikowanego. W zależności od rodzaju podpisu, do jego złożenia wystarczy zwykły komputer, telefon lub w przypadku podpisu biometrycznego urządzenie z rysikiem (np. tablet lub signpad).
biocertiX to rozwiązanie obejmujące możliwość składania podpisów biometrycznych (wydzielony fragment rozwiązania signaturiX) na urządzeniach mobilnych Samsung, dodatkowo zabezpieczone dzięki Samsung Knox oraz usługom zaufania Certum by Asseco. Dzięki partnerstwu trzech podmiotów (Samsung, Asseco, Xtension) rozwiązanie biocertiX poddano certyfikacji międzynarodowej zgodnie z normami Common Criteria. Uzyskano pierwsze tego typu certyfikowane pod względem bezpieczeństwa rozwiązanie podpisu biometrycznego.
Wymagana jest aplikacja mobilna biocertiX oraz odpowiednio przygotowany tablet Samsung z platformą bezpieczeństwa Knox.
Common Criteria (CC) to międzynarodowy zestaw zaleceń i specyfikacji opracowanych do oceny produktów bezpieczeństwa informacji, w szczególności w celu zapewnienia, że spełniają one uzgodniony standard bezpieczeństwa dla wdrożeń rządowych. Po ukończeniu, daje nabywcom pewność, że proces specyfikacji, implementacji i oceny dla każdego certyfikowanego rozwiązania bezpieczeństwa komputerowego został przeprowadzony w sposób dokładny i standardowy.
biocertiX pozwala podpisywać własnoręcznie wszelkie dokumenty, umowy, zgody czy oświadczenia w formacie pliku PDF. Przed podpisaniem dokumentu jego treść jest prezentowana użytkownikowi, a po złożeniu przez niego podpisu treść dokumentu zostaje nierozerwalnie związana z podpisem, co dodatkowo potwierdza kwalifikowany certyfikat pieczęci elektronicznej.
Dokumenty podpisane przy użyciu biocertiX zachowują pełną moc prawną i dowodową.
Forma pisemna jest jedną z trzech form czynności prawnych zawartych w polskim Kodeksie Cywilnym. Zawieranie umów w formie pisemnej wymaga złożenia własnoręcznego podpisu pod oświadczeniem woli. Złożenie podpisu przy użyciu biocertiX wystarcza dla zachowania formy pisemnej.
Zaszyfrowane dane biometryczne przechowywane są tylko w podpisywanym dokumencie (pliku PDF). Do ich odszyfrowania konieczny jest klucz prywatny przechowywany w module HSM w Certum w ramach usługi Zaufanej Strony Trzeciej. Dostęp do odszyfrowanej biometryki mają jedynie osoby umocowane przez sąd w danej sprawie np. biegły sądowy (grafolog).
Usługa Zaufanej Strony Trzeciej, świadczona przez Certum, udostępnia organom państwowym dedykowane oprogramowanie, dla celów i potrzeb toczących się postępowań sądowych i administracyjnych, do deszyfracji i eksportu danych biometrycznych z dokumentu. W ramach tej usługi generowana i przechowywana jest para kluczy związana z szyfrowaniem zebranej w czasie podpisu biometryki.
Podpisy online nie są weryfikowane podczas ich składania. System biocertiX nie przechowuje danych biometrycznych ani nie ma możliwości ich odszyfrowania.
Z punktu widzenia rozporządzenia eIDAS biocertiX to zaawansowany podpis elektroniczny dodatkowo korzystający z kwalifikowanych usług zaufania tj.:
Dzięki temu biocertiX posiada niemal wszystkie zalety podpisu kwalifikowanego, a jednocześnie jest wolny od jego ograniczeń. Nie ma konieczność wcześniejszego wyrobienia certyfikatu i stosowania kwalifikowanych urządzeń.
W rozumieniu rozporządzenia eIDAS (ang. electronic IDentification, Authentication and trust Services) podpis elektroniczny to „dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis”.
Wyróżniamy trzy rodzaje podpisów elektronicznych: