חומר רקע

PDF 23,281 תווים המסמך המקורי ↗
1 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 1 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 לכבוד 28.12.2020 ח ה"כ יע ק ב אשר - יו"ר ועדת חוקה חוק ומשפט כנסת ישראל ,מכובדי :הנדון הערות ל טיוטת תקנות החברות (דיווח, פרטי רישום וטפסים) (תיקון), התש"פ- 2020 רקע כללי ראשית נציין כי היוזמה ל הנגשת ול פישוט שרות מקוון לרישום חברה ולדיווחים היא יוזמה מבורכת. בה בעת אנו סבורים כי ההצעה לוקה, בעיקר בהיבטים הטכנולוגיים- .יישומיים שלה, כפי שנפרט להלן ההתיחסות שלנו היא ל תקנה4 ( תיקון סעיף16 א , תת סעיף2 לתקנות המקוריו ת) לגבי ה אמצעים הטכנולו גיים שישמשו לזיהוי מגיש הבקשה המקוונת )(עו"ד או בעל מניות. חברת קומסיין בע"מ פועלת כ-"גורם מאשר ." במסגרת חוק חתימה אלקטרונית במסגרת פעילותה מנפיקה קו ,מסיין, לכל דורש תעודה אלקטרונית המאשרת זהות , את הקשר החד משמעי וחד ערכי בינו ובין חתימתו(על גבי מסמך מקוון) ואת שלמות המסמך המקוון מרגע חתימתו. אין בחוק חתימה אלקטרונית סו ג חתימה אחר המאשר את זהות החותם אות דו בו! למרות שהחו ק כולל סוגי חתימות אחרים (חתימה אלקטרונית וחתימה אלקטרונית מאובטחת) אשר אינן מזהות את החותם , אלא רק מבטיחות לכאורה את שלמות המסמך המקוון החתום מרגע חתימתו . מפתיע מאד שהתקנות אינן כוללות חתימה מאושרת כאפשרות חתימה ו זיהוי וזאת כא שר כמעט ל כל עו"ד ביש ראל וכל איש עסקי )ם (בעלי מניות ים דב שעו במרחב המקוון– מחזיק ים בידי הם .חתימה מאושרת תחת זאת משרד המשפטים, בכדי להכשיר שימוש באמצעים ממשלתיים ולא באמצ עים פרטיים מקובלים לצורך הזדהות וחתימה , מ ציעים כאן שני אמצעים שמעידים ברמת וודאות פחותה על זהות החותם: - תעו דה אלקטרונית (תקנה4 , תת סעיף2 ), (ב , תת סעיף1 ) - הזדהות אלקטרונית בטוחה (תקנה4 , תת סעיף2 ), (ב , תת סעיף2 ) בנוסף המחוקק רושם תת סעיף3 – " אמצעים שיאשר שר המשפטים " , כאשר ברור מהתקנו ת שב שלב ,זה לא רשום ולכן נמנע מ עוה"ד ואי ש העסקים להשת מש בחתימה המאושרת ש הם כבר מ חזיקים בידם (ככל שיש ביד ם)אמצעי חתימה כזה לצרכי אימות . זה חמור ביותר כאשר כבר יש להם אמצעי ולא מרשים ל הם להשתמש בו לצורך הקמת חברה ! יש לו כבר חתימה מאושר ת ששילם ממיטב כ ספו וכאן המ חוקק מונע ממנו לה שת מש בחתי מה שלו ע"ג כרטיס חכם (של חברות פרטיות תש פקידן לזהות) והמחוקק מכיר בכרטיסים אלו כאמצעי זיהוי וחתימה מהמ עלה הראשונה .)(חתימה מאושרת כלומר מכשי רים אמצעים ממשלתיים נחותים מבחינת רמת הוודאות והאבטחה ולא מאפשרים שימוש באמצעי זיהו י וחתימה מקובלים במערכת המשפט ובמגזר העסקי . בכדי להסביר מה פסול ב "תעודה אלקט "רונית (לא מאושרת) להבדיל מ "תעודה אל קטרונית מאושרת" – שהונפקה ע"י גורם מאשר , אני מפנה לתעודה אשר חותמת על הצעת תקנו ת זו (ש נחתמה ב " תעודה אלקטרו נית " .)של משרד המשפטים רצ"ב העתק התעודה. רשום שה חותם הואUNKNOWN וכ אשר בודקים אז אין בה שו ם פרט מזהה פרט למילים e tic jus f istry o Min . זוהי דוגמא ל "תעודה אלקטרונית ." האם תעודה כזו מזהה את עוה"ד? התשו בה היא לא ולא . היא אינה מזהה. אז איך משרד המשפ טים מבקש ש וועד ת חוקה תאשר אמצעי כזה כאמצעי להז "דהות של עו ד או בעל מניות? מדוע לא ל הציע תעודה ,אלקטרונית מאושרת לפי החוק כאשר גורם חוקי זיהה כבר את בעל התעודה ופרטי בעל התעודה כולל ת.ז שלו וכל הפרטים הנדרשים שלו רשומים בתעודה (רצ"ב דו גמא מתעודה מאו שרת של קצי נה ב צ.ה. )ל? 2 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 2 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 "תעודה אלקטרונית "שמו זכר ת בסעיף1 ש מוזכרת חב וק חתימה אלקטרונית סעיף1 , אינה אמצעי הזדהות קביל לשום אדם (לא עו"ד ולא ב)על מניות, כל עוד ן אי לגביה כל חקיקה משלימה וכל דרישה להכללת פרטים בתעודה והיא אינה מו כיחה את זהותו של ה חותם כפי שהוכח מהתעודה האלקט רונית שחותמת על מסמך תקנות זה : דו גמא מתעודה מאו שרת )(הונפקה לה ע"י חברה פרטית, קומסיין של קצי נה ב צ .ה.ל: 3 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 3 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 ב תקנה5 - סעיף16 ב– מדובר על אימות(על ידי עוה"ד) של פרטי ה מזדהה שהוא בעל מ ניות ו "אישר את "הצהרתו באופן מקוון עם "תעודה אל קט "רונית . כל הפלפול הזה בא בכדי להימנע מלה גיד פשוט "חתימה "אלקטרונית על הטופס, אז רו שמים " "אישר את הצהרתו באופן מקוון )(ביטוי לא מובן בעליל – מה זה בדיוק ההמצאה הזו( " "אישר את הצהרתו באופן מקוון) ? חתם או לא חתם? כיצד אישר את הצהרתו? שאלתי לעני ין הצעת התיקון של משרד המשפטים בתקנה4 , :היא הכיצד עוה"ד אמור לזהות בעל המניות ה "מאשר הצהרתו באופן מקוון " על גבי מסמך ,כלשהוא כאשר לא כ לולים בתעודה של ו שו ם פרטים של החותם כפי שהדגמנו כאן וכפי ש הצעת התקנות מא פשרת כרגע? בהמ שך מוצע ת עוד סוג של "תעוד ה אלקט "רוניות והו א (תת סעיף2 " ) תעודה אלקטרונית לאימות כהכללתה ב ס עיף23א ל חוק מ רשם אוכלוסין " , והיא אינה מוגדרת בחוק חתימה אלקט י רונ ת כמו התעודה המוצעת בתת סעיף 1 ולמעשה אינה תעודה שמוג דרת בשום תקנה או חוק ואין חובה לכלול גם בה פרטי ם כלשהם ולכן אין שום חקיקה המסדירה את המעמד החוקי של אמצעי זה כא מצעי שמעניק מעמד ראייתי כ לשהו , אלא שהוא לכל היותר ראיה לכאורה בלבד ש אינה מעידה על זהות מקוונת ברמה של וודאות נדרשת ל צורך הקמת חברה. ולגבי ה אמצעי השני להזדהות- " הזדהות אלקטרונית בטוחה" : התקנות המוצעות כאן מגדירות "הז ד הות אלקטרונית באמצעות אימות רב גורמים, הכולל שני פרטי אימות "לפחות . בדברי ההסבר נרשם– 4 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 4 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 שוב– במ קום כרטיס חתימה פשוט ש קיים גבר בידי עוה"ד– מנסים להכשיר דרך מפולפלת מאד שלא קיימת בשום מקום בעולם וכל זה רק בכדי להכשיר מיזם של "ממשל זמין" שלא נרשם כאן במפורש והמחוקק כאילו מאפשר לעוה"ד ל ספק פרטי כרטיס אשר אי ופר ט.י ת.ז ולאחר מכן מספר ת.ז וסיסמא אב ל איפה עלי למסור את זה? הת שובה (הנסתר ת מ עי ני המחוקק והוועדה ) היא בא תר הממשלתי ורק שם. כלומר– לא רוצים חברה פרטית עם כרטיס שנוה ג כיום בכל השרותים ורוצים להעביר את עוה"ד הפרטי ל "דרך חתחתים " זו של שרשרת זיהויים באתר ממשלתי והכול בכדי שיעשו את זה בא מצעים ממשלתי ים ולא עם הכרטיס החכם של חברות פרטיות שברשותם, שאית ו עובדים כיום מול מערכת נט המשפט להגשת כ תבי בי דין . סיכום ביניים : קיים כיום אמצעי זי הוי ו חתימה ברמה הראייתית הגבוה ה ביותר (לית מא ן דהפליג) והוא" חתימה אלקטרונית מאוש רת " ו"תעודה מאושרת" בצידה, ,אשר חברות פרטיות מנפיקות לכל דורש (רופאים "ד עו , רואי חש ,בון מורשים ב תאגידים ו .)בעלי מניות אמצעי זה יכול לקצר את התקנות ולעשות ן פשוטות מאד !!! ולא מפולפלות ומסו בכות בעניין הז יהוי. .גם אימות החתימה יהיה הרבה יותר פשוט הדבר היח יד שלא בא טוב למשרד המשפטים והמשרד לדיג יטל הוא שמא ח ו רי אמצעי זיהוי וחתימה זה עומד ות חברות פר טיות שמזהות את בעל ה חתימה ומפוקחות על ידי אותו משרד משפטים שביד אחת מפקח וביד שניה חוסם שימוש באמצעי זה ו"נותן פרנסה" לממשלה ואמצעי הזיהוי הממשלת יים ש"ממשל זמין" מבקש להציע לאזרח . משרד משפטים שבמקום לעודד חברות פרטיות– נלח ם בהן ומנסה ל בו.א תחתן האמצעים המוצעים כאן על ידי ממשל זמי ן ומשרד המשפטים : 1 . אמצעי הזיהוי המ משלתי ש ב תעודת הזהות (שאינו מאפשר חתימה ואינו כולל דרישה לפרטים שלהם בשום )חקיקה קיימת. 2 . הזהות אלקטרונית באמצעות אימות רב גורמים, הכולל שני פרטי אימות לפחות . – אינם ברי השוואה בשום פרמ ט ר ל"תעודה אלקטרונית מאושרת", לא בפרמטר של הפ רטים ואימות הפרטים, לא בפרמטר של חוזק הראיה ולא בפרמטר של נוחות שימוש (אמצעי שכבר קיים בידי .)העוסקים ועוה"ד אמרה לפני כ- 20 שנה עו "ד טנה שפניץ )(הממונה על החקיקה במשרד המשפטים בווע דה זו (בראשות יו"ר הוועדה ח ה"כ מי כאל איתן שדרש התחיבות ממשלתית לא להפריע ל תפקוד ה חברות הפרטיות בתחום זה ) באלו ה לים ימ: " אני רוצה להעיר לדברים שנאמרו על- ידי היושב ראש. אני לא מתייחסת להיסטוריה, אנחנו בנושא מודרני שמביט קדימה, ואני בכל זאת חושבת שצריך לתת אמון בהצהרות משרד האוצ ר, בלי קשר לעבר של הדברים. אם יש משקע כזה או אחר, צריך שזה לא ישפיע על הליך החקיקה כך שנתחיל עכשיו להכניס לחוקים דברים- אני אומרת את זה בזהירות- .שבדרך כלל לא מקובל להכניס לחקיקה ההצהרה הזו זאת מדיניות הממשלה היום, שדברים שהשוק הפרטי יכול לעשות מן הדין ש הוא יעשה אותם ; עדיין, למרות שאמר בועז דולב שזה יהיה רק בתוך הממשלה, אני רוצה לומר שיכול להיות שיהיו התקשרויות מאוד מסווגות, מאוד מיוחדות, שגם להן יצטרכו אישור מעבר למה שמקובל בשוק הפרטי. ובכן, יש מדיניות ממשלה ויש פיקוח כנסת ומה שהוועדה תרצה שיבוא אליה, יב וא אליה, אני רק חושבת שכדאי שנישאר בדפוסי החקיקה המקובלים עלינו בלי קשר לדברים האלה. ההצהרה העקרונית היא בוודאי .המדיניות שמדריכה אותנו היום בכל התחומים, ובוודאי שבתחום כזה לא נתחיל לסגת ממנה " מה שנעשה כאן היום הוא בפרוש שהמ משלה רוצה להכשיר אמצעים ממשלתיים במקום אמצעים טובים שהשוק הפרטי מספ ק לציבור בכלל ולציבור עוה"ד ובעלי המניות ב פרט! במקום האמצעים המורכ בים שמוצעים כאן , יש לתעדף את השו ק הפרטי ויתכבד בעל מניות שרוצה להקים חברה וי וש רכ חתימה מסודרת בכמה שקלים לשנה , אין ש ום בעיה עם זה ולא צריך שרותים ממשלתיים בשביל מטרה זו : תקנות אלו הינן הדגמה ברורה של העדפת שרותים ממשלתיים על פני שרותים הרבה יותר מדוייקים ונכונים שמציע השוק .)הפרטי (תעודה וחתימה מאושרת נימוקים נוספים : 5 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 5 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 1 . חוק חתימה אלקטרונית איננו מסדיר דבר הקשור ל- ""תעודה אלקטרונית פרט ל אזכו ר המונח הזה . התעודה האלקטרונית אמורה לזהות את החותם . כיום ניתן לייצר "ת עודה אלקטרונית" ללא הליך זיהוי .כלשהו לא הליך הזיהוי, לא הגורם המנפיק, לא מבנה התעודה ולא תוכנה מוסדרים בחוק או נתונים לפיקוח כלשהו. התוצאה היא שהתיקון מאפשר לרשום חברות פיקטיביות, בזהויות בדויות או לדווח על שינויים בבעלות בחברות או בניהולן או בכתובתן באמצ עות הפקת "תעודה אלקטרונית" על ידי נוכלים ועבריינים על שמו של המנכ"ל שכן מי ומה ימנע מהם מלייצר תעודה אלקטרונית על שמו של מנכ"ל חברה ולהשתמש בתעודה המזויפת כדי להזרים מידע ולבצע פעולות פיקטיביות ( )מקרה שירביט ? 2 . .חוק החברות מאפשר כיום לחברה בע"מ לשמש כדירקטור בחברה אחרת "תעודה אלקטרונית מאושרת " המונפקת למורשה של תאגיד יוצרת וודאות שהמסר האלקטרוני נחתם לא ר ק על ידי התאגיד, אלא גם על ידי מי שהתאגיד הסמי כו לחייב את התאגיד בחתימתו האלקטרונית (מורשה "חתימה מטעם התאגיד). "תעודה אלקטרונית לא מספקת .שירות זה "כיצד יזדהה דירקטור שהוא תאגיד? איך נוודא ש ה חתימה האלקטרונית" מחייב ת ?את התאגיד 3 . ,זיהוי גם אם נניח שהוא זיהוי אמין ,אינו משקף "גמירות דעת " לגבי חתימה ואינו יכול להחל י ף חתימה . רק חתימה וגם היא לא תמיד, מ ס פקת גמירות דעת. איך ת י מנע התכחשות למסמך שכלל לא נחתם אלא ""אישר את הצהרתו באופן מקוון (ביטוי לא מובן )עם שני פרמטרים ב פורט ל של ממשל זמין? 4 . החלופה השלישית ב תיקון תקנה16 ()א(ב3 ) של הסמכת רשם החברות לקבוע אמצעי זיהוי עתידי לפי שיקול דעתו הבלעדי, בלא כל בקרה של הכנסת, לא רק שאיננה מקובלת ואיננה תקינה מבחינת נוהל חקיקה תקין, .אלא גם מסוכנת לא נקבעו שום קריטרי ונים .מחייבים אפילו חוק חתימה אלקטרונית שיצר אסדרה בדמות רשם גורמים מאשרים, הכפיף כל תיקון חקיקה ותקנות לוועדת המדע והטכנולוגיה של .הכנסת 5 . הפתרון המוצע איננו ישים ביחס לתושבי חוץ (תאגיד או אדם פרטי) שאיננו נושא בתעודת זהות .ישראלית ואיננו רשום במרשם האוכלוסין 6 . הפתרון המוצע איננו מוכר על ידי מערכות ההפעלה השונות ובוודאי רק מעמיק את הפער בין מגמת .האחדה העולמית לבין מדינת ישראל ,הנה לגבי מעמד בינלאומי והעל א ת הדרוג כסיבה ל חקיקה ( DOING BUSINESS ) מצ"ב בתרשים : מעבר למעמדה של קומסיין כ"גורם מאשר" בחקיקה הישראלית, קומסיין מוכרת גלוב,לית כ- Trusted International Certificate Authority ותעודותיה האלקטרוניות מוכרות על ידי מערכות ההפעלה המוביל ות .בעולם קומסיין נוטלת חלק פעיל בפעילויות של ארגוני תקינה בינלאומיים כחלק מהמאמץ הבינלאומי ליצירת הכרה הדדית, בין מדינתית, בתעודות אלקטרוניות המונפ קות על ידי גורמי אמון פרטיים העומדים בדרישות .התקינה העולמית הת קנות המוצע ות מתבסס ות על הליך זיהוי ממשלתי מו מצא, שאיננו משתלב ב שום מהלך בינלאומי להאחדה והכרה הדדית בין תכתובות מקוונות מאומתות ממדינות שונות ב- EU רק ו מרחיק את ישראל במורד הדירוג של המדינות המ.פותחות שנוח לעשות בהן עסקים הפתרון המוצע על ידכם איננו ישים ביחס לתושבי חוץ (תאגיד או אדם פרטי) שאיננו נושא בתעודת זהות ישראלית ואיננו רשום במרשם האוכלוסין וגם לא ישים לעורכי דין ממדינות ה- EU ושאר העולם. הרי ישרא ל עושה פעולות עסקיות עם מדינות אירופה ועורכ י דין נדרשים לייצ ג את ישראל באירופה כ פי שעורכי דין אירופיים .מייצגים חברות בישראל האם עו"ד ארופאי שיש לו חתימה אלקטרונית– עכשיו ינקוט בדרך החתחתים הממשלתי ת ?הזו 6 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 6 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 ראה לעניין זה דו"ח ETSI [ שפורסם בימים אלהETSI TR 103 684 V1.1.1 (2020-01) ] בנושא שיתוף פעולה בין מדינתי בהכרה בגורמי האמון הפרטיים ובהאחדה של הרגולציה הבין :מדינתית https://www.etsi.org/deliver/etsi_tr/103600_103699/103684/01.01.01_60/tr_103684v01010 1p.pdf זו פעם ראשונה שמדינת ישראל מוזכרת בדוח רשמי של הEU- בהקשר ספצי פי זה של חתימה אלקטרונית ורגולציה להקטנת הבירוקרטיה בין מדינות אירו פ .ה הEU- מזמין חברות מישראל להיות חלק מגורמים מאשרים שמדינות אירופה מוכנות להס ת מך עליהן בכל הקשור ל- EIDAS שהיא כללי רגולציית הזיהוי האלקטרוני .והחתימה האלקטרונית המקובלים באירופה הדוח קובע במדויק מה על ג ו רמים מאשרי ם לעשות בכדי להיות מוכר ים י בא רופה ר כגו ם מאשר לזיהוי .וחתימה חברת קומסיין פועלת באופן אינטנסיבי במוסדות התקינה האירופיים בשנים האחרונות ויש לה חלק מרכזי בהידוק הקשרים עם מוסדות התקינה וההסדרה האירופים. חברת קומסיין השלימה את כל הלי כי ההכרה בה מצד המוסדות האירופים והיא בשלב הסופי של הכרה בה כגורם אמון מוכר ב- EU . המדיניות של משרד המשפטים ,כפי שמשתקפת בטיוטה , לא רק ש אינה מתחברת להמלצות , היא מרחיקה את ההכרה בהליכי הזיהוי שמדינת ישראל מתכוונת לאמץ, על כל המשתמע מכך וממליצה לעורכי הדין ול?אזרחים על זיהוי ממשלתי כסוג של הקלה?! ממשלת ישראל תתמוך טכנית במיליוני אזרחיה? זה המודל שימוש בכרטיס חתי מ ה של קומסיין הוא הוא שי שדרג את מעמ דה של מדינת ישראל בדוחות של ה EU ו לא הדרך הנלוזה הזו שאין לה אח ורע בשום מדינה איר.ופאית. כולם משתמשים בכרטיסי חתימות מצור פות 'כנספח א המלצות ה- EU ליצירת הכרה בין מדינתית במערכות אמון )אלקטרוניות (זיהוי וחתימה מבוס ס ותPKI . ההמלצות מכוונות בעיקרן ליצירה ועמידה בתקנים בינלאומיים אחודים ועדכניים שיוכלו להיות מקובלים על כלל מדינות ה- EU ו שאר העולם. ,נביא, להלן, בתמצית תרגום כמה מההמלצות שבנספח על מנת להדגים עד כמה מדינת ישראל מתרחקת מהתקן העולמי: כללי: א) על מנת לבסס הכרה הדדית בין שירותי א מ ון מבוססיPKI שאינם מה איחוד האירופי לאיחוד ה אירופי, יש לקחת בחשבון כל אחד מארבעת תחומי ההשוואה המזוהים בסעיף4.2 (הקשר משפטי, מערכות פיקוח .)וביקורת, שיטות עבודה מומלצות, ייצוג אמון הקשר משפטי: ב ) העמקת האחידות ברמה הבינלאומית, דוגמת פעולתUNCITRAL , של כללים משותפים בחוקים לאומיים המסדירים שרותי אמון והכרה חוצה גבולות בהם., יסייעו משמעותית בהכרה הדדית ג ) גישת האיחוד האירופי להכרה הדדית צריכה להכיר בתפקיד המשמעותי של ת וכניות שירותי אמון .מבוססות הסכמים בשוק העולמי, כמו גם קיומם של תוכניות המבוססות על מסגרת רגולטורית לאומית ד ) שירותי אמון שאינם מוסמכים התומכים בחתימות אלקטרוניות מתקדמות( ADVANCED ) עשויים לשמש בסיס להכרה בעסקאות חוצות גבולות על פי תוכניות מסגרת רגולטוריו ת שונות המבוססות על .הסכמים ה ) יש לקדם את היתרונות של שירותי אמון מוסמכים )(גורמים מאשרים באיחוד האירופי. בפרט שהשימוש בשירותי אמון מוסמכים מספק מסגרת משפטית אחת המונעת את מגוון תוכניות האמון הספציפיות .ליישומים שצריך לספק על ידי כל ספק פלטפורמה ו ) חוסר ההסכמה מכוח סעיף14 שלeIDAS מהווה חסם להכרה הדדית בשירותי אמון מחוץ לאיחוד .האירופי שיוכרו כשירותי אמון מוסמכים בתוך האיחוד האירופי 7 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 7 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 שירותי ה אמון (זיהוי וחתימה) של קומסיין יוכרו כשירותי אמון מוסמכים בתוך האיחוד האירופי , עם קבלת ההסמכה ש שרותים אלה תואמים לדירקטיבה הארופאית הקרויהeIDAS . לעו ,מת זאת שירותי הזיהוי של ממשל זמין אינם עומדים בדרישות התקינה הבינלאומית ואינם מוכרים כאמינים ובטוחים על ידי מערכות ההפעלה השונות . זהו פתרון ממשלתי מקומי שאינו תואם לדרישות תקינה בינלאומיות ואיננו מקיים תקני.אבטחה מינימאליים המקובלים והנדרשים בסקרי אבטחה תקניים נטען בדברי ההסבר כי השינוי נדרש לצורך שיפור מעמדה של מדינת ישראל כמדינה הנוחה לעסקים ( DOING BUSINESS ) .אלא ש הדו"ח של הבנק העולמי מראה במפורש שהציון של מדינת ישראל בפתיחת חברה הוא אחד הג( בוהים בעולם94 ), בוודאי ביחס לנוש א ים אחרים[ כמו רישום נכסים67 ] וכיבוד הסכמים [ 59 ] שבהם הציון שלנו .נמוך בהרבה אז כל הרפורמה הזו היא בכדי לעלות מציון94 לציון96 ? יש כאן נושאים הרבה יותר מהותיים שמדינת ישראל צר י כה לשפר בכדי להגדיל את הציון שלה כמדינה נוחה לעסקי.ם .וכאמור השיטה המוצעת תוריד ציון ולא תעלה ציון ,בברכה ,זאב שטח מנכ"ל קומסיין 8 קרית-עתידים בנין 4 # ת.ד . 58007 תל אביב 61580 טל : 03-6443620 פקס : 03-6491092 WWW.COMSIGN.CO.IL 8 Atidim Tech Park, bldg # 4 P.O.B 58007 Tel-Aviv, 61580, Israel Tel: 972-3-6443620 Fax: 972-3-6491092 'נספח א– המלצות ה- EU 7.2 General a) In order to establish mutual recognition between EU and non-EU PKI based trust services, each of the 4 areas of comparison identified in clause 4.2 needs to be taken into account. ETSI 83 ETSI TR 103 684 V1.1.1 (2020-01) b) During the study, a number of transnational groups helped to provide input to this study: Asia PKI Consortium, Arab African e-Certification Authorities Network, International Mutual Recognition Technical Working Group (with members from EU, Japan and North America). It is recommended that ETSI maintain an ongoing liaison with these groups to exchange information relevant to mutual recognition. 7.3 Legal Context c) Further harmonising at the international level, e.g. UNCITRAL work, with common principles addressing trust services in national laws and cross-border recognition will significantly assist in mutual recognition. d) The EU should take the opportunity of 2020 revision of the eIDAS Regulation to further facilitate the international mutual recognition. e) The EU approach to mutual recognition needs to recognize the significant role agreement-based trust service schemes play in the global market as well as the existence of schemes based on a national regulatory framework. f) Non-qualified trust services supporting advanced electronic signatures may act as a basis for the recognition of cross-border transactions according to different regulatory framework schemes based on agreements. g) The advantages of EU qualified trust services should be promoted. In particular that the use of qualified trust services provides a single legal framework which avoids the variety of application specific trust schemes that need to be provided by each platform provider. h) The lack of agreement under eIDAS article 14 is a barrier to the mutual recognition of trust services outside the EU to be recognized as qualified trust services inside the EU. 7.4 Supervision and Auditing i) The ETSI standard for conformity assessment and audit ETSI EN 319 403 [i.54] should be promoted globally, particularly through the International Accreditation Forum (IAF), as the only existing practical scheme for assessment of trust service providers based on international standards for conformity assessment. j) In the absence of a global accreditation scheme for the audit of trust service providers, some flexibility may be necessary in the area of audit schemes, and schemes such as WebTrust might need to be recognized comparable to an audit scheme based on formally accredited auditors. k) The lack of consistency of the best practices used in the audit schemes for qualified trust services in Europe is jeopardizing their mutual recognition. l) The role of Policy Management Authorities (PMA) in agreement-based PKI schemes in overseeing the operation of trust services should be taken into account when considering mutual recognition, and PMAs should be encouraged to apply, within its domain, the same type of oversight functions as an EU supervisory body. m) The formal recognition of ETSI EN 319 403 [i.54] through eIDAS article 20.4 [i.4] or a certification scheme under the cyber security regulation [i.9] would significantly assist in clarifying that use of ETSI EN 319 403 [i.54] should be the preferred basis for cross recognition. 7.5 Best Practice n) The adoption of common standards, such as those defined by ETSI, as the basis for the provision of trust services will assist significantly in mutual recognition. o) Non-EU countries looking for mutual recognition should be encouraged to adopt the latest ETSI eIDAS-based standards particularly where they have already adopted earlier ETSI standards based on the Electronic Signatures Directive [i.64]. ETSI 84 ETSI TR 103 684 V1.1.1 (2020-01) p) ETSI standards should be extended to provide an interoperable equivalent to the EU Qualified Certificate Policies which may be adopted by non-EU countries and or agreement-based scheme. This should achieve equivalent level of security and functionality as required by the eIDAS Regulation, including oversight by an authority and use of a secure signature creation device. q) The upcoming international standards currently ISO/IEC CD 27099 [i.26] on PKI policy and practices framework should be influenced to ensure that it is aligned with ETSI standards for trust services. r) ETSI standards should take into account ISO/IEC 27701 [i.27] on privacy to facilitate international alignment. 7.6 Trust Representation s) PKI schemes aiming to achieve mutual recognition with the EU should be encouraged to map their trust representation (e.g. using bridge certificates) into an equivalent to EU trusted lists to facilitate mutual recognition with EU implementations based around trusted lists. t) The ETSI EN 319 412-5 [i.60] QcCompliance statement should be updated to extend its scope to non-EU countries.