Sicherer, schneller und billiger als Übermittlung mit herkömmlicher Post.
Erste Übertragungsplattform mit Eidg. Anerkennung gem. Verordnung VeÜ-VwV (SR 172.021.2).

Werden Ihre eMails immer noch als SPAM blockiert oder senden Sie schon verlässliche elektronische Geschäftskorrespondenz? Gewinnen Sie das Vertrauen in Ihre eMails wieder zurück. Senden Sie Ihre Mitteilungen so, dass der Empfänger sofort sieht, wer der Absender ist und ob der Inhalt unverändert blieb.

Wichtige Sendungen und wertvolle Information bedürfen eines gesicherten Austausches und eines verbindlichen Zeitstempels. Mit dem eingeschriebenen eMail von PrivaSphere können Nutzer ohne Installation die exakte Zeit des Postausgangs belegen und so eingeschriebene eBriefe sofort und sicher versenden.

PrivaSphere bietet in Zusammenarbeit mit der Coreander GmbH ein Outlook AddIn für Secure Messaging an.

Damit können die wichtigsten Funktionen von PrivaSphere Secure Messaging komfortabel aus Outlook per Knopfdurck gewählt werden.

Der Plattform-Quittungszeitpunkt für die Abgabequittung wird auch im Secure Webmail angezeigt. 

Der Zeitstempel kann zudem mit einem aktuellen PDF Reader (z.B. Adobe Acrobat) verifiziert werden.

Auf der Plattform wird der mit ZertES Zeitstempel ergänzte Versandzeitpunkt dargestellt (Stempel normalerweise innert einer Minute nach dem Versandzeitpunkt).

Auf obigen Abbildungen ist der für die Fristwahrung relevante Zeitpunkt umrandet. Es ist der eingebenden Partei nicht möglich, diesen durch ZertES abgesicherten Wert zu manipulieren.

Ebenso wird der Zeitpunkt in der Fusszeile der entsprechenden eMail eingefügt.

PrivaSphere Secure Messaging verwendet die folgenden Zeitstempeldienste:

• QuoVadis Trustlink Schweiz AG
• SwissSign AG
• Public-Key-Infrastruktur des BIT (AdminPKI)

Nach dem Versand erhält der Sender umgehend eine Archiv-Kopie des digital zeitsignierten eMails zu seinen Akten zurück. Damit kann er den Versandzeitpunkt des Mails inkl. Inhalt unfälschbar belegen.

Die zeitsignierte Eingabe liegt im Standard-eMail-Format *.eml vor. Diese kann in fast jedem aktuellen Mailprogramm geöffnet und validiert werden (Mozilla Thunderbird, Microsoft Outlook, ...).

Die mit der Version 2 des Kriterienkataloges eingeführte Abgabequittung als eigenes PDF ermöglicht zudem eine Verifikation in deren separaten Übermittlung und auf Basis der dort aufgelisteten Hash-Werte. 

Beim Versand einer Eingabe an eine auf keiner Plattform registrierten eMail Adresse wird auf die Abgabequittung verzichtet. Im Bedarfsfall kann diese beim Kundendienst innert Monatsfrist nachträglich bestellt werden.

PrivaSphere Secure Messaging fügt zusätzlich beim Versand von eGov Einschreiben einen PDF-Signatur Prüfbericht der Bundesverwaltung für digital signierte PDF Dateien gemäss ZertES automatisch der eMail hinzu.

Wird eine eGov Eingabe mit signiertem PDF versandt (per strukturiertem Eingabe-Formular oder 'normalem' eGov Mail), so

• erhält der Empfänger den Bericht gleich mitgeliefert,
• der Sender sieht den Bericht im PrivaSphere Web Mail unter 'Meine Mail' - 'gesendet'.

Der Dienst wahrt maximale Diskretion (das Dokument verlässt die PrivaSphere Plattform nicht, nur der Dateiname, der Hash und das Signatur-Zertifikat, bzw. „PDF-Signatur-Block“) und ist während der Beta-Phase kostenlos.

Dies ist eine vielseitig gewünschte Massnahme zur Vereinfachung der Abläufe und Steigerung des Komforts im noch jungen eGov-Behördenverkehr.

Der Dienst ist auch Online verfügbar (aber nicht mehr ‚diskret‘ – Volltextupload).

siehe: https://www.validator.admin.ch/ 

Der Hashwert einer Datei kann sehr einfach mit der folgenden Software berechnet werden:

CrypTool

Weitere Ansätze zur Validierung der Hashwerte finden Sie hier.

Fehlt der Prüfbericht:

Die neueste Version des diskreten Validators des Bundes erreicht noch nicht ganz die Stabilität der Vorgängerversion. Falls ein Bericht fehlen sollte, gehen Sie bitte wie folgt vor:

Klicken Sie neben der qual. signierten PDF Datei auf das "i" Symbol (1):

Die Details der Signatur werden angezeigt.

Klicken Sie auf den Link (2):

Danach wird der Bericht erneut erstellt und der Eingabe nachträglich zugewiesen.

siehe auch:

• Validatorenberichte

Seit dem 1. Januar 2011 ist für identifizierte Benutzer der Plattform (Identifikation per vorgängigem SuisseID-Login oder Brief-Bestätigung) der Empfang von eGov Einschreiben ohne zwingendes Zertifikats-Login möglich - sofern die Passwort-Regeln des Regulators eingehalten wurden.

Der Versand an eine Behörde oder ein Gericht wird aber immer möglich sein. Dort ist die Qualifizierte Signatur (SuisseID) auf den eingereichten PDF Dokumenten als Absender Identifikation relevant. Die Plattform-Prozesse zur Identifikation von Urteilsempfängern kommen erst beim Versand von Urteilen zum Tragen.

Ausnahme: Das Schweizerische Bundesgericht (www.bger.ch) preferiert für den Empfang von versandten Urteilen per eGov Einschreiben das Login mittels SuisseID.

Es steht eine Suchfunktion nach Behörden und eGov-identifizierten Benutzern zur Verfügung. Behörden können immer alle Benutzer suchen.

Aus Datenschutzgründen wird die Option angeboten, ob ein Benutzer im Verzeichnis gegenüber anderen Benutzern (ausser Behörden) sichtbar sein will oder nicht. Dies kann in den Kontoeinstellungen angewählt werden.

eGov Benutzer und Behörden sind im Teilnehmer-Verzeichnis des Bundesamtes für Justiz verzeichnet.

Daher sind auch Plattform-übergreifende Suchen möglich.

Ein Verzeichnis der erreichbaren Behörden kann hier aufgerufen werden:

• PrivaSphere Verzeichnis der elektronisch erreichbaren Behörden der Schweiz (interoperabel)

Es können auch die Behörden nach Kantonen angezeigt werden:

Ferner wird in den nächsten Monaten auch eine plattformübergreifende „Wildcard-Suche“ aufgeschaltet werden.

In particular since Acrobat X ,Adobe has started to add security features to its reader that are not required by most jurisdictions (e.g. not by the Swiss law) .

Long-Term Validation (LTV)

Long-Term Validation (LTV): All revocation information and timestamps necessary to validate a signature are already included in the PDF even though they normally can be obtained during signature validation. So even if the certificate issuer were to cease to exist, it is still possible years later to know that at the third-party confirmed point in time of signing, the signing certificate chain was good.

All pdf’s signed by the PrivaSphere Secure Messaging Platform are LTV enabled since fall 2015.

If a signature is already created without revocation information and rfc3161 timestamp, the signature may well still be valid. PrivaSphere has offered to sponsor the development of an open-source feature to ex-post amend a pdf with the LTV necessary information: https://issues.apache.org/jira/browse/PDFBOX-3047

(the time-stamp will in that case not reflect the signing time, but the “amend/validate” time)

Adobe Approved Trust List (AATL)

Adobe Approved Trust List (AATL): A new class of certificates has been created by Adobe.

All signatures by issuers not enrolled in this program are rejected.

A one-time operation in the pdf-validating person’s reader fixes this:

see: https://p4u.ch/aatl  - Thereafter, the signature looks o.k.

If the certificate was issued with AATL, there can be an additional green or blue dot.

Authorities and other larger PrivaSphere customer institutions may want the PDF Signatures to be additionally AATL compliant. This can be at some extra cost through an integrated PrivaSphere Partner-Service – it may well be worthwhile in this case to even obtain an institution-specific AATL-compliant certificate – if interested, please contact us.

see also:

• Evidence / Receipts of eGov messages
• Validating a time signature in a PDF document

Im elektronischen Rechtsverkehr ist es Vorschrift, dass die Integrität der Anhänge von eMails (eGov) mittels kryptologischer Hashfunktion separat geschützt werden und dies ausgewiesen wird.

Dies Werte finden Sie im Belegexemplar (oder in Ihrem PrivaSphere Postausgang) im Anhang des entsprechenden eMails in der Datei

sent_securityMetaInfo_201*.txt.

Beispiel:
-------------------------------------------------
* E-Mail-text - text/plain
    SHA1:    E7D1 EC1C ED41 3586 42E6 E12E B4B4 D78D 7B5D 107B
    SHA-256: CB26 5337 954E 73C3 C8D3 B17F 13A7 2E36 72A1 3FF1 3E95 E1F3 1D03 8562 76F6 B480
    263 Bytes
Anhang:
=======
* meineEingabe.pdf - application/pdf
    20110124_1155: CH-qualSig weber@privasphere.com iss: QuoVadis-SuisseID-Qualif - gültig
    SHA1:    EB1D E828 1BBF 8237 5F45 A80F 46A1 005F E0AD 0C92
    SHA-256: 595F E0DE 5430 73EF 8C52 DC38 73F9 CA6B C3AE 0D38 33D6 7ECB A5B3 825E 5426 22FB
    185285 Bytes
-------------------------------------------------

Sie können die Werte selbst mit Standard-Tools wie OpenSSL überprüfen (http://www.openssl.org/)

Z.B.

• openssl dgst -sha256 -c fileName.ext

oder falls die Datei beim Herunterladen codiert geblieben ist

• base64 -i -d fileName.ext | openssl dgst -sha256 -c

siehe auch:

Kryptologische Hashfunktion: http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion

Secure Hash Algorithm: http://de.wikipedia.org/wiki/Secure_Hash_Algorithm

Identifikation der Teilnehmer am elektronischen Rechtsverkehr

Gemäss dem Kriterienkatalog Zustellplattformen ("Anforderungen an Plattformen für die sichere Zustellung im Rahmen von rechtlichen Verfahren (Kriterienkatalog Zustellplattformen) vom 16. September 2014 (Version 2.0)") müssen die Teilnehmer am elekrtonischen Rechtsverkehr identifiziert sein.

Dies ist insbesondere für den Empfang von eGov Einschreiben notwendig, beim Versand muss ja die Eingabe als qualifiziert signierte PDF Datei (SuisseID) vorliegen.

Ziffer 7, Absatz 6:

Die Teilnehmerinnen und Teilnehmer sind von den Plattformbetreibern zu identifizieren.

Dabei können insbesondere folgende Verfahren angewendet werden:
a. Persönliche Identifikation gemäss den Anforderungen von Artikel 5 der Verordnung vom 3. Dezember 2004 über die elektronische Signatur (VZertES, SR 943.032);
b. Identifikation mittels SuisseID;
c. Validierung der Wohnadresse mittels Brief;
d. Bestehende schriftliche Vertragsbeziehung zwischen der Teilnehmerin oder dem Teilnehmer und dem Plattformbetreiber;
e. Gruppenregistrierung (Bestätigung von Identitäten durch kantonale Anwaltsverbände oder registrierte und identifizierte Anwältinnen und Anwälte).

Formulare zur Registrierung von eGov Konten

Wenn Sie auf einer eMail Adresse eGov Einschreiben erhalten wollen, für die Sie über keine SuisseID verfügen, kann das Folgende für Sie eine Lösung sein:

Identifikation von Kanzlei-Accounts für die Benutzung auf der anerkannten Plattform PrivaSphere für den elektronischen Rechtsverkehr.

Gerne können Sie untenstehende Formulare herunterladen, ausfüllen, durch eine geeignete Person als pdf qualifiziert signieren lassen und dann gemäss den im pdf erläuterten Schritten an PrivaSphere retournieren.

• Identifikation eines einzelnen Kontos (pdf)
• Identifikation von Kanzlei/Firmen Konten (pdf)
• Download Formulare als Word Dokumente (zip)

Der Empfänger eines eGov Einschreiben eMails wird dieses erst lesen können, wenn er sich gegenüber der Plattform identifiziert hat.

Die Identifikation kann entweder mittels Login mit einer gültigen SuisseID oder mit einer postalischen Adress-Verifikation erfolgen.

Mehr Information in Absatz 6 der Ziffer 7 des Kriterienkataloges vom 16. Sept. 2014

eGov identifizierte Benutzer und Behörden sind im Teilnehmer-Verzeichnis des Bundesamtes für Justiz (BJ) verzeichnet.

Für BenutzerInnen, die über die "PrivaSphere Sign & Send" mit qualifizierter digitaler Signatur (Swisscom AIS) verfügen, steht eine einfache automatisierte Identifikation zur Verfügung.

Signiertes versenden aus Mailprogramm

Wird eine Eingabe mit einem Mailprogramm versendet, so sollte die eMail im Mailprogramm NICHT zusätzlich digital signiert werden. Microsoft Outlook kann in einigen Versionen die damit entstehenden doppelten Signaturen der Eingaben nicht korrekt anzeigen. Die empfangene eMail wird beim Empfänger als 'leer' angezeigt - obschon der Inhalt eigentlich vorhanden wäre.

Hinweis für Empfänger: Eine so erhaltene 'leere' eMail kann einfach z.B. im Mailprogramm Mozilla Thunderbird korrekt angezeigt werden.

Für eine korrekte Eingabe muss die eMail als "eGov Einschreiben" versendet werden und die Eingabe ("Rechtsschrift") muss als qualifiziert signierte PDF (SuisseID) Datei angehängt sein.

Ende-zu-Ende Verschlüsselung

Höhere Sicherheit: Verlangen Sie von der Zielbehörde ein Verschlüsselungszertifikat für Ende-zu-Ende Verschlüsselung. Dann können Sie aus dem Mail-Programm mit Betreffzeilen-Schlüsselwort "<eGov>" die Eingabe Ende-zu-Ende verschlüsselt übermitteln. Falls Sie mit einer verschlüsselte Antwort rechnen, empfehlen wir zudem, der Eingabe Ihr öffentliches SMIME-Verschlüsselungszertifikat als Anhang hinzuzufügen (Datei-Endung bevorzugt von „.cer“ oder „.crt“ auf „.c__“ anpassen, damit es von empfangenden Mail-Clients nicht unterdrückt wird).

Information gem. Ziffer 6.5 Absatz 3 des Kriterienkataloges:

• Siehe: Anforderungen an Plattformen für die sichere Zustellung im Rahmen von rechtlichen Verfahren (Kriterienkatalog Zustellplattformen)
  https://www.bj.admin.ch/dam/data/bj/staat/rechtsinformatik/e-uebermittlung/kriterienkatalog-d.pdf

Auf Antrag der Schweizerischen Post wurde im „Kriterienkatalog Zustellplattformen“ vom 16. September 2014 (Version 2.0) die Ziffer 5.5. g) eingeführt, die die unverschlüsselte Übermittlung von eGov Quittungen erlaubt.

Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat in seiner Stellungnahme (PDF Datei) vergeblich die Verschlüsselung verlangt. Auch der Vorschlag (PDF Datei) von PrivaSphere, dass der Absender generell oder auf Basis von Einzelmeldungen die Verschlüsselung der Quittungsauslieferung auch bei interoperablen Meldungen verlangen kann, wurde vom Eidgenössischen Justiz- und Polizeidepartement EJPD abgelehnt (PDF Datei). Auch z.B. der Zürcher Datenschutzbeauftragte sieht leider keine Notwendigkeit der Verschlüsselung von Quittungen an die Zürcher Behörden (PDF Datei).

Eine weitere Datenschutz-Problem-Situation des neuen Kriterienkataloges ist hier kommentiert:

http://www.steigerlegal.ch/2014/10/03/telefonbuchzwang-im-elektronischen-rechtsverkehr/ (https://p4u.ch/telefonbuchzwang)

Verbleibende Datenschutzmöglichkeiten:

Eigentlich sind „sprechende“ Betreffe und Dateinamen zur Fehlervermeidung wünschenswert.

In Anbetracht von Ziffer 5.5.g müssen diese im interoperablen Verkehr aber mit Bedacht gewählt werden, um unbeabsichtigte Informationspreisgabe an Dritte zu vermeiden.

• Schutz von Betreff-Informationen: Im interoperablen Verkehr wird der Betreff standardmässig (gemäss „Mein Konto“ - „Benutzereinstellung“ - „Betreff nicht anzeigen“) anonymisiert und der vom Absender gewählte Betreff im Meldungstext unten zitiert. Damit erscheint er auf offen durch andere Plattformen übermittelte Quittungen nicht.
  Auf Einzelmeldungsbasis können die Standardeinstellungen mit den Tags „<showsubject>“ und „<hidesubject>“ (mehr Info) übersteuert werden.

• Schutz der Dateinamen: Beim interoperablen Versand werden Ihre sprechenden Dateinamen standardmässig auf nicht sprechende Werte umgesetzt. Der interoperablen Empfänger wird über die vom Absender gewählten Dateinamen mittels der zusätzlichen Beilage „HeaderMapping5203_???.txt" der Hauptmeldung informiert.
  Falls Sie auf diesen Schutz verzichten wollen setzen Sie den Haken auf oben rot umrandetet Check-Box.
  

Beziehungsvertraulichkeit:

Technisch ist es durchaus möglich, gegenüber Dritten auf die Offenlegung des Absenders bei der Übermittlung einer Eingabe von Ihnen ab der Plattform an eine Behörde bzw. umgekehrt bei der Übermittlung eines Urteils bzw. einer Verfügung von einer Behörde an Sie zu verzichten.

Leider wollte der Regulator diesen Aspekt seit Anbeginn nicht in den Kriterienkatalog aufnehmen und PrivaSphere ist die einzige, interoperable Plattform, die diesen Schutz der Beziehung anbietet.

Fazit:

Dieses Beziehungs-Schutzniveau kann aktuell nur erreicht werden, wenn sowohl Absender wie Empfänger mit der PrivaSphere Plattform arbeiten.

Falls Sie sich für eine Verbesserung dieser noch nicht optimalen Situation einsetzen wollen, kontaktieren Sie uns.

Der Kunde hat dafür zu sorgen, dass er über die notwendige Hard- und Software sowie Internet Zugang verfügt um den Online Service der PrivaSphere korrekt zu nutzen. Er ergreift ferner die nötigen Massnahmen zur Verhinderung von Verbreitung von Schadsoftware sowie unerlaubtem Eingriffen in fremde Systeme.

Der Kunde hat dafür zu sorgen, dass er die eingesetzten Geräte zur Nutzung von PrivaSphere vor unbefugtem Zugriff und vor Manipulationen geschützt sowie auf aktuellem Stand hält.

Der Kunde hat dafür zu sorgen, dass er die verwendeten Zugangsdaten zu PrivaSphere gesichert aufbewahrt und seine Geräte vor missbräuchlicher Verwendung durch Dritte schützt.

Der Kunde verwendet Zugangsdaten wie sie in den Vorgaben des Bundesamtes für Justiz für den elektronischen Rechtsverkehr vorgesehen sind. Dies gilt im Besonderen für Passwort-Stärke und Zertifikats-Verwendung. (siehe «Zugelassene Zertifikate für eGov Gebrauch / Passworte») 

Hat der Kunde Grund zur Annahme, dass unberechtigte Dritte die Zugangsdaten kennen oder unbefugt zugreifen, so muss er unverzüglich das Passwort ändern oder bei PrivaSphere die Sperrung des Kontos veranlassen. (siehe: «Zugang zum Benutzerkonto»)

Wer sich für PrivaSphere Secure Messaging mit den korrekten Login-Daten Zugriff verschafft gilt als Berechtigter zur Benützung der Services. Dies gilt auch, wenn es sich nicht um die tatsächlich berechtigte Person handelt.

Der Kunde anerkennt sämtliche Geschäfte, die unter Verwendung seiner Zugangsdaten getätigt werden.

Der Kunde ist für die Speicherung und Aufbewahrung der via PrivaSphere übermittelten Daten auf den eigenen Systemen selber verantwortlich. (siehe: «Online Verfügbarkeit einer Nachricht»)

Der Kunde verpflichtet sich über PrivaSphere Secure Messaging keine vertraglichen oder gesetzlichen Pflichten zu verletzen und keine Mitteilungen mit widerrechtlichem Inhalt, Schadsoftware oder Spam zu versenden.

Der Kunde haftet für Schäden, welche PrivaSphere oder Dritten durch den Inhalt der vom Kunden mit PrivaSphere übermittelten Mitteilungen mit missbräuchlichem, vertrags- oder gesetzeswidrigem Inhalt entstehen.

Falls Dritte aufgrund von schuldhafte Verhaltens des Kunden gegen die Mitwirkungsplichten Ansprüche unmittelbar gegen PrivaSphere geltend machen, so verpflichtet sich der Kunde, die PrivaSphere für entstandene Kosten vollumfänglich schadlos zu halten. PrivaSphere informiert den Kunden sofort, wenn solche Ansprüche geltend gemacht werden.

Der Kunde stimmt bei der Registrierung als Teilnehmer am elektronischen Rechtsverkehr zu, dass er im übergeordneten Teilnehmerverzeichnis des Bundes eingetragen wird. Dieses Verzeichnis dient der Auffindbarkeit der Benutzer im interoperablen eGov Verkehr. (siehe: Verordnung über die elektronische Übermittlung im Rahmen von Zivil- und Strafprozessen sowie von Schuldbetreibungs- und Konkursverfahren).

Der Kunde nimmt zur Kenntnis, dass im interoperablen Rechtsverkehr der Betreff der Nachricht, Sender und Empfänger sowie die Dateinamen und Meta-Information hierzu (wie z.B. MIME-Type, Länge, Digest, etc.) allfälliger Anhänge unverschlüsselt übertragen werden können. PrivaSphere setzt alles Mögliche daran diese Daten nicht offen zu legen – doch kann PrivaSphere nach der Übermittlung der Nachrichten an Drittsysteme eine allfällige Offenlegung durch diese nicht mehr beeinflussen. (siehe: «Anonymisierung der Header Informationen im interoperablen Verkehr»)

Beim Empfang einer Meldung im elektronischen Rechtsverkehr muss der Empfänger den Empfangszeitpunkt meist mit einem Klick via https bestätigen und kann die Meldung und Anhänge anschliessend via Browser auch herunterladen.

In gewissen Konstellationen kann die Plattform nach der Bestätigung im Web zusätzlich auch eine Auslieferung auf anderem Weg (z.B. mandatory TLS geschützter SMTP-Push) vornehmen. (siehe z.B. «Asymmetrische TLS Auslieferung»).

Um sicher zu gehen, dass keine eingehen Vorladungen, Verfügungen, Entscheide und anderen Mitteilungen und dazugehörige Pflichten verpasst werden loggt sich der Kunde 1x pro Woche in sein Postfach ein.

Es bleibt in diesem Fall die Aufgabe des Kunden sicherzustellen, dass der Inhalt in der vom Kunden erwarteten Form auch wirklich – meist unter Zuhilfenahme auch von verschiedenen kundeneigenen Systemen – eintrifft. Falls nicht, obliegt es dem Kunden die Inhalte vor Meldungsverfall über die https-Schnittstelle herunterzuladen und danach intern oder mit PrivaSphere sicherzustellen, dass der Zweitmechanismus wieder funktionsfähig wird.

Falls der Kunde Mechanismen zur mandatory-TLS Auslieferung bei Privasphere in Anspruch nimmt, umfasst dies auch die Hinterlegung von eindeutigen Indentifikationswerten über die kundeneigenen SSL/TLS Zertifikate. Es obliegt dem Kunden beim Austausch dieser Zertifikate (meist aufgrund von zeitlichem Verfall aber auch Kompromittierung, etc.), diese Werte auf der Privasphere Plattform nachzuführen.

Der Ablauf einer SuisseID bewirkt nicht automatisch, dass ein eGov Konto aus dem plattformübergreifenden Teilnehmerverzeichnis ausgetragen wird.

Bei Stellenwechsel, Zivilstandsänderung etc., die eine Änderung bzw. Stilllegung einer zuvor für den el. Rechtsverkehr identifizierten eMail Adresse zur Folge hat, obliegt es dem Teilnehmer, PrivaSphere diesbezüglich zu informieren.

Als Kunde von PrivaSphere vertrauen Sie uns Ihre sensitiven Daten an. PrivaSphere legt grossen Wert auf eine professionelle Dienstleistung und Sicherheit in der Abwicklung.

Die wichtigsten Merkmale in Kürze:

Architektur:

• PrivaSphere Secure Messaging ist eine Dienstleistung, die von der PrivaSphere AG im Internet zur Verfügung gestellt wird.
• Eine Datenübermittlung findet immer verschlüsselt und authentisiert statt (mindestens 128bit Verbindungsverschlüsselung).
• Die Daten werden verschlüsselt abgespeichert – die Schlüssel liegen nicht auf der Plattform.
• Die Daten sind redundant über 2 Rechenzentren in der Schweiz gehalten.
• Die Plattform ist eine Entwicklung der PrivaSphere AG auf der Basis von Open Source Komponenten (JAVA, OpenSSL, Bouncy Castle, …)
• Die PrivaSphere AG ist ISO 27'001:2013 zertifiziert (Security) und in der Schweiz provisorisch anerkannt für den elektronischen Rechtsverkehr.

Zugriffs-Kontrollen:

Der Zugriff der Benutzer erfolgt durch:

• Benutzername / Passwort, die den Regeln des elektronischen Rechtsverkehrs genügen – siehe: "Zugelassene Zertifikate für eGov Gebrauch"
• Zertifikats-basiertes Login mittels SuisseID
• Domänen-Anbindung für Vertrags-Kunden
  (Behörden, Gerichte, Firmen, …)

Die Zugriffe der Benutzer werden in den Abrechnungs- und Sicherheits-Logs protokolliert und stehen im PrivaSphere Konto zur Einsicht zur Verfügung. Weitere technische Logs werden erstellt und dienen der Qualitätssicherung und Weiterentwicklung der Plattform.

Kryptografische Verfahren und Systeme

PrivaSphere Secure Messaging verwendet zur Verschlüsselung die folgenden Verfahren:

• TLS
• SMIME
• PGP
• AES

Für das Zertifikats-basierte Login können Standard X509 Zertifikate verwendet werden (z.B. SuisseID). Siehe dazu: “Zugelassene Zertifikate für eGov Gebrauch»

Hinweis

Eine unverschlüsselte Nachricht kann auf der Zustellplattform unverschlüsselt vorliegen und damit von der Dienstanbieterin oder von durch sie beauftragten Dritten eingesehen werden, selbst wenn dies untersagt ist. Benutzerinnen und Benutzer, die das Risiko einer Einsichtnahme nicht in Kauf nehmen können, müssen auf die Benutzung der Zustellplattform verzichten oder die Nachricht zusätzlich verschlüsseln (z.B. mit dem öffentlichen Signaturschlüssel der Empfängerin oder des Empfängers).

aus: Kriterienkatalog V2, Ziff 6.5. Absatz 2

Ein detaillierter Beschrieb der Architektur finde sich hier.

Ablauf des Versandes der Eingabe

Zeitpunkt

Spezialfälle:

• Gewisse Behörden akzeptieren Eingaben automatisch.
• Der Kanton Bern stellt Empfangs-Quittungen automatisch sofort aus.
• Das Bundesamt für Justiz verzichtet auf Ausstellung von Empfangs-Quittungen, da juristisch irrelevant.

SOLL-Zustand:

• S2 nach S1
• S3a nach S1
• S3b nach S2
• S4 nach S2
• S5 nach S4
• S6 nach S5

Wenn Interoperabilität auf Anhieb klappt zusätzlich: 

• S3a nach S2

Zusätzlicher Kommentar:

• Im Falle einer Störung zwischen den Plattformen (oder leider auch wenn das BJ-Directory ausfällt bei nicht-PrivaSphere Empfangsplattformen) findet nach einem gescheiterten Versuch der «Versand des Belegexemplars (S3a)» auch statt, wenn die «Übermittlung von der einen Plattform auf die andere (S2)» scheitert.

Artikel AnwaltsRevue 5/2012:

Georges Chanson:
«Durchklick»: Fristwahrung auf elektronischem Weg

Stichworte: Elektronischer Rechtsverkehr, elektronische Zustellung an Gerichte und Behörden, Fristwahrung, Art. 21a VwVG, Art. 48 Abs. 2 BGG, Art. 143 Abs. 2 ZPO, Art. 91 Abs. 3 StPO

Download: http://www.erv.arbeitsrechtler.ch/files/AwR_05-12_Chanson_ERV-Fristwahrung.pdf 

siehe auch:
Elektronischer Rechtsverkehr mit Gerichten und Behörden – einfach, verbindlich, sicher und schnell

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens (VeÜ-VwV, 172.021.2)
siehe: https://www.admin.ch/opc/de/classified-compilation/20100598/index.html

Gemäss Kriterienkatalog für den elektronischen Behördenverkehr v2 vom 16. Sept. 2014 Ziff 5.5c und 5.5.d können Behörden und übrige Nutzer zur Steigerung der Übersichtlichkeit auf Quittungen verzichten, die aus Sicht der Verfahren geringe Bedeutung haben.

So kann z.B. auf den Abgabezeitpunkt beim Versand einer Verfügung durch eine Behörde verzichtet werden.

Hinweis: Das Bundesamt für Justiz (BJ) als Regulator bittet mit eMail vom 15.9.2015 den Plattform-Nutzern gegenüber festzuhalten, dass bei der Wahl des Betreffs und der Dateinamen bei der Erstellung von Eingaben erhöhte Sorgfalt angebracht ist. So werden diese wie auch die Namen/eMail Adressen der übrigen Empfänger für einen Empfänger mittels der Abgabequittung sichtbar bevor er eine Eingabe „abholt“. In gleicher Art wird diese Information für den Empfänger sichtbar u.A. mittels der Annahmeverweigerungsquittung, obwohl der Empfänger in diesem Fall explizit und absichtlich keine Abholung durchführt.

Gem. Ziff. 6.5. Absatz 3 des „Kriterienkataloges Zustellplattformen“ vom 16. September 2014 (Version 2.0)" klären wir Sie über die Tatsache auf, dass ihre Einträge im übergeordneten Teilnehmerverzeichnis sichtbar sind.

Der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat in seiner Stellungnahme (PDF Datei) vergeblich die Gewährung eines "Opt-Out" verlangt.
Ein solcher Opt-Out ist in dem Verzeichnis technisch bereits umgesetzt und auch PrivaSphere basiert darauf mit der Einstellung "unsichtbar".

Leider hat dies keine Wirkung mehr bei anderen Plattformen, da der Regulator dem Antrag einer anderen Plattform gefolgt ist, der eine ausnahmslose Sichtbarkeit verlangt.

Mehr Information über die Thematik finden Sie hier:

• Telefonbuchzwang im elektronischen Rechtsverkehr

Als Kunde von PrivaSphere vertrauen Sie uns Ihre sensitiven Daten an. PrivaSphere legt grossen Wert auf eine professionelle Dienstleistung und Sicherheit in der Abwicklung.

Die wichtigsten Merkmale in Kürze:

Architektur:

• PrivaSphere Secure Messaging ist eine Dienstleistung, die von der PrivaSphere AG im Internet zur Verfügung gestellt wird.
• Eine Datenübermittlung findet immer verschlüsselt und authentisiert statt (mindestens 128bit Verbindungsverschlüsselung).
• Die Daten werden verschlüsselt abgespeichert – die Schlüssel liegen nicht auf der Plattform.
• Die Daten sind redundant über 2 Rechenzentren in der Schweiz gehalten.
• Die Plattform ist eine Entwicklung der PrivaSphere AG auf der Basis von Open Source Komponenten (JAVA, OpenSSL, Bouncy Castle, …)
• Die PrivaSphere AG ist ISO 27'001:2013 (Security) und ePrivacyseal (Datenschutz) zertifiziert und in der Schweiz anerkannt für den elektronischen Rechtsverkehr

Zugriffs-Kontrollen:

Der Zugriff der Benutzer erfolgt durch:

• Benutzername / Passwort, die den Regeln des elektronischen Rechtsverkehrs genügen – siehe: "Zugelassene Zertifikate für eGov Gebrauch"
• Zertifikats-basiertes Login mittels SuisseID
• Domänen-Anbindung für Vertrags-Kunden
  (Behörden, Gerichte, Firmen, …)

Die Zugriffe der Benutzer werden in den Abrechnungs- und Sicherheits-Logs protokolliert und stehen im PrivaSphere Konto zur Einsicht zur Verfügung. Weitere technische Logs werden erstellt und dienen der Qualitätssicherung und Weiterentwicklung der Plattform.

Kryptografische Verfahren und Systeme

PrivaSphere Secure Messaging verwendet zur Verschlüsselung die folgenden Verfahren:

• TLS
• SMIME
• PGP
• AES

Für das Zertifikats-basierte Login können Standard X509 Zertifikate verwendet werden (z.B. SuisseID). Siehe dazu: “Zugelassene Zertifikate für eGov Gebrauch»

Hinweis

Eine unverschlüsselte Nachricht kann auf der Zustellplattform unverschlüsselt vorliegen und damit von der Dienstanbieterin oder von durch sie beauftragten Dritten eingesehen werden, selbst wenn dies untersagt ist. Benutzerinnen und Benutzer, die das Risiko einer Einsichtnahme nicht in Kauf nehmen können, müssen auf die Benutzung der Zustellplattform verzichten oder die Nachricht zusätzlich verschlüsseln (z.B. mit dem öffentlichen Signaturschlüssel der Empfängerin oder des Empfängers).

aus: Kriterienkatalog V2, Ziff 6.5. Absatz 2

Ein detaillierter Beschrieb der Architektur finde sich hier.

Für Eingaben an Gerichte und Behörden muss mindesten ein Anhang als qualifiziert digital signierte PDF Datei vorliegen.

Um PDF Dateien zu signieren muss eine qualifizierte Signatur zur verfügung stehen.

Siehe: Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (Bundesgesetz über die elektronische Signatur, ZertES) (SR 943.03)

Zur Signierung von PDF Dateien sind einige Tools verfügbar.

• Open eGov LocalSigner (download)
• Adobe Acrobat Reader (Anleitung zur Konfiguration/Signierung)
• Sign Live! signature client
• und andere mehr

Zur Signatur stehen auch online Services zur Verfügung:

• QuoVadis Signing Service
• Swisscom All-in Signing Service für digitale Signaturen

Ab Juni 2020 steht der PrivaSphere AIS-QES - Der All-in Signing Service für digitale Signaturen für die nahtlose Integration von Signierung und eGov Einschreiben zur Verfügung.

Zwecks Zeitstempel stehen in der Schweiz drei qualifizierte Zeitquellen zur Verfügung:

• Swiss Government PKI TSA-Service: URL tsa.pki.admin.ch/tsa
• TSA QuoVadis 
• TSA SwissSign: URL: tsa.swisssign.net

Die Abacus Lohnbuchhaltung 2017 bringt Sicherheit beim Mailversand

Die Abacus Lohnbuchhaltung vereinfacht die Prozesse - auch in der Personalabteilung. Neu ist die Version 2017 mit PrivaSphere Secure Messaging ausgestattet. Lesen Sie mehr über alle neuen Funktionen des integrierten E-Mail-Versandes.

Abacus Lohnbuchhaltung 2017: Komplett erneuerter E-Mail-Versand

E-Mails wie Serienbriefe verschicken und das erst noch vertraulich und in verschiedenen Sprachen: Die Abacus Lohnbuchhaltung 2017 bietet diverse neue und praktische Funktionen für die Personalabteilung.