top of page
  • 1. מהי חתימה דיגיטלית?
    חתימה דיגיטלית היא קובץ מוצפן, המצורף להודעה או למסמך, המאפשר זיהוי של שולח ההודעה או המסמך ומבטיח שהתוכן המקורי של ההודעה או המסמך לא ישתנה אחרי החתימה. ​ לחתימה שתי משמעויות: חתימה על מסמך – מעידה על זהות החותם וכוונתו להתחייב לכתוב במסמך (sign), לדוגמא: חתימה על חוזה. חתימה של מסמך – שומרת שלא יעשה שינוי במסמך אחרי חתימתו ויכולה גם לשמור על סודיותו (seal) , לדוגמא: סגירת מעטפה בחותם שעווה. חתימה דיגיטלית היא תוצר של הצפנה במפתחות א-סימטריים, הידועה כ- PKI-Public Key Infrastructure. טכנולוגית PKI מבוססת על הצפנה במפתחות א-סימטריים, שמשמעותה פיצול המפתח לשני מפתחות המקיימים ביניהם קשר מתמטי. מפתח אחד הוא מפתח ציבורי והשני הוא מפתח פרטי. למפתח ציבורי מסוים קיים רק בן זוג אחד אפשרי שהוא המפתח הפרטי, אך לא ניתן לדעת את המפתח הפרטי מתוך המפתח הציבורי. המפתח הפרטי הוא בשליטתו הבלעדית של בעל החתימה. הוא נשמר בסוד, ובו עושים שימוש לפעולות ה"סודיות"- חתימה על מסמך או פתיחה של קובץ אישי מוצפן. המפתח הציבורי מופץ בגלוי לנמענים, ובו עושים שימוש לפעולות ה"כלליות" – אימות פרטי חתימה של אדם על מסמך, אימות תקפות כך שלא שונה נוסך המסמך והצפנה של המסמך המיועד לנמען כלשהו, ולו בלבד . צירוף של הקוד הפרטי והקוד הציבורי משול לפתיחת המנעול! ​ להרחבה על הצפנה ושיטת החתימה הדיגיטלית ​ *** אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 2. מהו גורם מאשר, ולמה אני צריך אותו?
    העובדה שצמד מפתחות שייך לשולח המסר, אינה מבטיחה כי שולח המסר הוא אכן מי שהוא טוען להיות. לשם כך נדרש אימות חיצוני ודאי של האדם. לכן, המרכיב החשוב בשיטה הוא קיומה של ישות אמינה, המוסמכת על פי חוק, שמנפיקה חתימות דיגיטליות. ישות כזאת נקראת "גורם מאשר". "גורם מאשר"- ע"פ סעיף 1 לחוק חתימה אלקטרונית התשס"א 2001 – "גורם מאשר רשאי להנפיק לאדם מסוים, לפי בקשתו, תעודה אלקטרונית המאשרת כי אמצעי אימות חתימה מסוים הוא שלו. " הגורם המאשר (Certification Authority) פותר בעצם את בעיית ההתחזות. הוא מאמת את זהות האדם המעוניין לחתום בחתימה האלקטרונית, ומנפיק עבורו "תעודה אלקטרונית" הכוללת את פרטי בעל התעודה ומשייכת אותם למפתח הציבורי שלו. הגורם המאשר חותם דיגיטלית את הפרטים שנבדקו. בכך נוצרת תעודה דיגיטלית המאשרת את השיוך לבעליה ותקפותה. מאחר שהמפתחות הפרטיים והציבורים קשורים, רק מי שיש לו את המפתח הפרטי שהוא בן זוגו של המפתח הציבורי יוכל לעשות שימוש אמיתי (לחתום על מסמך או לפתוח מידע מוצפן). את התעודה האלקטרונית ניתן לשלוח עם כל מסר חתום לשם הוכחת הזהות והאחזקה במפתח. על מנת שהחתימה הדיגיטלית תקבל מעמד משפטי זהה לחתימה רגילה, היא חייבת להיות מונפקת על ידי "גורם מאשר" העומד בתנאים שנקבעו בחוק . חברת פרסונל איי.די. הינה גורם מאשר אשר נבדק, אושר ומפוקח ע"י רשם הגורמים המאשרים במשרד המשפטים ועובר בדיקות שגרתיות על ידי גופים שונים, כגון מכון התקנים לעניין תקן 7799 ו ISO 9002. כאשר חברת פרסונל איי.די. מנפיקה תעודה אלקטרונית, היא מזהה את האדם פנים אל פנים על פי תעודת זהות ותעודה מזהה נוספת נושאת תמונה – דרכון או רישיון נהיגה ברי תוקף ומאשרת כי הזהות המצוינת בתעודה היא אכן של מקבל התעודה. התעודה האלקטרונית של הגורם המאשר של פרסונל איי.די. חתומה בחתימה האלקטרונית שלנו, ואותה לא ניתן לזייף. אמצעי אבטחת מידע המיושמים לשם הגנה על המפתח הפרטי של הגורם המאשר הם המחמירים ביותר שקיימים באבטחת מערכות מידע. ​ המודל המתמטי עליו מתבססת התעודה ותהליך הנפקתה, יחד עם שילובו של גורם מאשר להגברת אמינות הזיהוי ותחולת החוק במדינות רבות בעולם, מגבירים את רמת הביטחון למחזיק ולמסתמך על תעודה דיגיטלית בשימושים ויישומים רבים. ​ *** אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 3. מה היתרונות של חתימה דיגיטלית?
    מקוריות (Authentication) – הוכחת זהות החותם. החתימה הדיגיטלית מסייעת להבטיח, כי החותם הוא מי שהוא מתיימר להיות. שלמות המסמך (Integrity) – החתימה הדיגיטלית מסייעת להבטיח כי לא שונה שום תוכן במסמך מהרגע שנחתם. כל שינוי במסמך ולו המזערי ביותר, משנה גם את החתימה האלקטרונית. ​ אי-התכחשות (Non Repudiation) – לא ניתן להתכחש לחתימה ולעובדה שהמידע שכלול במסמך נחתם ע"י החותם. החתימה הדיגיטלית מסייעת להוכיח לכל הצדדים את מקור התוכן החתום. ​ *** אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 4. אילו מסמכים צריך להביא למעמד ההנפקה?
    במהלך קביעת התור להנפקת הכרטיס החכם אתם תישאלו מספר שאלות, על פי התשובות שמילאתם ישלח אליכם מייל ובו מצוינים המסמכים אותם יש להביא להנפקה. פירוט מסמכי הזיהוי הנדרשים: 1. תעודת זהות + ספח - מקוריים בלבד. 2. אחד מתוך שלושת המסמכים הבאים - מקורי ובתוקף: 1. דרכון ישראלי. 2. רישיון נהיגה. 3. אישור זהות באמצעות עו"ד. 3. יחיד: הסכם יחיד ארגון: חברה או עמותה. הסכם ארגון. חברה / עמותה. אישור עו"ד מקורי וחתום, המאשר כי הנכם רשאים להנפיק תעודה בשם הארגון או המוסד הציבורי (עמוד 3 בהסכם). תעודת התאגדות/ תעודה לרישום עמותה (כולל אישורי שינוי שם, אם שונה) מקורית או חתומה בחותמת מקורית של עו"ד נאמן למקור. מוסד ציבורי: הסכם מוסד ציבורי אישור היועץ משפטי של המוסד- מקורי וחתום, המאשר כי הנכם רשאים להנפיק תעודה בשם הארגון או המוסד הציבורי (עמוד 3 בהסכם). אישור ניכוי מס במקור.
  • 5. האם חשבונית שאשלח במייל תהיה קבילה מבחינה משפטית?
    החל משנת 2004, מאפשר החוק הישראלי משלוח חשבוניות מס, חשבוניות זיכוי וקבלות באמצעות המייל, כמסמך ממוחשב. ע"פ הוראות מס הכנסה: " "מסמך ממוחשב" – מסמך שמתקיים בו כל אחד מאלה: (1) הוא נוצר, נשלח, נקלט, נראה ונשמר באמצעים ממוחשבים; (2) הוא חתום בחתימה אלקטרונית מאושרת או בחתימה אלקטרונית מאובטחת, של עורך התיעוד; " ​ החתימה האלקטרונית המאושרת או המאובטחת, הופכת את המסמך לקביל מבחינה משפטית ומבטיחה שני דברים: ​ אימות זהות השולח בצורה וודאית – בתנאי שנעשה שימוש בחתימה אלקטרונית מאושרת. אישור כי המסמך לא עבר כל שינוי מאז שנוצר ונחתם – גם במאובטחת וגם במאושרת. ע"פ החוק, על השולח לעמוד ברשימת הקריטריונים הבאה על מנת שהשליחה תיחשב חוקית והחשבונית תהיה קבילה ע"י רשויות המס: ​ לפני משלוח המסמך הממוחשב הראשון, יש לשלוח הודעה לפקיד השומה בדואר רשום (לא מדובר בבקשה לקבלת אישור אלא לצורך היידוע בלבד). שליחת מסמכים ממוחשבים תבוצע רק למי שאישר כי הוא מסכים לקבל מסמכים ממוחשבים. הנמען יכול לבטל את הסכמתו לקבלת מסמכים ממוחשבים. ​החתימה האלקטרונית חייבת לכלול את שם החותם ובמקרים בהם מדובר בחברה גם את שם החברה, לא ניתן להשתמש בתעודה של גורם שלישי כדי לחתום חשבוניות. ​ מהות החוק והתקנות בנושא, היא לתת מענה ותחליף לנייר ולחתימה הפיזית והדרך היחידה לעשות כך היא באמצעות חתימה אלקטרונית מאושרת ובמקרים מסוימים גם מאובטחת. כיום יש לא מעט מערכות שמספקות ללקוחות את שירות החתימה האלקטרונית בכך שהם מחתימות אותם בתעודה מרכזית שמשרתת מספר לקוחות, ובדרך היא עלולה להכשיל את לקוחותיה שאינם מבינים את דרישות החוק. ​ כאשר משתמשים בחתימה אלקטרונית מאובטחת, קבע המחוקק מספר הגבלות: התקבול עבור חשבונית החתומה בחתימה אלקטרונית מאובטחת מוגבל וחייב להתבצע באחד מהאופנים הבאים: ​ כרטיס אשראי – בעל כרטיס האשראי חייב להיות זהה ללקוח כפי שהוא מופיע בחשבונית. שיק לא סחיר ע"ש החברה / הלקוח כפי שמופיע בחשבונית שנשלחה, לפקודת הנישום בלבד. העברה בנקאית ישירה מחשבון הבנק של החברה/הלקוח כפי שמופיע בחשבונית שנשלחה לחשבון הבנק של הנישום. ​ התשלום עבור חשבונית ממוחשבת, החתומה בחתימה אלקטרונית מאושרת, אינו מוגבל בהגבלות הנ"ל, ויכול להתבצע בכל אמצעי תשלום. ​ היות שמאוד קשה לאכוף מגבלות אלו, ובביקורת מס הכנסה זה עלול להיחשב כליקוי, מומלץ לעבוד עם חברות המתקינות מערכות לחתימה אלקטרונית של חשבוניות, ולהשתמש בתעודה מאושרת בלבד. ​ ***אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 6. מהי תעודה אלקטרונית?
    תעודה אלקטרונית הינה מסר אלקטרוני שהונפק ע"י גורם מאשר ע"פ הנחיות החוק, המאשר כי אמצעי אימות חתימה מסוים הוא של אדם מסוים. ​ מידת האמון של זהות הנקובה בתעודה אלקטרונית בנויה על שני יסודות: התהליכים הספציפיים שיושמו בתהליך הנפקת התעודה, והאמון במנפיק התעודה (הגורם המאשר). ​ בכדי לאפשר אמון בפרטי זהות בעל התעודה הדיגיטלית והמידע הכלול בה מונפקת התעודה, בדרך כלל, ע"י "צד שלישי" שהנו גורם מאשר (CA – Certification Authority). ​ על מנת לאפשר ליישומים וסביבות עבודה שונות לפעול עם התעודה האלקטרונית, תוקנן תקן עולמי (X.509v3) המגדיר את הפורמט, האלגוריתמים והממשקים לבסיס הנתונים. ​ תעודה הערוכה על פי התקן כולל בד"כ את המידע הבא: שם בעל התעודה ומספר תעודת הזהות שלו, או פרט מזהה אחר, כפי שנקבע בחוק. כתובת דואר אלקטרוני של בעל התעודה. המפתח הציבורי של בעל התעודה. שם מנפיק התעודה. המפתח הציבורי של הגורם המאשר. האלגוריתמים ששימשו בתהליך יצירת זוג המפתחות. השימושים המותרים בתעודה. תוקף התעודה (מתאריך עד תאריך). מגבלות החלות על השימוש בתעודה. הפניה למאגר התעודות האלקטרוניות הבטלות. *** אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 7. מהו ייפוי כח מתמשך דיגיטלי?
    מה זה ייפוי כוח מתמשך?​ ייפוי כוח מתמשך הוא מסמך משפטי המאפשר לכל אדם בגיר (מעל גיל 18), לקבוע כיצד ועל ידי מי יטופלו ענייניו בעתיד כאשר לא יוכל לטפל בכך בעצמו, בתנאי שהוא מבין את המשמעות, המטרות והתוצאות של מתן ייפוי הכוח המתמשך. האדם (הנקרא "הממנה") בוחר מרצונו, בשלב בו הוא מבין ומסוגל לקבל החלטות ולבצען, מי יטפל בענייניו וכיצד יראו חייו אם וכאשר מצבו ישתנה לרעה בשל הידרדרות במצבו. הידרדרות במצב יכולה לנבוע כתוצאה מתאונה, מחלות זקנה (כגון דמנציה), מוגבלות נפשית ומוגבלות שכלית העלולות לפגוע בכושר השיפוט של האדם. הדרך לעשות זאת הינה על ידי מינוי מיופה כוח במסגרת ייפוי כוח מתמשך, שיהיה מוסמך לפעול בשם אותו אדם בעתיד, כאשר לא יוכל עוד לקבל או לבצע החלטות הנוגעות לעניינו בעצמו. לרוב, הממנה יבחר במיופה כוח על סמך יחסי אמון וקרבה עמו (לדוגמא: בן או בת זוג, הורים וילדים) או בשל מומחיותו או ניסיונו המקצועי (לדוגמא: רואה חשבון או עורך דין). הממנה יכול לתת ייפוי כוח מתמשך לכלל ענייניו - האישיים, הרפואיים והרכושיים או רק לחלקם. עריכת ייפוי הכוח המתמשך והחתימה עליו מתבצעות בפני עורך דין (או בפני בעל מקצוע אם הממנה מבקש לערוך ייפוי כוח מתמשך רפואי, כפי שיפורט בהמשך). בנוסף לחתימת הממנה, נדרשת גם חתימת מיופה הכוח. חתימות אלו מהוות הסכמה לתוכן ייפוי הכוח המתמשך. ​ מי יכול לערוך ייפוי כוח מתמשך? האדם אשר מעניק ייפוי כוח על ענייניו ("הממנה") והאדם שיהיה מוסמך לקבל החלטות ולבצע אותן בשמו ("מיופה הכוח") חייבים להיות מעל גיל 18. ייפוי כוח מתמשך יערך וייחתם בפני עורך דין שאין לו עניין אישי בייפוי הכוח ואשר עבר הכשרה מקצועית מטעם האפוטרופוס הכללי. אדם אשר יחולו עליו אחד או יותר מהתנאים הבאים לא יוכל להתמנות כמיופה כוח בייפוי כוח מתמשך: אדם שמונה לו אפוטרופוס, או שכבר קיים לגביו ייפוי כוח מתמשך שנכנס לתוקף. עורך הדין שהחתים על ייפוי הכוח המתמשך או בעל מקצוע שהחתים על ייפוי כוח מתמשך רפואי (רופא , פסיכולוג, אח או עובד סוציאלי). מי שהוכרז פושט רגל על ידי בית המשפט (ולא ניתן לו הפטר) או שהוכרז כלקוח מוגבל חמור על ידי בנק ישראל - לא יוכל להתמנות כמיופה כוח לענייני רכוש. מי שמספק לממנה שירותים מסוימים תמורת תשלום – ובכלל זה, מי שמספק תמורת תשלום לממנה טיפול רפואי, סוציאלי, סיעודי או שיקומי. מי שמספק לממנה מקום מגורים תמורת תשלום אינו יכול להתמנות כמיופה כוח (אלא אם הוא קרוב משפחה של הממנה). יודגש כי בהתאם להוראות סעיף 32ג(4)(5) - ההגבלה של קרובי משפחה, היא רק לגבי אדם המספק לממנה מקום מגורים בתשלום. מי שכבר מונה כמיופה כוח לשלושה אנשים שאינם בני משפחתו. 4. קיימת חובת הפקדה של ייפוי הכוח המתמשך במרשם המנוהל על-ידי האפוטרופוס הכללי. רק לאחר קבלת אישור הפקדה והטבעת חותמת ההפקדה על גבי ייפוי הכוח המתמשך, ניתן לראות את ההפקדה כמאושרת. ​ מי יכול לקבל את השירות הדיגיטלי? עורכי דין פעילים בלשכת עורכי הדין, בעלי כרטיס חכם, שעברו הכשרה לעריכת ייפוי כוח מתמשך מטעם האפוטרופוס הכללי. ניתן לצפות ברשימת עורכי הדין שעברו את ההכשרה באתר לשכת עורכי הדין. הדרישות הטכניות לצורך עריכה מקוונת של ייפוי כוח מתמשך: דפדפן Chrome. כרטיס חכם. תוכנת חתימה אלקטרונית Sign&Verify בלבד. חתימה בכל תוכנה אחרת, לרבות התוכנה המשמשת להגשה בנט המשפט, לא תתקבל. מדפסת וסורק. מידע נוסף ניתן למצוא במאמר מתוך אתר: https://www.gov.il/he ​
  • 8. האם תקנת החברות מחייבת שימוש בכרטיס חכם / טוקן?
    תקנה שיצאה לפני מעט יותר משנה, קובעת כי כל חברה שהוקמה מאותו תאריך ואילך, לא תוכל לדווח ולפעול מול רשם החברות בכתב, אלא רק בדרך מקוונת מאובטחת באמצעות טוקן או כרטיס חכם. בפירמות עורכי הדין הגדולות, המחלקות המסחריות היו מגישות הכל בכתב לרשם החברות עד לאחרונה, אך מעתה כאמור, כל דיווח על חברה חדשה מחויב בשימוש בטוקן או כרטיס חכם. רישום חברה, הקצאת מניות, שינוי בעלות, עדכוני פרטים ועוד. אז באופן פשוט אפשר לומר שהתקנה מחייבת שימוש בכרטיס חכם רק לחברות שנרשמו מאז תקנון התקנה, ואילו לחברות ותיקות יותר, ניתן עדיין להשתמש באמצעי רישום והודעות מהסוג הישן של חותמות קלאסיות ושליחת חומרים באמצעות דואר רשום או הגעה פיזית למשרדים. אבל, לכל מי שפועל בתחום, ברור שזה רק עניין של זמן עד שהתקנה תורחב ותוחל גם על חברות שהוקמו לפני תאריך התקנה, ולכן חייבים להיערך לכך ולפעול בהתאם. · קל יותר · חסכוני הרבה יותר · יעיל יותר אם עדיין לא עברתם לטוקן שלנו – מוזמנים ליצור קשר ולהתחבר ליצירת קשר: לחץ כאן
  • 9. מהי הצפנה וכיצד עובד התהליך?
    הצפנה (Encryption) הוא תהליך הלוקח מידע ו"מערבב" אותו כך שלא ניתן יהיה להבינו. רק מי שיודע את מפתח ההצפנה יוכל לפענחו חזרה (Decrypt). ​ קיימים שני סוגי הצפנות: הצפנה סימטרית – הצפנה בה אותו מפתח משמש הן להצפנה והן לפיענוח. הצפנה א-סימטרית ( חתימה אלקטרונית מבוססת על הצפנה א-סימטרית בטכנולוגית PKI). דוגמא לאלגוריתם הצפנה סימטרית הוא: "החלף כל אות במידע המקורי באות הנמצאת במרחק X אותיות ממנה על האלף-בית" התוצאה שלו תוך שימוש ב x=1 על המילה "פרסונל" תהיה "צקעזסמ". הפענוח של המסר הוא: "הסט כל אות במידע המוצפן באות הנמצאת במרחק X –ממנה על האלף-בית" X נקרא מפתח ההצפנה. הצפנה זו נקראת הצפנה במפתח סימטרי, מאחר שאותו מפתח (1) משמש להצפנה ולפענוח. כיצד מיושמת חתימה דיגיטלית על בסיס PKI? טכנולוגית PKI מבוססת על הצפנה במפתחות א-סימטריים, שמשמעותה פיצול המפתח לשני מפתחות: מפתח ציבורי המופץ לכולם ומפתח פרטי אשר נשמר בסוד, כאשר המפתח הציבורי שונה מהמפתח הפרטי – צירוף של הקוד הפרטי והקוד הציבורי משול להכנסה של מפתח ייחודי למנעול! כדי להבין את תהליך החתימה וההצפנה, נכיר שני אנשים המשתתפים בו: מר חותמני מעוניין לחתום על מסר, ולשלוח אותו לגב' נמעני. כזכור, המפתח הפרטי של מר חותמני הוא סודי, ורק הוא יודע אותו ומסוגל להשתמש בו. כדי לחתום על המסמך, הוא מבצע את הפעולות הבאות: באמצעות הפעלת התהליך הידוע בשם HASH (גיבוב) הוא יוצר את "תמצית המסמך" (Message Digest) – רצף של מספרים שרק, אך ורק, המסמך הנחתם יכול ליצר. לא ניתן לשחזר את המסמך מתוך התמצית שלו, ושינוי של המסמך אפילו באות אחת יגרום לפונקציית HASH לייצר "תמצית" שונה לגמרי. ​ מנגנוני HASH ידועים ונפוצים הם MD5 ו- 1/2 SHA ( החתימה האלקטרונית מתבססת על מנגנון SHA 2- HASH). את התמצית מצפין מר חותמני באמצעות המפתח הפרטי שלו. ​ המסמך בצירוף החתימה שלו (תמצית מוצפנת) והמפתח הציבורי של מר חותמני נשלחים לגב' נמעני. גב' נמעני קוראת את המסמך ומעוניינת לוודא שאכן מר חותמני חתם על המסמך, ושהמסמך לא שונה מעת החתימה. היא מבצעת את הפעולות הבאות: מפענחת את קובץ החתימה באמצעות המפתח הציבורי של מר חותמני שצורף למסר האלקטרוני. מפעילה על המסמך שהגיע עם החתימה את פונקציית ה- HASH ויוצרת "תמצית מסמך", אם המפתח הציבורי מצליח לפתוח את החתימה, גב' נמעני יודעת שקובץ החתימה אכן נחתם ע"י מר חותמני. גב' נמעני משווה בין תמצית המסמך שנוצרה אצלה ובין זו שפוענחה מתוך החתימה הדיגיטלית. אם התמציות זהות, גב' נמעני בטוחה שהמסמך לא שונה. הפעולות המתוארות נקראות אימות חתימה (Signature Verification). ​ * כל התהליך המתמטי המתבצע הינו שקוף למשתמש ומתבצע ע"י תוכנת החתימה. ​ בשיטה זו קיבלנו חתימה המשיגה את שתי המטרות של חתימה: חתימה על מסמך( Sign) - מר חותמני יכול להוכיח שהוא חתם על המסמך. רק לו יש את המפתח הפרטי ועל כן רק הוא יכול להצפין קובץ שנפתח על ידי המפתח הציבורי שלו. מכאן הוא גם לא יכול להתכחש למסמך (מאותה סיבה). חתימת המסמך (seal) - אם התמצית של המסמך של המסמך שנמצאת בקובץ החתימה תואמת את תמצית המסמך שהגיע – ודאי הוא שהמסמך לא שונה. כל עריכה מחדש של המסמך תבטל את תקפות החתימה הדיגיטלית הקיימת. ​ *** החתימה הדיגיטלית אינה מבטיחה את סודיות המסמך. כדי להבטיח זאת, עלינו להצפינו באופן שרק גב' נמעני תוכל לקוראו. ​ *** אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
  • 10. מה ההבדל בין סוגי חתימות שונים, ומה נדרש על פי החוק?
    כבר משנת 2004, איפשר החוק הישראלי משלוח חשבוניות מס, חשבוניות זיכוי וקבלות באמצעות המייל, כקבצים חתומים בחתימה אלקטרונית מאושרת או מאובטחת. אבל רק בשנים האחרונות החל המגזר הפרטי להשתמש בהטבה שנתן המחוקק (ראו פרסומות של חברת הלווין יס, תשדיר שירות שמשודר ברדיו אקו FM99 , דפי החשבון של חברות כרטיסי האשראי ועוד רבים אחרים). הדבר שמשותף לכולם הוא שמדובר בארגונים גדולים ועתירי ממון. המגזר של החברות הקטנות טרם יישם הטבה זו, שכן מערכות החיתום בחתימה אלקטרונית היו יקרות מידי ולא איפשרו ROI. היום המצב השתנה. ​ בשנה האחרונה, נכנסו שחקנים רבים לתחום פתרונות החתימה האלקטרונית על חשבוניות ושליחתן במייל, מערכות על בסיס תשלום חודשי או שנתי ללא צורך בהשקעה ראשונית או בהשקעה ראשונית שולית, מערכות שהעלות מחושבת על פי השימוש, בדרך כלל לחברות שכמות החשבוניות שלהן גדולה, ומערכות ברכישה. חברת פרסונל איי. די, אגב, מוכרת מערכות כאלה. ​ הפתרונות המוצעים בשוק רבים ומגוונים, חלקם עומדים בדרישות החוק וחלקם לא. רבות מהטעויות נוצרו מתוך בורות וחוסר הבנה וחלק על מנת להציע מוצר זול. אבל לפני שניכנס להטעיות ולטעויות הנפוצות, אנסה להוביל אתכם במבוך התקנות והפרשנויות על מנת שנוכל להבין על מה מדובר. ​ הבסיס החוקי הבסיס החוקי לכל היישומים של חתימה אלקטרונית מאושרת או מאובטחת הוא חוק חתימה אלקטרונית התשס"א 2001 ​ החוק מורה על כך שמסר אלקטרוני החתום בחתימה אלקטרונית מאובטחת, יהיה קביל בכל הליך משפטי ויהווה ראיה לכאורה לכך – 1. שהחתימה היא של בעל אמצעי החתימה. 2. שהמסר האלקטרוני הוא זה שנחתם על ידי בעל אמצעי החתימה. הדגש פה הוא על המילה לכאורה, אך זה נושא למאמר נפרד לחלוטין בשל מורכבות הנושא. הרובד הבא בחקיקה היה עדכון הוראת מס הכנסה (ניהול פנקסי חשבונות) שהגדיר מהו מסמך ממחושב: "מסמך ממוחשב" – מסמך שמתקיים בו כל אחד מאלה: (1) נוצר, נשלח, נקלט, נראה ונשמר באמצעים ממוחשבים. (2) חתום בחתימה אלקטרונית מאושרת או בחתימה אלקטרונית מאובטחת של עורך התיעוד. בתקנה זו גם הוגדרו אילו מסמכים מותר שיהיו מסמכים ממוחשבים. ​ לדוגמא: תעודת משלוח חייבת להיות מודפסת כמקורית על נייר ולא ניתן להפכה למסמך ממוחשב. בנוסף, ההוראה מפרטת את הדרישות המוטלות על שולח המסמך הממוחשב וכן על הדרישות המוטלות על מקבל המסמך. ​ הדרישות המקדימות מהשולח 1. חברה שמעוניינת לשלוח מסמכים ממוחשבים תודיע בדואר רשום לפקיד השומה בו מתנהל תיקה. 2. קבלת הסכמה מהלקוח שאליו רוצים להעביר את המסמך הממוחשב טרם שליחת המסמך הממוחשב הראשון. הסכמה זו צריכה להיות בכתב או באופן ממוחשב. 3. החברה השולחת תשמור את כל מסמכי ההסכמה כחלק בלתי נפרד ממערכת החשבונות שלה. הדרישות מהמקבל ליישום תקין של התקנה עד כה פירטנו את הדרישות החלות על הצד השולח ואת התנאים שחלים על מנת שמסמך יוכר כמסמך ממוחשב אבל בזה לא תם הסיפור. מה לגבי האחריות של מקבל המסמך? הרי גם הוא צד בעסקה. מסמכים ממוחשבים יוכרו כתיעוד חוץ, כאשר הם נשלחו כמסמך ממוחשב והמקבל קיים את הדרישות המוטלות עליו. על מנת שנוכל להתחיל להבין את הדרישות ממקבל המסמך, נסביר מה זה בכלל תיעוד חוץ. ​ תיעוד חוץ – רישום בגין פעולה, שנתקבל על ידי הנישום או מטעמו מגורם חוץ, ואולם אם נשלח או נקלט באמצעות מחשב רישום שהוא מסמך ממוחשב בלבד." על מנת לפשט את העניין, תיעוד חוץ של מסמכים ממוחשבים זה אמצעי אחסון ממוחשב המאפשר איתור התיעוד. לדוגמא, תיקיה שמכילה קבצים שנשמרו באופן שיטתי, למשל: שמות הקבצים יהיו מספר החשבונית ושם העוסק ששלח את החשבונית החתומה בחתימה אלקטרונית, כך שבמקרה של ביקורת ניתן יהיה לשלוף את הקובץ בקלות. ​ עכשיו, כשאנו יודעים מה זה תיעוד חוץ ,מה שנשאר לנו לגלות הוא מהן הדרישות שמוטלות על המקבל: וידא כי המסמך מקיים את כל הדרישות שבהגדרת מסמך ממוחשב: הוא בצורה דיגיטאלית, חתום בחתימה אלקטרונית של השולח בלבד (הסבר יגיע בהמשך). שמירה של המסמך הממוחשב – שמירת המסמך תיעשה בצורה המקורית בה נשלח, כלומר – על גבי אמצעי אחסון ממוחשבים. חובה לשמור את המסמך כשהוא חתום בחתימות האלקטרוניות בהן נחתם. השמירה של המסמך הממוחשב אצל הלקוח צריכה להיעשות בתיק תיעוד החוץ הממוחשב. עכשיו, כשהבנו מה הדרישות ממקבלי החשבוניות , אנו מבינים מדוע המחוקק דרש לקבל את האישור שלנו על קבלת מסמך ממוחשב טרם שליחת המסמך הראשון. ​ אז במה לבחור – חתימה אלקטרונית מאושרת או מאובטחת? השלב הבא בתהליך הוא להחליט באיזו חתימה להשתמש – חתימה אלקטרונית מאובטחת או חתימה אלקטרונית מאושרת שהונפקה ע"י גורם מאשר? הרי המחוקק מאפשר לנו להשתמש במקרה זה גם בחתימה אלקטרונית מאובטחת, שהינה נחותה מחתימה אלקטרונית מאושרת. ואכן, במידה ומחליטים על שימוש בחתימה אלקטרונית מאושרת שהונפקה ע"י גורם מאשר, לא חלה כל מגבלה על שולח המסמך הממוחשב או על מקבלו. לעומת זאת, כאשר משתמשים בחתימה אלקטרונית מאובטחת חלה מגבלה על צורת התשלום: א. כרטיס אשראי – בעל כרטיס האשראי חייב להיות זהה ללקוח כפי שהוא מופיע בחשבונית. ב. שיק לא סחיר ע"ש החברה/הלקוח כפי שמופיע בחשבונית שנשלחה, לפקודת הנישום בלבד. ג. העברה בנקאית ישירה מחשבון הבנק של החברה/הלקוח כפי שמופיע בחשבונית שנשלחה לחשבון הבנק של הנישום. מגבלות אלו באות לגשר על הפער בין התעודה האלקטרונית המאובטחת, שכפי שאמרתי, הינה נחותה מהחתימה האלקטרונית המאושרת. הגישור הוא בכך, שהתשלום חייב להיות בתצורה שבה יוכלו לעקוב אחר התשלום מחשבונו של המקבל (הישות שאליה נשלחה החשבונית) לשולח החשבונית - ליישות כפי שמוגדרת בחשבונית בלבד ובכך לנסות ולצמצם כמה שאפשר את נושא חוסר הוודאות של זהות החותם בחתימה אלקטרונית מאובטחת. ​ הואיל ואין אנו יודעים מראש כיצד יבוצע התשלום, השימוש בחתימה מאובטחת עלול להעמיד את הנישום בפני עברות של ניהול ספרים רק מעצם קבלת תשלום באופן שנוגד את ההוראות, והואיל ואני לא מכיר עסק אחד בישראל שיחזיר ללקוח שלו את התשלום על מנת שישלח אותו בדרך שמס הכנסה מחייב אותנו במקרה זה… הדרך היחידה והפשוטה להימנע מעברות אלו הוא שימוש בחתימה אלקטרונית מאושרת שהונפקה ע"י גורם מאשר. ועכשיו, לנושא שלשמו התכנסנו – מה הדרך הנכונה או לייתר דיוק מה לא עכשיו, כשאנו מבינים את דרישות החוק וכוונת המחוקק, נבחן את היישומים הקיימים והפעולות שמבוצעות על ידינו, כשולחי מסמכים ממוחשבים וכמקבלי מסמכים ממוחשבים. וגם נדבר כמה מילים על טעויות נפוצות. ​ פתרונות קיימים רבים בעצם רק שולחים חשבוניות כמסמך PDF ללקוחות שלנו במייל – מסמך זה אינו עונה על הדרישה של מסמך ממוחשב היות שהוא אינו חתום בחתימה אלקטרונית כלל, לא מאושרת ולא מאובטחת ולכן לא יהיה קביל. במקרה כזה גם שולח המסמך עובר על תקנות מס הכנסה וגרוע מזה, אנו מכשילים את הלקוחות שלנו שמקבלים את החשבונית שלכאורה היא מסמך ממוחשב. קבלת מייל חתום בחתימה מאובטחת אך הקובץ המצורף (במקרה זה החשבונית) אינו חתום בחתימה אלקטרונית כלל. כמובן שפתרון זה אינו תקין היות ולא המדיה השולחת צריכה להיות חתומה על פי חוק אלא החשבונית עצמה. כל עוד החשבונית עצמה לא נחתמה אין אנו עומדים בדרישה של מסמך ממוחשב. הסיבה שמיישמים מסוימים משתמשים בפתרון כזה היא העובדה שיישום זה זול בהרבה מיישום של חתימה על קבצים ובצורה זו הפתרון המוצע הינו זול או חינמי. קבלת מסמך חתום בחתימה אלקטרונית או מאושרת, הדפסתו ותיוקו כחשבונית נייר רגילה – טעות זו הינה הטעות הנפוצה ביותר שלדעתי רוב הנישומים מבצעים ואני מניח שאחרי קריאת מסמך זה ברור שמעשה זה אינו תואם את דרישות החוק. היות שהדרישה מהמקבל היא לוודא שהמסמך חתום כהלכה ולשומרו כמסמך ממוחשב, על כל המשתמע מכך. בדיקת תקינות החתימה האלקטרונית – על מנת שהחשבונית החתומה תוכר, יש לוודא שהחתימה האלקטרונית תקינה. את התקינות בודקים בכמה אופנים: התעודה עצמה צריכה לכלול את פרטי החותם: שמו המלא, ת.ז של החותם, שם התאגיד שבשמו הוא חותם במקרה של חברה בע"מ ומספר התאגיד. במקרה של עוסק רשום – שם העוסק ות.ז שלו חייבים להיות זהים לאלו המופיעים בחשבונית. במקרה של חברה בע"מ – שם התאגיד והח.פ. בחתימה צריכים להיות זהים לתאגיד שהנפיק את החשבונית. לא ניתן להשתמש בתעודה של גורם שלישי לחתום חשבוניות שלכם. נדרש לבדוק שהתעודה שבה חתמו את המסמך הינה בתוקף. ​ ישנם לא מעט פתרונות באינטרנט של תוכנות לניהול ספרים והפקת חשבוניות שמספקות את השירות של חתימת החשבוניות בחתימה מאובטחת, אשר משתמשים בתעודה אחת של חברת התוכנה לחתום את החשבוניות של כל הלקוחות שלהם וזאת על מנת להוזיל עלויות במתן השירות. צריך לקחת בחשבון שבמידה שבביקורת יתגלו חשבוניות כאלו הן לא יוכרו ע"י רשויות המס וירשמו כליקויים. יש לזכור שגם למקבל יש אחריות, כך שלא יוכל לטעון שלא ידע – הוא צריך לעשות את המוטל עליו (במקרה זה, לבדוק את תקינות החתימה האלקטרונית). ​ עכשיו, כשהכל ברור האם כדאי לנו להשקיע במערכת לשליחת חשבוניות במייל? בבדיקת הכדאיות הכלכלית נתעלם מהתרומה לסביבה ולהצלת יערות הגשם ונעשה ניתוח כלכלי גרידא. עלות שליחת חשבונית בדואר מערוכת ע"י גורמים שונים בין 2 ₪ ל- 4 ₪ זה כולל את הנייר, המעטפה, הביול , ההדפסה והעבודה, כך שכול מה שנשאר לנו על מנת לבדוק את הכדאיות הכלכלית זה לכפול את כמות החשבוניות שאנו שולחים בחודש בעלות שליחת החשבוניות בדואר בתקופה שאותה אנו בוחנים, ונראה אם התוצאה גדולה או קטנה מעלות המערכת. ​ ניקח לדוגמא את אחת המערכות שחברת פרסונל איי. די בע"מ מוכרת, מערכת לשליחת חשבוניות חתומות בחתימה אלקטרונית מאושרת בעלות חודשית של 99 ₪ כלומר שגם אם ניקח את העלות השמרנית של 2 ₪ מדובר ב- 50 חשבוניות בחודש, כשבמחיר זה עוד מקבלים תעודה לחתימה אלקטרונית מאושרת ותוכנת חיתום מתנה . ​ לסיכום כשאתם באים לרכוש מערכת לשליחת חשבוניות אתם צריכים לראות האם היא עומדת בדרישות החוק ולאחר מכן לבחון את הנושא המסחרי. לפני שאתם מאשרים לספקים שלכם לשלוח לכם חשבונית חתומה במייל, עליכם לבדוק מה אתם הולכים לקבל והאם אתם ערוכים לכך. ​ בשורה התחתונה, זה אחד המקרים הבודדים שבו השמירה על איכות הסביבה באה גם עם רווח אמיתי של חיסכון בעלויות, ולא רק כקנס או כהשקעה (תלוי באג׳נדה). ***אין לראות בסקירה זו ייעוץ משפטי ו/או תחליף לייעוץ משפטי. *** הכותב, מר גדעון רצר, לשעבר מנכ"ל חברת פרסונל איי די.
  • 11. מהם נהלי הנפקה - CPS?
    CPS – הינו מסמך הנהלים של הגורם המאשר להנפקת תעודה אלקטרונית. הנהלים מגדירים את התנהלות הגורם המאשר מול לקוחותיו בהתאם לחוק, אופי החברה, תהליך ההנפקה, התנאים הנדרשים לקבלת התעודה, נהלי אימות וזיהוי המבקש, השימושים המותרים בתעודה, תפוגת התעודה וחידושה, ביטול תעודה, אבטחה פיזית ולוגית ומידע נוסף. ​ להורדת מסמך הנהלים המלא – לחץ כאן. נהלי אבטחה לתעודה התעודה הדיגיטלית המונפקת על ידי פרסונל איי.די. הינה תעודה מאושרת על פי חוק ומהווה מסמך משפטי לכל דבר ועניין, בדומה לתעודת זהות, רישיון נהיגה או דרכון. בנוסף, התעודה הדיגיטלית בהיותה חתימה דיגיטלית מאושרת, היא בעלת תוקף משפטי מחייב ועולה לעיתים בחשיבותה על מסמכים אלו. לפיכך, נקבע בחוק ("חוק החתימה האלקטרונית, התשס"ב, 2001" -סעיפים 7 ו 8 – קישור לנוסח החוק) כי יש לנקוט באמצעי אבטחה אשר ישמרו על אמינותה. ​ שמירה על אמצעי החתימה התעודה הדיגיטלית נשמרת כנאמר, בתוך התקן פיזי – כרטיס חכם או טוקן. התקן זה נקרא אמצעי החתימה. על בעל התעודה מוטלת החובה לנקוט בכלל האמצעים הסבירים על מנת לשמור על אמצעי החתימה, היות ואם אדם או גוף אחר, ישתמש באמצעי החתימה על מנת לחתום בשמו מבלי שקיבל את רשותו לכך, בעל התעודה עלול/ה לשאת באחריות לנזק שנגרם עקב השימוש כאמור. בעל התעודה יכול להגן על עצמו מפני הסיכון אם ידאג למלא את החובות המוטלות עליו עפ"י החוק בנוגע לאמצעי החתימה לנקוט בכל האמצעים הסבירים לשם שמירה על אמצעי החתימה ולמניעת שימוש בו ללא הרשאתו למסור הודעה לגורם המאשר, פרסונל איי.די, מיד כשנודע לו כי נפגעה שליטתו באמצעי החתימה עקב גניבתו, אובדנו, העתקתו וכיוצ"ב.
  • 12. מהם נהלי השימוש בסיסמא?
    שימוש בסיסמא החוק קובע כי על מנת להבטיח שימוש הולם בתעודה, יש ליצור שיטת אבטחה נוספת מעבר לשימוש באמצעי חתימה פיזי. לשם כך, בעת הנפקת התעודה נוצרת סיסמא ייחודית העובדת יחד עם אמצעי החתימה הפיזי. ​ תקנות החוק קובעות כי – "הייתה הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, תעמוד הסיסמה בדרישות אבטחה ברמה הגבוהה לפי ת"י 1495 חלק 3." ("תקנות חתימה אלקטרונית [חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות], התשס"ב 2001- 1" קישור לנוסח תקנות החוק). תקן זה קובע את מאפייני יצירת הסיסמא. טבלה זו מסכמת את מאפיינים אלו:
  • 13. מהן תעודות בטלות - CRL?
    כדי לזהות מקרים בהם נעשה שימוש לא מורשה בתעודות שנגנבו או אבדו, מחזיקה פרסונל איי די בהיותה הגורם המאשר רשימה של כלל התעודות שהופקו על ידה שבוטלו באופן יזום, לפני תום תוקפן. רשימה זו נקרית רשימת התעודות הבטלות Certificate Revocation List- CRL. ​ חברות אשראי מחזיקות רשימות דומות אשר מכילות את מספרי כרטיס האשראי שבוטלו עקב גניבה או אובדן, במטרה זהה, על מנת למנוע הונאות בכרטיסי האשראי. כאשר מתבצעת רכישה המערכת בודקת בצורה אוטומטית האם כרטיס האשראי אכן בתוקף והוא לא נמצא ברשימה של כרטיסי האשראי אשר לא בוטלו. ​ בצורה דומה, דפדפן הלקוח מבצע פניה אוטומטית לרשימת התעודות הבטלות בכדי לוודא כי אכן התעודה לא בוטלה. הרשימה מתעדכנת כל 12 שעות באופן קבוע, והיא תקפה ל24 השעות הבאות. ​ במידה והתעודה מופיעה כבטלה, חיווי התעודה יהיה לא תקין.
bottom of page