Open webportaal SupportContact
Signhost logoSignhost logo
Inloggen

QWAC vs. QSeal: Wat is het verschil + Hoe te kiezen

Team Signhost

December 6, 2024

image

Online fraude is door Europol geclassificeerd als een van de grootste criminele bedreigingen. En volgens de centrale hub voor het bestrijden van internationale en georganiseerde misdaad worden zo, alleen al in de Europese Unie, ieder jaar miljarden aan illegale winsten gegenereerd. Een van de belangrijkste doelen waar deze criminelen het op gemunt hebben is de zakenwereld. Het manipuleren van documenten en spoofing websites maken het mogelijk om persoonlijke gegevens in handen te krijgen, evenals toegang tot bedrijfssystemen. 

Gelukkig heeft de eIDAS-verordening een lijst uitgebracht van vertrouwensdiensten om dit soort fraude tegen te gaan, die worden verstrekt door Qualified Trust Service Providers (QTSP). Een QTSP verzekert de geldigheid en veiligheid van onder meer elektronische handtekeningen, tijdstempels en elektronische certificaten voor websites. Waar dus ook Qualified Website Authentication Certificates en Qualified Seals onder vallen. 

Maar welke variant heeft jouw organisatie nodig? Dit artikel helpt je een keuze te maken en geeft inzicht in de compliance procedures van beide. 

QWAC vs. QSeal: Snelle vergelijking

 

AspectQWACQSEAL
DoelWebsite authenticatie en veilige communicatie bevorderenHerkomst en integriteit van elektronische documenten vaststellen
FunctionaliteitSSL/TLS encryptie, identiteitsverificatieElektronische verzegeling, verificatie van de integriteit en herkomst van documenten
HoofdgebruikBeveiligen van websites en online transactiesVerzegelen van elektronische documenten en gegevens
ComplianceeIDAS-verordeningeIDAS-verordening
Belangrijkste voordelenGegevensbeveiliging, vertrouwen onder gebruikers bevorderen, naleving wet- en regelgevingBeveiligen van documenten, authenticiteit vaststellen, rechtsgeldigheid
IndicatorenVeiligheidsindicatoren in de browser, zoals het slot-icoonDigitale zegel op documenten
BereikWeb-gebaseerde communicatieBreed, diverse document-gebaseerde applicaties

Wat is een Qualified Website Authentication Certificate (QWAC)?

Een QWAC is een certificaat dat websites en e-mailadressen verifieert, zodat de gebruiker zeker weet dat het gaat om een legitieme organisatie. Ofwel, het garanderen van een beveiligde communicatie tussen browsers en website servers, door de identiteit van de eigenaar van de site te verifiëren. Wat zorgt voor een hoge mate van vertrouwen en veiligheid. 

Een QWAC bevat gegevens over de organisatie die het certificaat uitgeeft, de ontvanger van het certificaat en over het certificaat zelf. 

Functies en voordelen QWAC

Een aantal van de belangrijkste kenmerken van een QWAC zijn:

  • SSL/TLS encryptie voor veilige data in transit.
  • Identiteitsverificatie van de website of het e-mailadres van de eigenaar, om bezoekers te laten zien dat ze te maken hebben met de juiste partij.
  • In overeenstemming met de eIDAS-verordening, ANNEX IV-vereisten voor gekwalificeerde certificaten voor website-authenticatie, en de standaarden van het European Telecommunications Standards Institute (ETSI).
  • Verplicht voor betalingsdiensten in de EU, onder de Payment Services Directive (PSD II).
  • De bijgewerkte versie van eIDAS - die ook wel bekendstaat als eIDAS 2.0 - zou de QWAC integratie voor browsers kunnen verplichten.
  • Het slot-icoon in de browser van gebruikers en “https” in de adresbalk, tonen aan dat het om een beveiligde verbinding gaat. 

Hoe QWAC verschilt van standaard SSL/TLS certificaten

Een standaard SSL/TLS certificaat versleutelt enkel data. Terwijl een QWAC de informatie van de eigenaar van een website verifieert, op een manier die in de hele EU wettelijk wordt erkend. Voor standaard SSL/TLS certificaten worden verschillende zekerheidsniveaus  gehanteerd. Dit zijn in oplopende volgorde: domeinvalidatie (Domain Validation, DV), wildcard- en multi-domeinvalidatie (Organisation Validation, OV) en uitgebreide validatie (Extended Validation, EV). Toch valt het hoogste zekerheidsniveau (EV) nog onder een QWAC, wat betreft de veiligheid. 

Use cases QWAC

Vanwege het uitermate hoge veiligheidsniveau dat een QWAC met zich meebrengt, geven de PSD2-vereisten aan dat alle organisaties die binnen het toepassingsgebied vallen deze moeten gebruiken. Denk hierbij aan banken en betaaldiensten. Ze worden ook ingezet door andere organisaties waarbij een hoge mate van zekerheid vereist is, zoals overheden. In Spanje verplicht de lokale wetgeving zelfs dat alle publieke dienstverleners QWAC’s gebruiken.

Wat is een gekwalificeerd certificaat voor zegels (QSeal)?

QSeals worden ingezet voor het vaststellen van de integriteit en echtheid van elektronische documenten en gegevens. Ze kunnen worden gezien als de digitale variant van de klassieke stempel (van was), waaraan de ontvanger van het document kan zien dat deze onaangetast is als de zegel nog intact is. Gekwalificeerde elektronische zegels bieden de hoogste mate van zekerheid, van de drie verschillende soorten zegels die in de eIDAS-verordening aan bod komen. 

Een QSeal wordt gemaakt door een QTSP, met behulp van een Secure Signature Creation Device (SSCD). Op deze manier kan een versleutelde zegel tot stand komen, die de integriteit en herkomst van een elektronisch document kan aantonen. 

Functies en voordelen QSeal

Een aantal van de belangrijkste functies van een QSeal zijn:

  • Bevestigt de identiteit van de entiteit die de elektronische zegel voor het document heeft gecreëerd.
  • Zorgt ervoor dat niemand de inhoud van het verzegelde document (ongezien) kan aanpassen.
  • Voldoet aan de vereisten van de eIDAS-verordening, waardoor de zegel in de hele EU wettelijk wordt erkend.
  • Maakt het veilig versturen van digitale documenten mogelijk en garandeert ontvangers dat ze de inhoud kunnen vertrouwen.
  • Het geautomatiseerde proces voor het toepassen van zegels in batches is tijdbesparend.
  • Verkleint de kans op online fraude.

Hoe QSeals verschillen van elektronische handtekeningen

Een elektronische zegel , zoals een QSeal, kan niet alleen zakelijk worden gebruikt, maar ook door een individu. De zegel is geen acceptatie van de inhoud van het document zoals een elektronische handtekening, maar verbindt de eigenaar op een digitale manier aan het document. Daarnaast voorkomt deze zegel dat het document ongezien kan worden aangepast na verzegeling.

Use cases QSeal

QSeals bieden zekerheid voor organisaties bij het maken van arbeidscontracten en het verzenden ervan naar de nieuwe werknemers. Een andere mogelijkheid is het beschermen van intellectueel eigendom, zoals patenten en copyright. Overheden kunnen ze bijvoorbeeld gebruiken voor het verzegelen van vergunningen en licenties, terwijl organisaties binnen de gezondheidssector ze kunnen inzetten om de inhoud van medische dossiers te verzegelen. 

Compliance vereisten voor QWAC en QSeal 

eIDAS

Onder de eIDAS-verordening moeten zowel QWAC’s als QSeals worden verstrekt door een QTSP. De QWAC moet voldoen aan de strikte identificatie- en verificatieprocessen, om de authenticiteit en integriteit van websites te kunnen garanderen. Qseals vereisen het gebruik van een SSCD, om de integriteit en herkomst van het verzegelde document te verzekeren. Waarbij in beide gevallen het hoogste veiligheidsniveau van toepassing is. 

PSD2

QWAC’s en QSeals zijn verplicht onder de PSD2-wetgeving , om precies te zijn de regelgevende technische standaarden (RTS) uit artikel 34. Hierin staat dat betaaldiensten verplicht zijn om gekwalificeerde certificaten te gebruiken voor website authenticatie en elektronische verzegeling.

De certificaten moeten onder andere de rol van de betalingsdienst en de naam van de bevoegde autoriteit waar het bedrijf gevestigd is vermelden. Op een manier die gebruikelijk is voor de financiële sector.

FAQ

Kunnen QWAC en QSeal certificaten worden gebruikt in combinatie met andere soorten digitale certificaten? 

Het gebruik van QWAC heeft geen invloed op dat van andere algemene certificaten, zoals SSL/TLS certificaten. Ze kunnen prima tegelijkertijd worden ingezet, waarbij een QWAC zorgt voor extra beveiligingsmaatregelen. En, een document dat is verzegeld door een elektronisch zegel, zoals een QSeal, kan bijvoorbeeld ook een elektronische handtekening bevatten.

Waar moeten organisaties aan denken, voordat ze een QWAC of QSeal aanvragen?

Organisaties dienen ten eerste te kiezen voor een QTSP, zodat ze voldoen aan de huidige regelgeving onder de eIDAS-verordening. Daarnaast is het noodzakelijk om het veiligheidsniveau te bepalen. Voor betaaldiensten en online transacties is het hoogste veiligheidsniveau bijvoorbeeld verplicht (QWAC en QSeals). Voor eenvoudige taken met een laag risico is dit echter niet nodig. 

Wat moet je als organisatie doen als je erachter komt dat een certificaat gecompromitteerd is?

Organisaties dienen in dit geval het desbetreffende certificaat in te trekken. Daarnaast moet er contact worden opgenomen met de nationale bevoegde autoriteit, om hen op de hoogte te stellen van de situatie.

Conclusie

De keuze tussen een QWAC en QSeal hangt af van het doel, waarbij de mogelijkheid bestaat dat je als organisatie verplicht bent om beide te gebruiken. Als dit niet het geval is, zal een QWAC jullie website authenticeren, terwijl een QSeal garandeert dat een verzonden document in dezelfde staat verkeert als op het moment van verzegeling.

Entrust Signhost is een leidend platform voor digitale identificatie en elektronische handtekeningen. Ze kunnen jullie als organisatie helpen om processen te stroomlijnen en klanten beter van dienst te zijn, door het inzetten van handige tools waarmee tevens automatisch wordt voldaan aan de wettelijke verplichtingen. Start vandaag nog gratis met Entrust Signhost, om erachter te komen hoe hun software jullie procedures kan verbeteren. 

Referenties en meer te lezen