We hebben het er bij PKIsigning al jaren over: de HSM. Voor veel van onze gebruikers inmiddels een bekende term. De belofte van een gekwalificeerde handtekening zónder USB-token en zónder lokale software en drivers. Persoonlijke PKIoverheidcertificaten ‘as a service’, zeg maar. Afgelopen week werd de eerste handtekening met een persoonlijk PKIoverheid-certificaat op een productie-HSM van QuoVadis in de productieomgeving van PKIsigning gezet. Hiermee is de belofte ein-de-lijk realiteit geworden. Waarom duurde dat zo lang? Een kijkje in de keuken.

Het HSM-project is altijd een coproductie geweest tussen PKIsigning en QuoVadis. Begrijp me niet verkeerd: de HSM is van QuoVadis. Zij hebben de investering gedaan en alle benodigde certificeringsaudits doorlopen om een volledig gecertificeerde oplossing voor remote qualified signing aan te mogen bieden in de gehele EU. Een oplossing die ook nog eens volledig toekomstbestendig is. Dat proces alleen al heeft meer dan twee jaar in beslag genomen.

Het was begin 2016 toen de termen eIDAS, HSM en ETSI voor het eerst bij DOCCO op een krijtbord werden gekalkt. Met Printless hadden we al ervaring opgedaan met het gekwalificeerd ondertekenen van PDF-documenten, maar het avontuur begon eigenlijk pas echt toen in 2017 de verplichtstelling voor middelgrote rechtspersonen om publicatiestukken via SBR Assurance te moeten deponeren werd aangekondigd. Met de beschikbare kennis binnen DOCCO op het gebied van gekwalificeerd ondertekenen, SBR en XBRL werd PKIsigning ontwikkeld.

Door de eenvoud van de oplossing en het feit dat het gehele proces in de browser plaatsvindt, kozen veel kantoren, met een controlepraktijk, voor PKIsigning. Vanwege de nauwe banden met QuoVadis konden we zelf de identificaties voor de beroepscertificaten uitvoeren bij onze gebruikers, welke geleverd werden op de onhandige USB-tokens maar toen al mét HSM-garantie. Iets waar alle PKIsigning gebruikers nu van gaan profiteren.

In 2018 gingen we er nog vanuit dat we, samen met QuoVadis, de HSM uiterlijk aan het einde van dat jaar konden aanbieden via PKIsigning, maar de realiteit was weerbarstiger. Niet alleen bleek het certificeringsproces bij QuoVadis veel complexer dan gedacht ook de bijzonder ondoorgrondelijke wet- en regelgeving op het gebied van écht remote qualified signing onder eIDAS, op basis van actuele ETSI-standaarden, gooide roet in het eten.

In 2019 werd duidelijk dat de regelgeving op basis van deze ETSI-standaarden nog strakker zou worden. Er moest gekozen worden tussen een tijdelijk werkende oplossing op korte termijn óf een volwaardige oplossing die volledig voldeed aan alle standaarden en EU-breed ingezet kon worden. Een aantal Nederlandse aanbieders koos voor de eerste optie en lanceerden oplossingen die in hun huidige vorm niet duurzaam zijn. QuoVadis koos voor de lange weg en besloot zichzelf te laten certificeren op basis van de volledige scope aan wet- en regelgeving. De recente overname door DigiCert laat zien dat die keuze internationaal niet onopgemerkt is gebleven.

Onze expertise ligt juist op het technische vlak: het geldig kunnen signen van een set data op basis van een hash via een API in de cloud. Voor PDF een complex proces maar voor XBRL (en dan met name linking en signing voor SBR Assurance) rocket science. Er moest een volledig nieuw koppelvlak en bijhorend gebruikersportaal ontwikkeld worden om te kunnen communiceren met alle hard- en software van QuoVadis die samen remote qualified signing mogelijk maken. Niet alleen voor onze eigen oplossing maar ook voor die van grote internationale spelers die hun gebruikers toegang willen geven tot de Europese (Cloud)signing markt. Deze producten zijn in de afgelopen anderhalf jaar door ons devteam ontwikkeld náást de ontwikkeling van ons eigen ondertekenplatform. PKIsigning-gebruikers met QuoVadis-certificaten kunnen daarom een naadloze ervaring verwachten voor gebruik én ondersteuning van alle typen certificaten die door QuoVadis aangeboden worden. Dat zijn niet alleen persoonlijke certificaten voor geavanceerde of gekwalificeerde handtekeningen maar ook eSeals (elektronische zegels) voor het verzegelen van grote documentstromen, zoals bijvoorbeeld facturen.

De route die we gekozen hebben om een gekwalificeerde handtekening vanuit de Cloud aan te kunnen bieden, was beslist niet de gemakkelijkste. Er zijn momenten geweest dat de omvang van het project tot twijfel over de ingeslagen weg heeft geleid, zeker wanneer concurrerende oplossingen eerder werden gelanceerd en het aan onze gebruikers bijna niet uit te leggen was waarom die oplossingen bij lange na niet hetzelfde doen als wat wij probeerden te bereiken.

Maar het is gelukt: de HSM van QuoVadis is beschikbaar op het platform van PKIsigning én via al onze API’s. Voor PDF en XBRL, waar je maar wilt en wanneer je maar wilt. En daar ben ik heel erg trots op.

Tom van Bolhuis