Aproape 2 milioane de români au deja Cartea Electronică de Identitate (CEI), iar emiterea continuă. Pentru o companie care verifică identități — o bancă, un notariat, un furnizor de servicii cu onboarding la distanță — întrebarea nu mai este dacă CEI devine relevantă, ci cum o integrezi corect în procese.
Piața de soluții CEI este tânără, iar diferențele dintre furnizori sunt rareori vizibile dintr-o listă de funcții. Acest ghid propune șapte criterii și, pentru fiecare, întrebările pe care merită să le pui oricărui furnizor. Concluzia rămâne a ta.
1. Acoperirea documentelor și a metodelor de citire
Nu toate documentele de identitate se citesc la fel. O soluție matură acoperă mai multe scenarii:
- CEI prin NFC — citirea cipului cu protocol securizat (PACE), cu acces la grupurile de date (DG1–DG14).
- Cititor de smartcard cu contact — pentru stații de lucru la ghișeu; atenție, cititoarele cu contact nu pot accesa imaginile biometrice protejate.
- Cartea de identitate clasică — citită optic (OCR + zona MRZ), utilă pentru pre-completare, dar fără validare criptografică.
- Pașaportul electronic — citit prin NFC, util când ai și clienți străini.
- Ce documente acoperă (CEI, carte clasică, pașaport) și prin ce metode (NFC, smartcard, cameră)?
- Ce date de pe cip pot fi citite și care necesită PIN?
- Funcționează pe cititoarele și telefoanele pe care le folosim deja?
2. Validarea criptografică, nu doar citirea
Aici se separă jucăriile de instrumentele de producție. A citi datele de pe cip este ușor; a valida că sunt autentice și că ai în față cardul real este partea grea — și cea care contează pentru KYC.
O validare serioasă include autentificarea pasivă (verificarea semnăturii emitentului pe date), verificarea lanțului de încredere până la autoritatea emitentă și controlul stării certificatelor (OCSP/CRL). Fără ele, „citirea” poate fi păcălită cu date copiate.
- Faceți autentificare pasivă și verificarea lanțului de încredere? Cum?
- Validați CAN/PIN și protocolul PACE pentru canalul securizat?
- Ce primesc înapoi: un simplu „citit cu succes” sau un verdict de validare?
3. Integrarea: SDK și platforme
Modul de integrare determină cât de repede ajungi în producție. În general există două abordări, care nu se exclud:
- SDK CEI nativ — inclus în aplicația ta (Flutter, React Native, Android, iOS, .NET, Java). Cel mai bun control, integrare în interiorul aplicației, pe mobil și pe desktop.
- Aplicație gata făcută — fără integrare, pentru fluxuri simple sau utilizatori individuali.
Reține un detaliu tehnic important: citirea NFC se face nativ, în aplicație — nu există un mod fiabil de a citi NFC direct din browser. O „integrare web" reală presupune fie un SDK nativ, fie un serviciu/cititor pe dispozitiv. După citire, rezultatele validate pot fi, desigur, trimise către sistemele tale (webhook / back-end).
- Ce SDK-uri native oferiți și pentru ce platforme (mobil și desktop)?
- Cum se face citirea NFC — nativ, prin cititor, sau pretindeți integrare „din browser"?
- Pot mapa câmpurile din payload-ul trimis pe modelul meu de date (KYC, onboarding)?
4. Securitatea datelor și rolul GDPR
Datele de pe CEI includ categorii speciale (fotografie, semnătură). Întrebarea cheie: unde ajung datele și cât timp rămân?
Clarifică rolurile GDPR. De regulă, instituția ta este operatorul de date, iar furnizorul soluției este persoană împuternicită și procesează datele după instrucțiunile tale, în baza unui contract de prelucrare (DPA). Cel mai bun scenariu pentru risc: operațiile criptografice au loc pe dispozitiv, iar pe serverele furnizorului retenția este zero.
- Cine este operator și cine persoană împuternicită? Există un DPA?
- Unde sunt stocate datele citite și cât timp? Există retenție zero pe serverele voastre?
- Cheia privată părăsește vreodată cipul cardului?
5. Conformitatea și semnătura electronică
Dacă ai nevoie de semnătură, verifică recunoașterea legală. Semnătura electronică avansată (AdES), generată cu certificatul de pe CEI, este recunoscută în UE conform Regulamentului eIDAS. Pentru documente PDF, formatul relevant este PAdES.
- Ce tip de semnătură generați (AdES / PAdES) și cum se verifică ulterior?
- Soluția este aliniată la eIDAS și la legislația română privind identificarea electronică?
6. Risc, continuitate și răspundere
Pentru un proces critic, alegerea nu se face pe funcții, ci pe risc: ce se întâmplă peste trei ani, dacă furnizorul dispare sau își schimbă politica de preț? Caută continuitate și control.
- On-premise / white-label — poți rula soluția pe infrastructura ta, fără dependență de cloud-ul furnizorului?
- Vendor lock-in — cât de ușor migrezi dacă e nevoie? Formatele de date sunt deschise?
- Suport și SLA — există suport dedicat și un SLA pentru implementări serioase, indiferent de mărimea organizației?
- Oferiți on-premise sau white-label? În ce condiții?
- Ce SLA și ce canal de suport oferiți pentru companii și instituții?
- Cine își asumă răspunderea pentru procesarea datelor și în ce termeni?
7. Costul total și modelul de licențiere
Prețul afișat e doar o parte. Modelele tipice sunt: abonament per dispozitiv pentru aplicații, și ofertă separată pentru SDK / integrare. Calculează costul total: licențe, mentenanță, integrare și suport.
- Cum se calculează prețul (per dispozitiv, per aplicație, abonament)? Ce se licențiază separat (ex. SDK)?
- Ce este inclus: SDK, actualizări, suport? Ce se facturează separat?
- Pentru instituții publice, emiteți factură cu plată prin ordin de plată?
Grilă rapidă de evaluare
Folosește această listă ca punctaj atunci când compari furnizori:
Concluzie
Nu există o singură soluție potrivită pentru toată lumea — există soluția potrivită procesului tău. Trecută prin aceste șapte criterii, alegerea devine o decizie de risc și de integrare, nu o comparație de funcții.
Dacă vrei să vezi cum răspunde eID România la fiecare criteriu — pe datele și fluxurile tale — programează un demo. Îți arătăm citirea, validarea și integrarea, fără angajament.