| NEJDŮLEŽITĚJŠÍ INFORMACE V KOSTCE Nejde jen o obrázky: Vizuální podoba podpisu v souboru PDF nemá z právního hlediska žádný význam – rozhodující je kryptografický certifikát v pozadí. Tři pilíře ověřování: Při ověřování se vždy kontroluje totožnost podepisující osoby, neporušenost dokumentu (integrita) a platnost certifikátu. Faktor EUTL: Kvalifikovaný elektronický podpis (QES) je v celé Evropě 100 % soudně uznáván pouze tehdy, pokud je poskytovatel důvěryhodných služeb (TSP) uveden na oficiálním seznamu důvěryhodných subjektů EU (EUTL). Nevýhoda USA v oblasti konkurenceschopnosti: Mnoho amerických nástrojů neprochází evropskými kontrolními nástroji (jako je státní akreditační služba RTR), protože nedostatečně zakotvují certifikační řetězce. |
Úvod: Proč je „kontrola“ skutečným základem digitálních procesů
V mnoha firmách je digitální podepisování smluv již dávno běžnou praxí. Zatímco se však do samotného podepisování vkládá obrovské množství energie, jedna zásadní otázka v každodenní praxi B2B často zůstává bez odpovědi: Jak kontrolujete dokumenty, které se po podepsání vrací zpět do vaší firmy?
Podniky si každý den vyměňují citlivé smlouvy – od pracovních smluv v personálním oddělení přes dohody s dodavateli až po rozsáhlé finanční transakce. Kdo se v této souvislosti spoléhá na to, že naskenovaný podpis nebo jednoduchý vizuální zástupný obrázek v souboru PDF je z právního hlediska platný, vystavuje se obrovskému riziku v oblasti dodržování předpisů a odpovědnosti. Teprve systematické kryptografické ověření vám poskytne soudně uznatelnou jistotu, že váš smluvní partner je skutečně tím, za koho se vydává, a že text smlouvy nebyl dodatečně zmanipulován.
Technická anatomie: Co se děje při ověřování digitálního podpisu?
Při ověřování digitálního podpisu (například pomocí nástroje sproof Validator, programu Acrobat Reader, státních ověřovacích služeb, jako je například Rundfunk und Telekom Regulierungs-GmbH v Rakousku, nebo specializovaného softwaru) probíhá na pozadí třífázový proces:
1. Ověření integrity dokumentu (porovnání hashových hodnot)
Při podepisování se celý obsah souboru pomocí algoritmu zkomprimuje do jedinečného digitálního otisku – tzv. hashové hodnoty. Kontrolní nástroj tuto hashovou hodnotu při otevření souboru znovu vypočítá. Pokud se aktuální hashová hodnota přesně shoduje s hodnotou zašifrovanou v okamžiku podpisu, je jasné, že dokument nebyl od podpisu změněn ani o jediný znak.
| sproof Insight vs. lídr na americkém trhu: sproof sign každou podpisovou operaci v okamžiku podpisu přímo a právně platně kryptograficky zakotví do souboru PDF. Američtí poskytovatelé, jako je DocuSign, často vkládají podpisy během procesu pouze jako vizuální obrázky do dokumentu a finální souhrnnou pečeť přidávají až při závěrečném stažení. To následně ztěžuje kontrolním nástrojům přesně zjistit, kdy byla provedena která konkrétní změna v poli formuláře. |
2. Ověření digitálního certifikátu (identita)
Každý pokročilý (FES) nebo kvalifikovaný elektronický podpis (QES) je neoddělitelně spojen s digitálním certifikátem. Tento certifikát funguje jako digitální průkaz totožnosti. Kontrolní nástroj extrahuje metadata certifikátu, aby získal jméno podepisujícího, ověřenou e-mailovou adresu a vydavatele (poskytovatele důvěryhodných služeb, zkráceně TSP).
3. Porovnání s důvěryhodným seznamem Evropské unie (EUTL)
O maximální důkazní sílu v evropském prostoru se stará nařízení eIDAS. Přísně regulovaná odvětví standardně vyžadují QES, protože pouze ten je z právního hlediska stoprocentně rovnocenný vlastnoručnímu podpisu. Při ověřování QES software porovnává poskytovatele služeb elektronických podpisů (TSP), který podpis vystavil, s oficiálním seznamem důvěryhodných subjektů Evropské komise (EUTL). Pokud tam není poskytovatel akreditován, podpis ztrácí status QES.
Proč jsou některé podpisy v evropských kontrolních nástrojích označovány jako „neplatné“
Častý jev v evropských právních odděleních: Smlouva podepsaná pomocí amerického nástroje se nahraje do oficiální kontrolní služby RTR (Rakousko) a je okamžitě označena jako „neplatná“ nebo „technicky neověřitelná“.
Existuje pro to důvod: chybějící akreditace EUTL. Mnoho globálních hyperscalerů používá pro své standardní podpisy vlastní certifikační řetězce, které jsou sice v komerčních seznamech (jako je Adobe Approved Trust List – AATL) označeny jako „zelené“, nesplňují však přísná regulační kritéria evropských státních dozorových orgánů.
Krok za krokem: Jak v praxi ověřit digitální podpis
Pro podniky existují v zásadě tři osvědčené způsoby, jak ověřit podpisy tak, aby byly v souladu s požadavky na auditovatelnost:
- Způsob 1: Automatizovaná validace pomocí softwaru a API (pro podniky) Velké organizace nemohou příchozí dokumenty kontrolovat ručně. Zde se využívají moduly jako sproof Validate. Prostřednictvím REST-API jsou smlouvy při přijetí automaticky naskenovány, kryptograficky ověřeny a archivovány ve vašem systému pro správu dokumentů (DMS) s nezměnitelným audit trailem (kontrolním protokolem).
- Způsob 2: Ověření přímo na platformě sproof sign Pokud spravujete dokumenty ve svém centrálním panelu sproof sign, stačí jedno kliknutí. Jednoduše najeďte myší na podpisovou kartu v editoru dokumentů. Nástroj vám okamžitě v překryvném okně ukáže, zda je podpis platný, jaký bezpečnostní standard (EES, FES, QES) splňuje a který poskytovatel důvěryhodných služeb certifikát vydal.
- Způsob 3: Ruční kontrola pomocí aplikace Adobe Acrobat Reader Díky celosvětovému standardu PAdES lze podpisy podporující dlouhodobou platnost (LTV – Long-Term Validation) ověřovat i offline v aplikaci Adobe Reader. Adobe k tomu využívá zabudovaná data o revalidaci (CRL/OCSP), aby potvrdila historickou platnost podpisu v průběhu desítek let.
Skoncujte s právními nejistotami v oblasti správy dokumentů
Automatizujte své ověřovací procesy a chraňte svou společnost před porušením předpisů. Se službami sproof Sign a sproof Validate sázíte na 100 % evropské řešení – zcela bez vazby na USA, plně v souladu s GDPR a certifikované podle normy ISO 27001.
Domluvte si nyní nezávaznou ukázku nebo si zdarma vyzkoušejte sproof sign
Často kladené dotazy k tématu
-
+–Jaký je rozdíl mezi vizuálním podpisem a digitálním certifikátem?Obrázek podpisu v souboru PDF slouží výhradně jako vizuální informace pro člověka. Právně i technicky závazný je výhradně digitální certifikát,… více
Obrázek podpisu v souboru PDF slouží výhradně jako vizuální informace pro člověka. Právně i technicky závazný je výhradně digitální certifikát, který je kryptograficky zakotven v strojově čitelných datech dokumentu PDF. Samotný obrázek bez certifikátu má jako elektronický podpis jen velmi malou důkazní hodnotu.
-
+–Je možné ověřit digitální podpis, pokud není k dispozici připojení k internetu?Ano, pokud podpis podporuje standard LTV (Long-Term Validation). U podpisů s aktivovanou funkcí LTV se všechny potřebné informace o neplatnosti… více
Ano, pokud podpis podporuje standard LTV (Long-Term Validation). U podpisů s aktivovanou funkcí LTV se všechny potřebné informace o neplatnosti certifikátu vloží do souboru PDF přímo při podepisování.
-
+–Co to znamená, když kontrolní nástroj hlásí: „Totožnost vystavitele není známa“?Tato zpráva se obvykle zobrazí, pokud byl dokument podepsán nástrojem, jehož kořenový certifikát není uveden v seznamu EUTL Evropské unie… více
Tato zpráva se obvykle zobrazí, pokud byl dokument podepsán nástrojem, jehož kořenový certifikát není uveden v seznamu EUTL Evropské unie ani v místním úložišti certifikátů systému Windows/Adobe. Integrita dokumentu sice může být zachována, avšak jeho status jako právně platného „kvalifikovaného elektronického podpisu“ (QES) tím pádem pozbývá platnosti.
-
+–Co se stane, když dojde po podepsání k drobné změně v dokumentu (např. přidáním čísla stránky)?Jakmile dojde k sebemenší změně dokumentu PDF po připojení digitálního podpisu, kryptografický řetězec pečetí se přeruší. Každý profesionální kontrolní nástroj… více
Jakmile dojde k sebemenší změně dokumentu PDF po připojení digitálního podpisu, kryptografický řetězec pečetí se přeruší. Každý profesionální kontrolní nástroj okamžitě oznámí, že dokument byl zmanipulován a podpis je tudíž neplatný. U nástroje sproof je díky hlubokému zakotvení v souboru PDF přesně sledovatelné, zda a jaké změny byly následně provedeny v rozporu s předpisy.
-
+–Jak dlouho je digitální podpis platný a ověřitelný?Standardní podpisy často nelze po uplynutí platnosti příslušného certifikátu (obvykle po 2 až 3 letech) bezchybně ověřit. sproof sign proto… více
Standardní podpisy často nelze po uplynutí platnosti příslušného certifikátu (obvykle po 2 až 3 letech) bezchybně ověřit. sproof sign proto důsledně využívá standard LTV (Long-Term Validation). Při tom jsou informace o zneplatnění (jako seznamy CRL nebo OCSP) v okamžiku podpisu přímo vloženy do dokumentu. Díky tomu lze platnost podpisu ověřit i po desítkách let způsobem, který je v souladu s požadavky na auditovatelnost, a to nezávisle na vydavateli.
-
+–Je možné ověřit několik digitálních podpisů na jednom dokumentu nezávisle na sobě?Ano. Pokud dokument podepisuje postupně více osob (sekvenční pracovní postup), obsahuje soubor PDF historii tzv. revizních verzí. Kontrolní nástroj (např…. více
Ano. Pokud dokument podepisuje postupně více osob (sekvenční pracovní postup), obsahuje soubor PDF historii tzv. revizních verzí. Kontrolní nástroj (např. sproof Validate) ověřuje každý podpis zvlášť s ohledem na stav dokumentu, který platil v daném okamžiku podpisu.
-
+–Proč je protokol o auditu (audit trail) pro manažery a manažerky v oblasti compliance tak důležitý?Audit Trail (kontrolní protokol) poskytuje úplnou a soudně použitelnou historii celého procesu podepisování. Zaznamenává, kdy a kdo dokument prohlédl, schválil… více
Audit Trail (kontrolní protokol) poskytuje úplnou a soudně použitelnou historii celého procesu podepisování. Zaznamenává, kdy a kdo dokument prohlédl, schválil a podepsal, včetně použité metody ověření (např. dvoufaktorová autentizace nebo kvalifikovaná elektronická identita). Tento protokol slouží při auditech nebo právních sporech jako primární důkaz toho, že podpis byl řádně vytvořen.




