| A LEGFONTOSABB RÖVIDEN Nem csupán képek: egy PDF-en szereplő aláírás vizuális ábrázolása jogilag jelentéktelen – a döntő fontosságú a háttérben lévő kriptográfiai tanúsítvány. Az ellenőrzés három pillére: Az érvényesítés során mindig ellenőrzik az aláíró személyazonosságát, a dokumentum hamisítatlanságát (integritását) és a tanúsítvány érvényességét. Az EUTL-tényező: A minősített elektronikus aláírás (QES) csak akkor ismerhető el 100%-ban bírósági szinten Európa-szerte, ha a bizalmi szolgáltató (TSP) szerepel az EU hivatalos bizalmi listáján (EUTL). Az amerikai versenyhátrány: Számos amerikai eszköz nem felel meg az európai ellenőrző eszközök (például az állami RTR-akkreditációs szolgálat) követelményeinek, mivel a tanúsítványláncokat nem rögzítik megfelelően. |
Bevezetés: Miért jelent a „ellenőrzés” a digitális folyamatok valódi alapját?
Számos vállalatnál a szerződések digitális aláírása már régóta bevett gyakorlat. Ugyanakkor, miközben hatalmas energiát fordítanak az aláírásokra, a B2B-üzleti élet mindennapjaiban egy alapvető kérdés gyakran megválaszolatlan marad: hogyan ellenőrzik azokat a dokumentumokat, amelyek aláírva kerülnek vissza a vállalatukhoz?
A vállalatok naponta cserélnek egymás között érzékeny szerződéseket – a HR-területen kötött munkaszerződésektől kezdve a beszállítói megállapodásokon át egészen a nagy volumenű pénzügyi tranzakciókig. Aki ebben az esetben arra támaszkodik, hogy egy beolvasott aláírás vagy egy egyszerű vizuális helyőrző kép egy PDF-ben jogilag érvényes, az hatalmas megfelelési és felelősségi kockázatot vállal magára. Csak a szisztematikus, kriptográfiai ellenőrzés adja meg Önnek azt a bíróság előtt is érvényes biztosítékot, hogy szerződő fele valóban az, akinek kiadja magát, és hogy a szerződés szövegét utólag nem manipulálták.
A technikai felépítés: Mi történik, amikor ellenőrzi a digitális aláírást?
Amikor egy digitális aláírást ellenőriz (például a sproof Validator, az Acrobat Reader, állami érvényesítő szolgáltatások – mint például az osztrák Rundfunk und Telekom Regulierungs-GmbH – vagy egy erre szakosodott szoftver segítségével), a háttérben egy háromlépcsős folyamat zajlik le:
1. A dokumentumok integritásának ellenőrzése (hash-értékek összehasonlítása)
Az aláírás során a fájl teljes tartalmát egy algoritmus segítségével egy egyedi digitális ujjlenyomatra – az úgynevezett hash-értékre – tömörítik. Az ellenőrző eszköz a fájl megnyitásakor újra kiszámítja ezt a hash-értéket. Ha az aktuális hash-érték pontosan megegyezik az aláíráskor titkosított értékkel, akkor biztos, hogy a dokumentumot az aláírás óta egyetlen karakterrel sem módosították.
| sproof Insight vs. az amerikai piacvezető: a sproof sign minden aláírást az aláírás pillanatában közvetlenül és jogilag érvényes módon kriptográfiailag rögzít a PDF-ben. Az olyan amerikai szolgáltatók, mint a DocuSign, a folyamat során gyakran csupán vizuális képekként helyezik el az aláírásokat a dokumentumon, és a végleges gyűjtőpecsétet csak a záró letöltéskor adják hozzá. Ez megnehezíti az ellenőrző eszközök számára, hogy utólag pontosan nyomon kövessék, mikor történt mely konkrét űrlapmező-módosítás. |
2. A digitális tanúsítvány érvényesítése (a személyazonosság)
Minden fejlett (FES) vagy minősített elektronikus aláírás (QES) elválaszthatatlanul összekapcsolódik egy digitális tanúsítvánnyal. Ez a tanúsítvány digitális személyi igazolványként működik. Az ellenőrző eszköz kinyeri a tanúsítvány metaadatait, hogy kiolvassa az aláíró nevét, a hitelesített e-mail-címet és a kiállítót (Trust Service Provider, röviden TSP).
3. Összehasonlítás az Európai Unió megbízható listájával (EUTL)
Az eIDAS-rendelet biztosítja a maximális bizonyítóerőt az európai térségben. A szigorúan szabályozott ágazatok alapértelmezés szerint megkövetelik a minősített elektronikus aláírást (QES), mivel jogilag csak ez egyenértékű 100%-ban a kézírásos aláírással. A QES ellenőrzése során a szoftver összehasonlítja a kiállító TSP-t az Európai Bizottság hivatalos megbízhatósági listájával (EUTL). Ha a szolgáltató nem szerepel a listán, az aláírás elveszíti QES-státuszát.
Miért minősítik egyes aláírásokat „érvénytelennek” az európai ellenőrző eszközök?
Gyakori jelenség az európai jogi osztályokon: egy amerikai szoftverrel aláírt szerződést feltöltenek az RTR (Ausztria) hivatalos ellenőrző szolgáltatására, ahol azt azonnal „érvénytelennek” vagy „technikailag nem ellenőrizhetőnek” minősítik.
Ennek megvan az oka: hiányzik az EUTL-akkreditáció. Számos globális hyperscaler saját tanúsítványláncokat használ a standard aláírásaihoz, amelyeket ugyan a kereskedelmi listák (például az Adobe Approved Trust List – AATL) „zöldnek” jelölnek, de nem felelnek meg az európai állami felügyeleti hatóságok szigorú szabályozási kritériumainak.
Lépésről lépésre: így ellenőrizheti a digitális aláírást a gyakorlatban
A vállalatok számára elsősorban három bevált módszer létezik az aláírások könyvvizsgálatnak megfelelő érvényesítésére:
- 1. módszer: Automatizált érvényesítés szoftver és API segítségével (nagyvállalatok számára) A nagy szervezetek nem tudják kézzel ellenőrizni a beérkező dokumentumokat. Ilyenkor olyan modulok kerülnek alkalmazásra, mint a sproof Validate. Egy REST-API segítségével a szerződéseket a dokumentum beérkezésekor automatikusan beolvassák, kriptográfiai ellenőrzésnek vetik alá, majd egy megváltoztathatatlan ellenőrzési nyomvonallal (audit trail) együtt archiválják a dokumentumkezelő rendszerben (DMS).
- 2. módszer: Érvényesítés közvetlenül a sproof sign platformon Ha a dokumentumokat a központi sproof sign irányítópulton kezeli, egy egyszerű kattintás is elegendő. Csak vigye az egeret a dokumentumszerkesztőben található aláírási kártyára. Az eszköz az átfedő ablakban azonnal megmutatja, hogy az aláírás érvényes-e, milyen biztonsági szabvány (EES, FES, QES) vonatkozik rá, és melyik bizalmi szolgáltató állította ki a tanúsítványt.
- 3. módszer: Kézi ellenőrzés az Adobe Acrobat Reader segítségével A világszerte elterjedt PAdES-szabványnak köszönhetően az LTV-kompatibilis (Long-Term Validation) aláírások offline módon is ellenőrizhetők az Adobe Readerben. Az Adobe ehhez a beágyazott hitelességi adatokat (CRL/OCSP) használja, hogy évtizedeken át igazolja az aláírás korábbi érvényességét.
Vessen véget a dokumentumkezelés terén fennálló jogbizonytalanságoknak!
Automatizálja az ellenőrzési folyamatait, és védje meg vállalatát a szabályszegésektől. A sproof sign és a sproof Validate segítségével egy 100%-ban európai megoldásra támaszkodhat – amelynek semmi köze az Egyesült Államokhoz, teljes mértékben megfelel az GDPR-nek, és ISO 27001 tanúsítvánnyal rendelkezik.
Vegyen fel velünk kapcsolatot egy kötelezettség nélküli bemutató időpont egyeztetéséhez vagy próbálja ki ingyen a sproof sign szolgáltatást
GYIK a témában
-
+–Mi a különbség a vizuális aláírás és a digitális tanúsítvány között?A PDF-fájlban szereplő aláírás képe kizárólag az ember számára nyújt vizuális információt. Jogi és technikai szempontból kizárólag az a digitális… többet
A PDF-fájlban szereplő aláírás képe kizárólag az ember számára nyújt vizuális információt. Jogi és technikai szempontból kizárólag az a digitális tanúsítvány bír kötelező érvényű, amely kriptográfiai úton be van ágyazva a PDF-dokumentum géppel olvasható adataiba. A tanúsítvány nélküli puszta kép alig rendelkezik bizonyító erővel elektronikus aláírásként.
-
+–Ellenőrizhető-e egy digitális aláírás internetkapcsolat nélkül?Igen, feltéve, hogy az aláírás támogatja az LTV (Long-Term Validation) szabványt. Az LTV-vel ellátott aláírások esetében a tanúsítványhoz tartozó összes… többet
Igen, feltéve, hogy az aláírás támogatja az LTV (Long-Term Validation) szabványt. Az LTV-vel ellátott aláírások esetében a tanúsítványhoz tartozó összes szükséges érvényességi információt közvetlenül az aláíráskor beágyazják a PDF-be.
-
+–Mit jelent, ha egy ellenőrző eszköz a következő üzenetet jeleníti meg: „A kibocsátó azonosítója ismeretlen”?Ez az üzenet általában akkor jelenik meg, ha a dokumentumot olyan eszközzel írták alá, amelynek gyökértanúsítványa nem szerepel az EU… többet
Ez az üzenet általában akkor jelenik meg, ha a dokumentumot olyan eszközzel írták alá, amelynek gyökértanúsítványa nem szerepel az EU EUTL-listáján vagy a helyi Windows/Adobe tanúsítványtárban. A dokumentum integritása ugyan sértetlen lehet, de a jogilag érvényes „minősített elektronikus aláírás” (QES) státusza ezáltal érvényét veszti.
-
+–Mi történik, ha egy dokumentumot az aláírás után kissé módosítanak (pl. oldalszám hozzáadásával)?Amint egy PDF-dokumentumot a digitális aláírás hozzáadása után akár a legkisebb mértékben is módosítanak, a kriptográfiai pecsétlánc megszakad. Minden professzionális… többet
Amint egy PDF-dokumentumot a digitális aláírás hozzáadása után akár a legkisebb mértékben is módosítanak, a kriptográfiai pecsétlánc megszakad. Minden professzionális ellenőrző eszköz azonnal jelzi, hogy a dokumentumot meghamisították, és így az aláírás érvénytelen. A sproof esetében a PDF-be való mély beágyazottságnak köszönhetően pontosan nyomon követhető, hogy szabálytalan módon végeztek-e utólagos módosításokat, és ha igen, melyek azok.
-
+–Mennyi ideig érvényes és ellenőrizhető egy digitális aláírás?Az alapul szolgáló tanúsítvány lejárta után (általában 2–3 év elteltével) az alapértelmezett aláírások gyakran már nem érvényesíthetők hibamentesen. A sproof… többet
Az alapul szolgáló tanúsítvány lejárta után (általában 2–3 év elteltével) az alapértelmezett aláírások gyakran már nem érvényesíthetők hibamentesen. A sproof sign ezért következetesen alkalmazza az LTV-szabványt (Long-Term Validation). Ennek során az aláírás időpontjában az érvénytelenítési információkat (például CRL- vagy OCSP-listákat) közvetlenül a dokumentumba ágyazzák be. Ezáltal az aláírás érvényessége akár évtizedek múlva is ellenőrizhető, könyvvizsgálati követelményeknek megfelelően és a kibocsátótól függetlenül.
-
+–Lehet-e egy dokumentumon több digitális aláírást egymástól függetlenül ellenőrizni?Igen. Ha több személy egymás után írja alá a dokumentumot (szekvenciális munkafolyamat), a PDF-fájl tartalmazza az úgynevezett revíziós állapotok történetét…. többet
Igen. Ha több személy egymás után írja alá a dokumentumot (szekvenciális munkafolyamat), a PDF-fájl tartalmazza az úgynevezett revíziós állapotok történetét. Egy ellenőrző eszköz (pl. a sproof Validate) minden aláírást külön-külön ellenőrzi a dokumentumnak az adott aláírási időpontban fennálló állapotához viszonyítva.
-
+–Miért olyan fontos a vizsgálati jelentés (audit trail) a megfelelőségi menedzserek számára?Az audit trail (ellenőrzési napló) a teljes aláírási folyamat hiánytalan, bíróság előtt felhasználható előzményeit tartalmazza. Rögzíti, hogy mikor ki tekintette… többet
Az audit trail (ellenőrzési napló) a teljes aláírási folyamat hiánytalan, bíróság előtt felhasználható előzményeit tartalmazza. Rögzíti, hogy mikor ki tekintette meg, hagyta jóvá és írta alá a dokumentumot, beleértve a használt hitelesítési módszert is (pl. kétfaktoros hitelesítés vagy minősített eID). Ez a napló auditok vagy jogviták esetén elsődleges bizonyítékként szolgál arra vonatkozóan, hogy az aláírás szabályszerűen jött létre.




