| SVARBIAUSIA TRUMPAI Ne vien tik paveikslėliai: vizualus parašo atvaizdas PDF faile teisiškai neturi reikšmės – lemiamą vaidmenį atlieka fone esantis kriptografinis sertifikatas. Trys patikrinimo ramsčiai: atliekant patvirtinimą visada tikrinama pasirašančio asmens tapatybė, dokumento autentiškumas (integralumas) ir sertifikato galiojimas. EUTL veiksnys: kvalifikuotas elektroninis parašas (QES) visoje Europoje 100 % pripažįstamas teisme tik tuomet, jei pasitikėjimo paslaugų teikėjas (TSP) yra įtrauktas į oficialų ES pasitikėjimo sąrašą (EUTL). JAV konkurencinis trūkumas: daugelis JAV įrankių neatitinka Europos tikrinimo įrankių (pavyzdžiui, valstybinės RTR akreditavimo tarnybos) reikalavimų, nes nepakankamai įtvirtina sertifikatų grandines. |
Įvadas: Kodėl „tikrinimas“ yra tikrasis skaitmeninių procesų pagrindas
Daugelyje įmonių sutarčių pasirašymas elektroniniu būdu jau seniai tapo įprasta praktika. Tačiau nors pasirašymui skiriama milžiniškai daug pastangų, kasdieniame B2B versle dažnai lieka neatsakytas esminis klausimas: kaip tikrinate dokumentus, kurie, jau pasirašyti, grįžta į jūsų įmonę?
Įmonės kasdien keičiasi konfidencialiomis sutartimis – nuo darbo sutarčių personalo skyriuje iki tiekėjų susitarimų ir didelės apimties finansinių sandorių. Kas šiuo atveju pasitiki tuo, kad nuskaitytas parašas ar paprastas vizualus vietos užpildymo paveikslėlis PDF faile yra teisiškai saugus, prisiima didžiulę atitikties reikalavimams ir atsakomybės riziką. Tik sistemingas kriptografinis patikrinimas suteikia teismui priimtiną garantiją, kad jūsų sutarties šalis iš tiesų yra tas asmuo, už kurį save išduoda, ir kad sutarties tekstas vėliau nebuvo suklastotas.
Techninė anatomija: kas vyksta, kai tikrinate skaitmeninį parašą?
Kai tikrinate skaitmeninį parašą (pavyzdžiui, naudodami „sproof Validator“, „Acrobat Reader“, valstybines patvirtinimo paslaugas, tokias kaip Austrijos „Rundfunk und Telekom Regulierungs-GmbH“, arba specializuotą programinę įrangą), fone vyksta trijų etapų procesas:
1. Dokumentų vientisumo patikrinimas (hashų palyginimas)
Pasirašant visas failo turinys naudojant algoritmą suspaudžiamas į unikalų skaitmeninį „piršto atspaudą“ – vadinamąją hash vertę. Patikrinimo įrankis, atidarydamas failą, iš naujo apskaičiuoja šią hash vertę. Jei dabartinė hash vertė tiksliai sutampa su ta, kuri buvo užšifruota pasirašymo metu, galima daryti išvadą: nuo pasirašymo momento dokumentas nebuvo pakeistas nė vienu simboliu.
| „sproof Insight“ palyginti su JAV rinkos lyderiu: „sproof sign“ kiekvieną parašą pasirašymo metu tiesiogiai ir teisiškai galiojančiu būdu kriptografiškai įtvirtina PDF faile. JAV tiekėjai, tokie kaip „DocuSign“, dažnai proceso metu parašus įterpia į dokumentą tik kaip vaizdinius elementus, o galutinį bendrą antspaudą prideda tik baigiant atsisiųsti. Dėl to vėliau tikrinimo įrankiams tampa sudėtinga tiksliai atsekti, kada buvo atliktas konkretus formos laukelio pakeitimas. |
2. Skaitmeninio sertifikato patvirtinimas (tapatybė)
Kiekvienas išplėstinis (FES) arba kvalifikuotas elektroninis parašas (QES) yra neatsiejamai susietas su skaitmeniniu sertifikatu. Šis sertifikatas veikia kaip skaitmeninis asmens tapatybės dokumentas. Patikrinimo įrankis išskiria sertifikato metaduomenis, kad nustatytų pasirašančiojo vardą ir pavardę, patvirtintą el. pašto adresą bei išdavėją (patikimumo paslaugų teikėją, trumpai – TSP).
3. Suderinimas su Europos Sąjungos patikimų subjektų sąrašu (EUTL)
Maksimalų įrodomąjį poveikį Europos Sąjungos erdvėje užtikrina eIDAS reglamentas. Griežtai reguliuojamose srityse standartiniu būdu reikalaujama kvalifikuoto elektroninio parašo (QES), nes tik jis teisiškai 100 % prilygsta ranka rašytam parašui. Tikrindama QES, programinė įranga palygina paslaugą teikiantį TSP su oficialiu Europos Komisijos patikimumo sąrašu (EUTL). Jei paslaugos teikėjas jame nėra akredituotas, parašas praranda QES statusą.
Kodėl kai kurios parašai Europos tikrinimo įrankiuose pripažįstami kaip „negaliojantys“
Dažnas reiškinys Europos teisinių skyriuose: sutartis, pasirašyta naudojant JAV sukurtą įrankį, įkeliama į oficialią RTR (Austrija) tikrinimo tarnybą ir iš karto įvertinama kaip „negaliojanti“ arba „techniniu požiūriu nepatikrinama“.
Tam yra priežastis: trūksta EUTL akreditacijos. Daugelis pasaulinių „hyperscaler“ savo standartiniams parašams naudoja savas sertifikatų grandines, kurios, nors komerciniuose sąrašuose (pavyzdžiui, „Adobe Approved Trust List“ – AATL) pažymėtos kaip „žalios“, tačiau neatitinka griežtų Europos valstybinių priežiūros institucijų nustatytų reguliavimo kriterijų.
Žingsnis po žingsnio: kaip praktikoje patikrinti skaitmeninį parašą
Įmonėms yra trys pagrindiniai patikrinti būdai, kaip patvirtinti parašų autentiškumą taip, kad tai atitiktų audito reikalavimus:
- 1-asis būdas: automatizuotas patvirtinimas naudojant programinę įrangą ir API (skirta įmonėms). Didžiosios organizacijos negali rankiniu būdu tikrinti gaunamų dokumentų. Šiuo atveju naudojami tokie moduliai kaip „sproof Validate “. Naudojant REST-API, sutartys, vos tik jas gavus, yra automatiškai nuskaitomos, kriptografiškai patikrinamos ir archyvuojamos jūsų dokumentų valdymo sistemoje (DMS) su nepakeičiamu audito takeliu (patikrinimo protokolu).
- 2-asis būdas: patvirtinimas tiesiogiai „sproof sign“ platformoje. Jei dokumentus tvarkote savo centrinėje „sproof sign“ valdymo pulto aplinkoje, užtenka vieno paspaudimo. Tiesiog užveskite pelės žymeklį ant parašo kortelės dokumentų redaktoriuje. Įrankis iš karto parodys užklotiniame lange, ar parašas yra galiojantis, kokį saugumo standartą (EES, FES, QES) jis atitinka ir kuris patikimumo paslaugų teikėjas išdavė sertifikatą.
- 3-iasis būdas: Rankinis patikrinimas naudojant „Adobe Acrobat Reader“ Dėka pasaulinio PAdES standarto, LTV (Long-Term Validation) reikalavimus atitinkančius parašus galima patikrinti net ir neprisijungus prie interneto, naudojant „Adobe Reader“. Šiam tikslui „Adobe“ naudoja įterptus atnaujinimo duomenis (CRL/OCSP), kad patvirtintų parašo galiojimą per pastaruosius dešimtmečius.
Pašalinkite teisinį neapibrėžtumą dokumentų tvarkymo srityje
Automatizuokite savo patvirtinimo procesus ir apsaugokite savo įmonę nuo atitikties reikalavimams pažeidimų. Naudodami „sproof sign“ ir „sproof Validate“, pasikliaujate 100 % europietišku sprendimu – visiškai nesusijusiu su JAV, visiškai atitinkančiu BDAR reikalavimus ir sertifikuotu pagal ISO 27001 standartą.
Susitarkite dėl neįpareigojančio demonstravimo susitikimo dabar arba nemokamai išbandykite „sproof sign“
DUK šia tema
-
+–Kuo skiriasi vizualusis parašas nuo skaitmeninio sertifikato?PDF faile esantis parašo vaizdas skirtas tik vizualiai informacijai pateikti žmogui. Teisiškai ir techniškai privalomas yra tik skaitmeninis sertifikatas, kuris… daugiau
PDF faile esantis parašo vaizdas skirtas tik vizualiai informacijai pateikti žmogui. Teisiškai ir techniškai privalomas yra tik skaitmeninis sertifikatas, kuris kriptografiškai įtvirtintas PDF dokumento mašinai skaitomuose duomenyse. Vien tik vaizdas be sertifikato beveik neturi įrodomosios galios kaip elektroninis parašas.
-
+–Ar galima patikrinti skaitmeninį parašą, jei nėra interneto ryšio?Taip, jei parašas palaiko LTV (Long-Term Validation) standartą. Naudojant LTV funkciją turinčius parašus, visa reikalinga sertifikato galiojimo pabaigos informacija įterpiama… daugiau
Taip, jei parašas palaiko LTV (Long-Term Validation) standartą. Naudojant LTV funkciją turinčius parašus, visa reikalinga sertifikato galiojimo pabaigos informacija įterpiama į PDF failą tiesiogiai pasirašymo metu.
-
+–Ką reiškia, kai tikrinimo įrankis praneša: „Išdavėjo tapatybė nežinoma“?Šis pranešimas dažniausiai pasirodo tada, kai dokumentas buvo pasirašytas naudojant įrankį, kurio pagrindinis sertifikatas nėra įtrauktas į ES EUTL sąrašą… daugiau
Šis pranešimas dažniausiai pasirodo tada, kai dokumentas buvo pasirašytas naudojant įrankį, kurio pagrindinis sertifikatas nėra įtrauktas į ES EUTL sąrašą arba į vietinę „Windows“/„Adobe“ sertifikatų saugyklą. Nors dokumento vientisumas gali būti išsaugotas, jo statusas kaip teisiškai galiojančio „kvalifikuoto elektroninio parašo“ (QES) dėl to netenka galios.
-
+–Kas atsitinka, jei dokumentas po pasirašymo yra šiek tiek pakeistas (pvz., įrašius puslapio numerį)?Kai tik PDF dokumentas, kuriam buvo pritaikytas skaitmeninis parašas, yra bent šiek tiek pakeistas, kriptografinė parašų grandinė nutrūksta. Kiekviena profesionali… daugiau
Kai tik PDF dokumentas, kuriam buvo pritaikytas skaitmeninis parašas, yra bent šiek tiek pakeistas, kriptografinė parašų grandinė nutrūksta. Kiekviena profesionali tikrinimo priemonė iš karto praneša, kad dokumentas buvo suklastotas ir todėl parašas yra negaliojantis. „sproof“ sistemoje, dėl gilaus integravimo į PDF failą, galima tiksliai nustatyti, ar vėliau buvo padaryti pažeidžiantys taisykles pakeitimai ir kokie būtent.
-
+–Kiek laiko skaitmeninis parašas yra galiojantis ir patikrinamas?Standartiniai parašai dažnai nebegali būti be klaidų patvirtinti pasibaigus pagrindinio sertifikato galiojimo laikui (dažniausiai po 2–3 metų). Todėl „sproof sign“… daugiau
Standartiniai parašai dažnai nebegali būti be klaidų patvirtinti pasibaigus pagrindinio sertifikato galiojimo laikui (dažniausiai po 2–3 metų). Todėl „sproof sign“ nuosekliai taiko LTV (Long-Term Validation) standartą. Šiuo atveju blokavimo informacija (pavyzdžiui, CRL arba OCSP sąrašai) pasirašymo metu yra tiesiogiai įterpiama į dokumentą. Tai leidžia patikrinti parašo galiojimą net praėjus dešimtmečiams, užtikrinant audito saugumą ir nepriklausomybę nuo išdavėjo.
-
+–Ar galima viename dokumente nepriklausomai vienas nuo kito patikrinti kelis skaitmeninius parašus?Taip. Jei dokumentą paeiliui pasirašo keli asmenys (sekcinis darbo srautas), PDF faile išsaugoma vadinamųjų redagavimo versijų istorija. Patikrinimo įrankis (pvz.,… daugiau
Taip. Jei dokumentą paeiliui pasirašo keli asmenys (sekcinis darbo srautas), PDF faile išsaugoma vadinamųjų redagavimo versijų istorija. Patikrinimo įrankis (pvz., „sproof Validate“) kiekvieną parašą atskirai patikrina pagal dokumento būklę, buvusią atitinkamu pasirašymo momentu.
-
+–Kodėl audito ataskaita (audito seka) yra tokia svarbi atitikties užtikrinimo vadovams?Audito seka (audito protokolas) pateikia išsamią, teisme pripažįstamą viso pasirašymo proceso istoriją. Jame užfiksuota, kada ir kas peržiūrėjo, patvirtino ir… daugiau
Audito seka (audito protokolas) pateikia išsamią, teisme pripažįstamą viso pasirašymo proceso istoriją. Jame užfiksuota, kada ir kas peržiūrėjo, patvirtino ir pasirašė dokumentą, taip pat nurodytas naudotas patvirtinimo metodas (pvz., dviejų veiksnių autentifikavimas arba kvalifikuota e. tapatybė). Šis protokolas audito metu ar teisinių ginčų atveju tarnauja kaip pagrindinis įrodymas, kad parašas buvo atliktas tinkamai.




