Услугите за онлайн подписване решават конкретен логистичен проблем: получаване на подпис върху документ, когато подписващият няма софтуер за PDF, няма време да печата и няма факс машина. DigiSigner се позиционира именно в това пространство. Тя поддържа PDF, Word, Excel и файлове с изображения в браузъра, позволява ви да поставяте полета за подпис на всяка страница и доставя завършения файл, без да изисква от другата страна да инсталира каквото и да било. Дали този обмен действително е юридически издържан обаче зависи от детайли, които страницата на услугата обикновено спестява.
Какво всъщност прави процесът на подписване
Механиката е проста. Качвате документа през HTTPS, плъзгате полетата за подпис и дата върху страниците, където трябва да бъдат, и или го подписвате сами, или изпращате покана до друга страна. Подписващият получава линк, отваря документа в своя браузър, кликва върху полетата и го изпраща. Получавате известие и можете да изтеглите завършения файл.
Този процес от три стъпки работи добре за вътрешни одобрения, бързи споразумения с доставчици и ситуации, при които скоростта е по-важна от криптографските гаранции. Мястото, където той започва да изпитва затруднения, са регулираните документи, последователностите с множество страни и всичко, което може да бъде оспорено в съда. За тези случаи работният процес е толкова добър, колкото са одитните доказателства зад него.
Одитни пътеки и доказателства за подмяна
Одитната пътека (audit trail) е най-важното нещо, което трябва да проверите, преди да се ангажирате с каквато и да е услуга за подписване. Тя трябва да записва идентичността на подписващия (обикновено потвърдена чрез имейл), IP адрес, времева марка и хеш на състоянието на документа в момента на подписване. Някои услуги пакетират тези доказателства в самия PDF като отделен прикачен файл или вградени метаданни; други ги съхраняват на сървъра и издават сертификат при поискване. Разберете кой подход използва дадена услуга, преди да се наложи да представите доказателствата при евентуален спор.
Доказателството за подмяна е свързан, но различен въпрос. Завършеният PDF от услуга за подписване може да носи цифров подпис, приложен със собствения сертификат на услугата, което означава, че всяка промяна след подписването ще наруши подписа и ще бъде видима в съвместим четец. Това е различно от криптографски подпис от край до край, създаден със собствения частен ключ на подписващия. За повечето бизнес процеси сертификатът, приложен от услугата, е достатъчен. За регулирани индустрии или трансгранични транзакции, обхванати от eIDAS, това може да не е така.
Твърдения за съвместимост: четете ситния шрифт
Повечето онлайн услуги за подписване изброяват ESIGN, UETA и eIDAS в своите маркетингови материали. Тези закони определят изискванията за това кога един електронен подпис е правно обвързващ, но те не сертифицират софтуер. Услуга, която твърди, че е съвместима с eIDAS, може да означава всичко �от "ние отговаряме на основните изисквания за обикновен електронен подпис" до "ние сме акредитиран доставчик на удостоверителни услуги, издаващ квалифицирани електронни подписи". Разликата между тези две понятия е значителна във всяка юрисдикция, където квалифицираният електронен подпис (КЕП) има правна равностойност на саморъчен подпис.
Проверете документацията в центъра за сигурност на услугата, а не началната страница. Търсете конкретни детайли: кое ниво на eIDAS се поддържа, кои държави са обхванати от отделно правно становище, дали общите условия включват обезщетение при спорове за подписи. Ако типът на документа изисква КЕП или нотариално заверен подпис съгласно местното законодателство, обикновеният електронен подпис (ОЕП) през браузър не е заместител, независимо какво казват маркетинговите материали.
Съхранение на документи и локализация на данните
Когато качвате договор или финансов документ в облачна услуга за подписване, той живее на тяхната инфраструктура, докато вие или те не го изтриете. Практическите въпроси са: къде се съхранява, кой в рамките на услугата има достъп до него, колко дълъг е периодът на съхранение по подразбиране и дали можете да задействате изтриване при поискване. За документи, съдържащи лични данни, обхванати от GDPR, отговорът на въпроса "къде се съхранява" не е пожелателен.
DigiSigner, подобно на повечето услуги в тази категория, съхранява документи в облачна инфраструктура и ги пази за конфигурируем период след приключване на подписването. Прегледайте споразумението за обработка на данни, преди да насочите чувствителна информация през услугата. Ако вашата организация работи съгласно специфично секторно регулиране, като HIPAA или правилата за финансови услуги, потвърдете дали услугата ще подпише Business Associate Agreement (BAA) или еквивалентно допълнение.
Къде DigiSigner е подходяща и къде не
DigiSigner е разумен избор за леки вътрешни одобрения, договори за малък бизнес и организации, които се нуждаят от периодично подписване в браузъра, без да изграждат собствена инфраструктура. Безплатният план поддържа ограничен брой документи на месец, което е достатъчно, за да прецените дали работният процес ви удовлетворява, преди да преминете към платен абонамент.
Това обаче не е подходящият инструмент, когато процесът на подписване трябва да се интегрира тясно с линия за автоматично генериране на документи, когато обемът е достатъчно голям, за да направи цената на документ значителна, или когато документите носят регулаторни задължения, изискващи квалифициран сертификат. В тези случаи архитектурата се нуждае от библиотека, която работи локално, дава ви контрол върху веригата от сертификати и ви позволява да вградите подписа като част от генерирането на документа, а не като стъпка за последваща обработка.
Подготовка на генериран от разработчик PDF за външно подписване
Ако вашето приложение генерира PDF файла, преди да го предаде на услуга за подписване, няколко свойства на документа могат да направят стъпката на подписване по-чиста. Поддържайте еднакъв размер на страниците: документ А4, изпратен към услуга, която по подразбиране показва преглед в размер Letter, може да доведе до разместени полета за подпис. Сплескайте (flatten) всички интерактивни полета на формуляри, които не са контейнери за подпис, тъй като някои услуги заменят или изхвърлят съществуващите AcroForm полета, когато добавят свои собствени. Резервирайте изрично празно пространство на страниците, където трябва да се поставят подписите, вместо да позволявате на услугата да ги наслагва върху важно съдържание.
Съхранявайте както копието преди подписването, така и завършеното подписано копие, именувани така, че двете да са ясно свързани. Когато подписващият оспори това, с което се е съгласил, наличието на точния изпратен документ е отправната точка за всяко разследване. Ако подписаната версия се върне с различен брой страници или различни шрифтови метрики спрямо изпратената, нещо в линията за изобразяване (rendering pipeline) на услугата е променило документа, което е добре да се разбере, преди да третирате изходния файл като достоверен.
Услуга срещу библиотека: практическа разлика
Онлайн услугата за подписване и библиотеката за цифров подпис на PDF решават различни проблеми и разликата е важна при проектирането на работен процес за документи. Услугата се занимава с логистиката: насочване на документи до множество страни, събиране на доказателства за идентичност, изпращане на имейл известия и съхраняване на завършени файлове. Библиотеката се занимава с криптографията: конструиране на речника на подписа, прилагане на веригата от сертификати, вграждане на подписания хеш в байтовия диапазон на файла съгласно ISO 32000-2. Двете могат да съществуват съвместно в една и съща линия, но замяната на едната с другата само защото и двете съдържат думата "подпис", обикновено води до работни процеси, които не са нито правилно одитирани, нито правилно подписани.
За повечето случаи на малкия бизнес и вътрешните одобрения, услуга като DigiSigner покрива необходимото и струва по-малко от изграждането на инфраструктура за подписване от нулата. За приложения с голям обем документи, при които подписите са част от генерирането, където управлението на сертификати е от значение или където подписаният документ трябва да може да бъде проверен без връзка с външен сървър, библиотека, работеща във вашия собствен технологичен стек, е по-сигурната архитектура.