Internetske usluge potpisivanja rješavaju specifičan logistički problem: dobivanje potpisa na dokumentu kada potpisnik nema softver za PDF, nema vremena za ispis i nema faks uređaj. DigiSigner pripada tom segmentu. Obrađuje PDF, Word, Excel i slikovne datoteke u pregledniku, omogućuje postavljanje polja za potpis na bilo koju stranicu i isporučuje dovršenu datoteku bez potrebe da druga strana išta instalira. Hoće li ta razmjena uistinu biti pravno valjana, ovisi o detaljima koje stranice ovih usluga obično prešućuju.
Što točno radi tijek potpisivanja
Mehanika je jednostavna. Učitate dokument putem HTTPS-a, povučete polja za potpis i datum na stranice gdje pripadaju te ga sami potpišete ili pošaljete pozivnicu drugoj strani. Potpisnik prima poveznicu, otvara dokument u svom pregledniku, prolazi kroz polja klikom i šalje ga natrag. Vi primate obavijest i možete preuzeti dovršenu datoteku.
Taj postupak u tri koraka dobro funkcionira za interna odobrenja, brze ugovore s dobavljačima i situacije u kojima je brzina važnija od kriptografskih jamstava. Poteškoće se javljaju kod reguliranih dokumenata, višekorisničkih procesa i svega što bi moglo biti osporeno na sudu. U tim je slučajevima tijek rada dobar samo onoliko koliko su dobri revizijski dokazi na kojima se temelji.
Revizijski tragovi i dokazi o izmjenama
Revizijski trag (audit trail) je najvažnija stvar koju treba provjeriti prije nego što se odlučite za bilo koju uslugu potpisivanja. On mora zabilježiti identitet potpisnika (obično potvrđen e-poštom), IP adresu, vremensku oznaku i sažetak (hash) stanja dokumenta u trenutku potpisivanja. Neke usluge prilažu ove dokaze u sam PDF kao zaseban privitak ili ugrađene metapodatke; druge ih čuvaju na poslužitelju i izdaju certifikat na zahtjev. Saznajte koji pristup usluga koristi prije nego što budete morali predočiti dokaze u slučaju spora.
Dokaz o izmjenama (tamper evidence) povezano je, ali zasebno pitanje. Dovršeni PDF iz usluge potpisivanja može nositi digitalni potpis primijenjen pomoću vlastitog certifikata usluge, što znači da će svaka izmjena nakon potpisivanja narušiti potpis i biti vidljiva u odgovarajućem pregledniku. To se razlikuje od cjelovitog kriptografskog potpisa kreiranog vlastitim privatnim ključem potpisnika. Za većinu poslovnih tijekova rada certifikat koji primjenjuje sama usluga je adekvatan. Za regulirane industrije ili prekogranične transakcije pokrivene uredbom eIDAS, to možda neće biti dovoljno.
Tvrdnje o usklađenosti: pročitajte sitna slova
Većina internetskih usluga potpisivanja u svom marketingu navodi zakone ESIGN, UETA i eIDAS. Ti zakoni definiraju uvjete pod kojima je elektronički potpis pravno obvezujući, ali ne certificiraju softver. Kada usluga tvrdi da je usklađena s uredbom eIDAS, to može značiti bilo što, od 'zadovoljavamo osnovne zahtjeve za jednostavan elektronički potpis' do 'mi smo akreditirani pružatelj usluga povjerenja koji izdaje kvalificirane elektroničke potpise'. Razlika između to dvoje je značajna u svakom pravosuđu u kojem kvalificirani elektronički potpis (QES) ima pravnu ekvivalenciju s vlastoručnim potpisom.
Provjerite dokumentaciju centra za povjerenje usluge radije nego početnu stranicu. Potražite specifičnosti: koja je razina eIDAS-a u pitanju, koje su zemlje pokrivene zasebnim pravnim mišljenjem i uključuju li uvjeti pružanja usluge obeštećenje u slučaju sporova oko potpisa. Ako vrsta dokumenta prema lokalnom zakonu zahtijeva kvalificirani elektronički potpis (QES) ili javnobilježnički ovjeren potpis, jednostavan elektronički potpis (SES) u pregledniku nije zamjena, bez obzira na marketinške tvrdnje.
Pohrana dokumenata i rezidentnost podataka
Kada učitate ugovor ili financijski dokument u oblačnu uslugu potpisivanja, on ostaje na njihovoj infrastrukturi sve dok ga vi ili oni ne obrišete. Praktična pitanja su: gdje se pohranjuje, tko unutar usluge mu može pristupiti, koliko traje zadano razdoblje čuvanja i možete li sami pokrenuti brisanje na zahtjev. Za dokumente koji sadrže osobne podatke obuhvaćene uredbom GDPR, odgovor na pitanje 'gdje se podaci pohranjuju' nije opcionalan.
DigiSigner, kao i većina usluga u ovoj kategoriji, pohranjuje dokumente na oblačnoj infrastrukturi i čuva ih tijekom podesivog razdoblja nakon dovršetka potpisivanja. Pregledajte ugovor o obradi podataka prije nego što usmjerite bilo kakve osjetljive informacije kroz uslugu. Ako vaša organizacija posluje pod propisima specifičnim za pojedini sektor, kao što su HIPAA ili pravila financijskih usluga, provjerite hoće li usluga potpisati ugovor o suradnji (Business Associate Agreement) ili ekvivalentan dodatak.
Gdje se DigiSigner uklapa, a gdje ne
DigiSigner je razuman izbor za jednostavna interna odobrenja, ugovore malih poduzeća i organizacije koje trebaju povremeno potpisivanje u pregledniku bez postavljanja vlastite infrastrukture. Besplatni paket obrađuje ograničen broj dokumenata mjesečno, što je dovoljno za procjenu odgovara li vam takav tijek rada prije nego što se obvežete.
To nije pravi alat kada se tijek potpisivanja mora usko integrirati s procesom generiranja dokumenata, kada je volumen dovoljno velik da cijena po dokumentu postane značajna ili kada dokumenti nose regulatorne obveze koje zahtijevaju kvalificirani certifikat. U tim slučajevima arhitektura zahtijeva biblioteku koja se izvodi lokalno, omogućuje vam kontrolu nad lancem certifikata i dopušta ugradnju potpisa kao dio generiranja dokumenta, a ne kao naknadni korak obrade.
Priprema programski generiranog PDF-a za vanjsko potpisivanje
Ako vaša aplikacija generira PDF prije nego što ga preda usluzi potpisivanja, nekoliko svojstava dokumenta olakšat će korak potpisivanja. Održavajte veličinu stranice dosljednom: dokument formata A4 poslan usluzi koja zadano koristi pregled u američkom pismu (Letter) može uzrokovati pogrešno poravnanje polja za potpis. Spojite (flatten) sva interaktivna polja obrasca koja nisu predviđena za potpis, jer neke usluge zamjenjuju ili odbacuju postojeća AcroForm polja kada dodaju svoja. Osigurajte čist prostor na stranicama gdje se nalaze potpisi, umjesto da dopustite usluzi da ih postavi preko stvarnog sadržaja.
Pohranite i verziju prije potpisivanja i dovršenu potpisanu verziju, imenovane tako da su jasno povezane. Kada potpisnik ospori ono na što je pristao, posjedovanje točnog dokumenta koji je poslan polazna je točka za svaku istragu. Ako se potpisana verzija vrati s različitim brojem stranica ili promijenjenim fontom u odnosu na izvornik, nešto u sustavu renderiranja usluge promijenilo je dokument, što je važno istražiti prije nego što izlaz smatrate vjerodostojnim.
Usluga naspram biblioteke: praktična razlika
Internetska usluga potpisivanja i PDF biblioteka za digitalni potpis rješavaju različite probleme i ta je razlika važna pri dizajnu tijeka rada s dokumentima. Usluga se bavi logistikom: usmjeravanjem dokumenata prema više strana, prikupljanjem dokaza o identitetu, slanjem obavijesti e-poštom i pohranom dovršenih datoteka. Biblioteka se bavi kriptografijom: izradom rječnika potpisa, primjenom lanca certifikata, ugradnjom potpisanog sažetka (hash) u raspon bajtova datoteke prema standardu ISO 32000-2. Oboje može supostojati u istom procesu, no zamjena jednog drugim samo zato što oba rješenja sadrže riječ 'potpis' obično rezultira tijekovima rada koji nisu niti ispravno revidirani niti ispravno potpisani.
Za većinu potreba malih poduzeća i internih odobrenja, usluga poput DigiSignera pokriva sve što je potrebno i košta manje od izgradnje vlastite infrastrukture za potpisivanje ispočetka. Za aplikacije s velikim brojem dokumenata u kojima su potpisi dio procesa generiranja, gdje je važno upravljanje certifikatima ili gdje potpisani dokument mora biti provjerljiv bez oslanjanja na poslužitelj treće strane, biblioteka koja se izvodi unutar vašeg vlastitog sustava predstavlja stabilnije arhitektonsko rješenje.