Internetinio pasirašymo paslaugos išsprendžia konkrečią logistikos problemą: kaip gauti parašą ant dokumento, kai pasirašantis asmuo neturi PDF programinės įrangos, neturi laiko spausdinti ir neturi fakso aparato. „DigiSigner“ užima būtent šią vietą. Ji apdoroja PDF, „Word“, „Excel“ ir vaizdo failus naršyklėje, leidžia išdėstyti parašo laukus bet kuriame puslapyje ir pateikia pasirašytą failą, nereikalaujant, kad kita šalis ką nors įdiegtų. Tačiau tai, ar toks pasikeitimas dokumentais iš tikrųjų teisiškai galioja, prikalauso nuo smulkmenų, kurias paslaugos svetainė linkusi nutylėti.
Ką iš tikrųjų atlieka pasirašymo procesas
Mechanizmas yra paprastas. Įkeliate dokumentą per HTTPS, nuvelkate parašo ir datos laukus į jiems skirtas vietas puslapiuose ir arba pasirašote patys, arba išsiunčiate kvietimą kitai šaliai. Pasirašantis asmuo gauna nuorodą, atidaro dokumentą savo naršyklėje, užpildo laukus ir pateikia. Jūs gaunate pranešimą ir galite atsisiųsti pasirašytą failą.
Šis trijų žingsnių kelias puikiai tinka vidiniams patvirtinimams, greitiems susitarimams su tiekėjais ir situacijoms, kai greitis yra svarbesnis už kriptografines garantijas. Sunkumų kyla tuomet, kai tenka pasirašyti reglamentuojamus dokumentus, kelių šalių pasirašymo sekas ir bet kokius dokumentus, kurie gali būti užginčyti teisme. Tokiais atvejais darbo eigos patikimumas tiesiogiai priklauso nuo po ja esančių audito įrodymų.
Audito keliai ir įrodymai apie klastojimą
Audito kelias (audit trail) yra svarbiausias dalykas, kurį reikia patikrinti prieš pasirenkant bet kokią pasirašymo paslaugą. Jame turi būti fiksuojama pasirašančiojo tapatybė (paprastai patvirtinama el. paštu), IP adresas, laiko žyma ir dokumento būsenos maišos kodas (hash) pasirašymo momentu. Kai kurios paslaugos šiuos įrodymus supakuoja į patį PDF failą kaip atskirą priedą arba įterptus metaduomenis; kitos saugo juos serverio pusėje ir pateikia sertifikatą paprašius. Išsiaiškinkite, kurį metodą naudoja paslauga, prieš kilstant ginčui, kai prireiks pateikti įrodymus.
Įrodymai apie klastojimą yra susijęs, bet atskiras klausimas. Pasirašytas PDF failas iš pasirašymo tarnybos gali turėti skaitmeninį parašą, pritaikytą naudojant pačios paslaugos sertifikatą, o tai reiškia, kad bet koks pakeitimas po pasirašymo pažeis parašą ir bus matomas suderinamoje peržiūros programoje. Tai skiriasi nuo tiesioginio (end-to-end) kriptografinio parašo, sukurto naudojant paties pasirašančiojo privatųjį raktą. Daugumai verslo procesų pakanka pačios paslaugos pritaikyto sertifikato. Tačiau reglamentuojamose pramonės šakose arba tarpvalstybinėse operacijose, kurioms taikomas eIDAS reglamentas, to gali nepakakti.
Atitikties teiginiai: perskaitykite smulkų šriftą
Dauguma internetinių pasirašymo paslaugų savo rinkodaroje nurodo ESIGN, UETA ir eIDAS reglamentus. Šie įstatymai nustato reikalavimus, kada elektroninis parašas yra teisiškai privalomas, tačiau jie nesertifikuoja programinės įrangos. Paslaugos teiginys, kad ji atitinka eIDAS, gali reikšti bet ką: nuo „mes tenkiname pagrindinius paprasto elektroninio parašo (SES) reikalavimus“ iki „esame akredituotas patikimumo paslaugų teikėjas, išduodantis kvalifikuotus elektroninius parašus (QES)“. Skirtumas tarp šių dviejų lygių yra didžiulis bet kurioje jurisdikcijoje, kurioje kvalifikuotas parašas teisiškai prilyginamas ranka rašytam parašui.
Tikrinkite pačios paslaugos saugumo centro (trust center) dokumentaciją, o ne reklaminį puslapį. Ieškokite specifikos: koks eIDAS lygis taikomas, kurioms šalims taikoma atskira teisinė nuomonė, ar paslaugų teikimo sąlygose numatyta kompensacija kilus ginčams dėl parašo. Jei pagal vietinius įstatymus reikalaujama kvalifikuoto elektroninio parašo (QES) arba notaro patvirtinto parašo, naršyklėje atliktas paprastas pasirašymas (SES) to nepakeis, nepriklausomai nuo to, ką teigia reklama.
Dokumentų saugojimas ir duomenų rezidentiškumas
Kai įkeliate sutartį ar finansinį dokumentą į debesų pasirašymo tarnybą, jis lieka jų infrastruktūroje, kol jūs arba jie jį ištrina. Praktiniai klausimai yra šie: kur jis saugomas, kas iš paslaugos darbuotojų gali prie jo prieiti, kiek trunka numatytasis saugojimo laikotarpis ir ar galite inicijuoti ištrynimą pareikalavę. Dokumentams, kuriuose yra asmens duomenų, saugomų pagal BDAR (GDPR), atsakymas į klausimą „kur jie saugomi“ yra privalomas.
„DigiSigner“, kaip ir dauguma šios kategorijos paslaugų, saugo dokumentus debesų infrastruktūroje ir pasilieka juos konfigūruojamam laikotarpiui po to, kai pasirašymas užbaigiamas. Peržiūrėkite duomenų tvarkymo sutartį prieš nukreipdami bet kokią jautrią informaciją per šią paslaugą. Jei jūsų organizacija veikia pagal specifinius pramonės šakos reglamentus, tokius kaip HIPAA ar finansinių paslaugų taisyklės, patikrinkite, ar paslauga pasirašys verslo partnerio sutartį (Business Associate Agreement) ar lygiavertį priedą.
Kur DigiSigner tinka, o kur ne
„DigiSigner“ yra tinkamas pasirinkimas paprastiems vidiniams patvirtinimams, smulkaus verslo sutartims ir organizacijoms, kurioms retkarčiais reikia pasirašyti dokumentus naršyklėje, nekuriant savo infrastruktūros. Nemokamas planas leidžia apdoroti ribotą dokumentų skaičių per mėnesį, ko pakanka norint įvertinti, ar procesas jums tinka, prieš prisiimant finansinius įsipareigojimus.
Tai nėra tinkamas įrankis, kai pasirašymo procesą reikia glaudžiai integruoti su dokumentų generavimo grandine, kai dokumentų apimtys yra pakankamai didelės, kad vieno dokumento kaina taptų reikšminga, arba kai dokumentams taikomi reguliavimo įsipareigojimai, reikalaujantys kvalifikuoto sertifikato. Tokiais atvejais architektūrai reikia lokaliai veikiančios bibliotekos, kuri leistų valdyti sertifikatų grandinę ir įterpti parašą kaip dokumentų generavimo dalį, o ne kaip vėlesnio apdorojimo etapą.
Programuotojo sugeneruoto PDF paruošimas išoriniam pasirašymui
Jei jūsų programa sugeneruoja PDF failą prieš perduodant jį pasirašymo paslaugai, tam tikros dokumento savybės gali palengvinti pasirašymo etapą. Išlaikykite vienodą puslapio dydį: A4 formato dokumentas, nusiųstas į paslaugą, kurioje numatyta „Letter“ formato peržiūra, gali lemti netinkamai išdėstytus parašų laukus. Suplotinkite (flatten) visus interaktyvius formos laukus, kurie nėra parašo vietos, nes kai kurios paslaugos pakeičia arba pašalina esamus „AcroForm“ laukus, kai prideda savo. Palikite aiškią laisvą vietą puslapiuose ten, kur turi būti parašai, užuot leidę paslaugai uždėti juos ant esamo turinio viršaus.
Išsaugokite ir kopiją prieš pasirašymą, ir galutinį pasirašytą dokumentą, pavadindami juos taip, kad būtų aiškiai matomas jų ryšys. Kai pasirašantis asmuo užginčija tai, su kuo sutiko, būtent išsiųsto dokumento kopija yra bet kokio tyrimo atskaitos taškas. Jei pasirašyta versija grąžinama su kitokiu puslapių skaičiumi arba kitokiais šriftų parametrais nei pradinė, vadinasi, paslaugos atvaizdavimo procesas pakeitė dokumentą, o tai verta išsiaiškinti prieš priimant rezultatą kaip patikimą.
Paslauga prieš biblioteką: praktinis skirtumas
Internetinė pasirašymo paslauga ir skaitmeninio PDF parašo biblioteka sprendžia skirtingas problemas, ir šis skirtumas yra svarbus projektuojant dokumentų eigos sistemą. Paslauga valdo logistiką: dokumentų nukreipimą kelioms šalims, tapatybės įrodymų rinkimą, el. pašto pranešimų siuntimą ir pasirašytų failų saugojimą. Biblioteka valdo kriptografiją: parašo žodyno kūrimą, sertifikatų grandinės pritaikymą, pasirašytos maišos įterpimą į failo baitų diapazoną pagal ISO 32000-2 standartą. Abu sprendimai gali egzistuoti tame pačiame procese, tačiau vieno pakeitimas kitu vien dėl to, kad abiejuose naudojamas žodis „parašas“, paprastai sukuria tokias darbo eigas, kurios nėra nei tinkamai audituojamos, nei teisingai pasirašomos.
Daugumai smulkaus verslo ir vidinio patvirtinimo atvejų tokia paslauga kaip „DigiSigner“ atlieka viską, ko reikia, ir kainuoja pigiau nei pačių kuriama pasirašymo infrastruktūra nuo nulio. Programoms su dideliais dokumentų srautais, kur parašas yra generavimo dalis, kur svarbus sertifikatų valdymas arba kur pasirašytas dokumentas turi būti patikrinamas be nuorodos į trečiosios šalies serverį, lokaliai jūsų sistemoje veikianti biblioteka yra patikimesnė architektūra.