Online služby na podpisovanie riešia konkrétny logistický problém: získaním podpisu na dokument, keď podpisovateľ nemá softuér PDF, čas na tlač a ani fax. DigiSigner patrí do tejto kategórie. Spracováva súbory PDF, Word, Excel a obrázky v prohlíačai, umožňuje umiestniť podpisové polia na akejkoľvek stránke a doručí vyplnený súbor bez nutnosti inštalaďky zo strany protístrany. To, či suchá transakcia skutočne obstojí, závisí od podrobností, ktoré stránka služby zvykne zamlčovať.
Čo tok podpisovania skutočne robí
Mechanika je priamočiara. Nahráte dokument cez HTTPS, presúvate podpisové a dátumové polia na stránky, kde patria, a buď podpíšete sami alebo pošlete pozvanie inej strane. Podpisovateľ dostane odkaz, otvorí dokument vo svojom prohlíačai, preklikne poličkami a odhošle ho. Dostanete upozornenie a môžete si stiahnuť vyplnený súbor.
Tento trojkrokový postup funguje dobre pri interných schváleniach, rýchlych dohodách s dodávateľmi a situáciách, kde rýchlosť je dôležitejšia ako kryptografické záruky. Problémy nastávajú pri regulovaných dokumentoch, viacstranných sekvenciách a všetkom, čo by mohlo byť napadnuté na súde. V takýchto prípadoch je pracovný postup iba taký dobrý, aký je auditný dôkaz, ktorý ho podkladá.
Audit trail a ochrana pred manipuláciou
Audit trail je najdôležitejšou vecou, ktorú treba overiť pred záväzkom k akejkoľvek podpisovacej službe. Musí zaznamenávať identitu podpisovateľa (zvyčajne overenú e-mailom), IP adresu, časovú pečiatku a hash stavu dokumentu v okamihu podpisu. Niektoré služby zväzujú tieto dôkazy priamo do PDF ako samostatnú prílohu alebo vložené metadáta; iné ich uchovávajú na strane servera a vydávajú certifikát na požiadanie. Zistite, ktorý prístup služba používa, skôr ako budete musieť dôkazy predložiť pri spore.
Ochrana pred manipuláciou je súvisiacou, ale odlišnou otázkou. Vyplnené PDF zo signovacej služby môže niesť digitálny podpis aplikovaný vlastným certifikátom služby, čo znamená, že akákoľvek úprava po podpísaní naruší podpis a bude viditeľná v konformnom prehliadači. To je odlišné od end-to-end kryptografického podpisu vytvoreného súkromným kľúčom podpisovateľa. Pre väčšinu obchodných pracovných postupov je certifikát aplikovaný službou postačujúci. Pre regulované odvetvia alebo cezhraničné transakcie podliehajúce eIDAS to nemusí stačiť.
Tvrdenia o súlade: čítajte jemné tlačidlo
Väčšina online signovacích služieb uvádza ESIGN, UETA a eIDAS vo svojom marketingu. Tieto zákony stanovujú požiadavky na to, kedy je elektronický podpis právne záväzný, ale necertifikujú softvér. Tvrdenie služby o súlade s eIDAS môže znamenať čokoľvek od "spĺňame základné požiadavky na Jednoduchý elektronický podpis" až po "sme akreditovaný poskytovateľ dôveryhodných služieb vydávajúci Kvalifikované elektronické podpisy." Rozdiel medzi týmito dvoma je výrazný v každej jurisdikcii, kde QES má právnu ekvivalenciu s vlastnoručným podpisom.
Skontrolujte dokumentáciu trust centra služby, nie vstupnú stránku. Hľadajte konkrétne informácie: ktorá úroveň eIDAS, ktoré krajiny sú pokryté samostatným právnym stanoviskom, či podmienky poskytovania služieb zahŕňajú odškodnenie za spory o podpis. Ak typ dokumentu vyžaduje QES alebo notársky overený podpis podľa miestneho práva, SES cez prehliadač nie je náhradou bez ohľadu na to, čo hovorí marketing.
Ukladanie dokumentov a umiestnenie dát
Keď nahráte zmluvu alebo finančný dokument do cloudovej signovacej služby, zostáva na ich infraštruktúre, kým ho vy alebo oni nevymažete. Praktické otázky sú: kde je uložený, kto vo vnútri služby k nemu má prístup, ako dlho trvá predvolená doba uchovávania a či môžete spustiť vymazanie na požiadanie. Pri dokumentoch obsahujúcich osobné údaje pokryté GDPR odpoveď na otázku "kde je uložený" nie je voliteľná.
DigiSigner, rovnako ako väčšina služieb v tejto kategórii, ukladá dokumenty na cloudovej infraštruktúre a uchováva ich po konfigurovateľnú dobu po dokončení podpisovania. Pred odoslaním čohokoľvek citlivého cez službu si preštudujte zmluvu o spracovaní údajov. Ak vaša organizácia pôsobí v oblasti regulovanej špecifickými predpismi, ako je HIPAA alebo pravidlá finančných služieb, potvrďte, či služba podpíše Dohodu o obchodnom partnerovi alebo ekvivalentný dodatok.
Kde DigiSigner vyhovuje a kde nie
DigiSigner je rozumnou voľbou pre ľahké interné schvaľovania, zmluvy malých podnikov a organizácie, ktoré potrebujú príležitostné podpisovanie cez prehliadač bez budovania vlastnej infraštruktúry. Bezplatná úroveň zvládne obmedzený počet dokumentov mesačne, čo je dosť na to, aby ste zhodnotili, či pracovný postup vyhovuje, pred záväzkom.
Nie je to správny nástroj, keď pracovný postup podpisovania musí byť tesne integrovaný s procesom generovania dokumentov, keď je objem dostatočne vysoký na to, aby bola cena za dokument výrazná, alebo keď dokumenty nesú regulačné povinnosti vyžadujúce kvalifikovaný certifikát. V takýchto prípadoch architektonické riešenie potrebuje knižnicu bežiacu lokálne, ktorá vám dáva kontrolu nad reťazcom certifikátov a umožňuje vám vložiť podpis ako súčasť generovania dokumentov, nie ako krok po spracovaní.
Príprava vývojárom generovaného PDF na externé podpisovanie
Ak vaša aplikácia generuje PDF pred jeho odovzdaním do signovacej služby, niekoľko vlastností dokumentu robí krok podpisovania čistejším. Zachovajte konzistentnosť veľkosti stránky: dokument A4 odoslaný do služby, ktorá predvolene zobrazuje vo formáte letter, môže spôsobiť nesprávne zarovnanie podpisových polí. Splaňte všetky interaktívne formulárové polia, ktoré nie sú zástupnými symbolmi podpisov, pretože niektoré služby nahradia alebo zahodia existujúce polia AcroForm, keď pridávajú svoje vlastné. Rezervujte explicitný biely priestor na stránkach, kde majú byť podpisy, namiesto toho, aby ste nechali službu prekrývať ich na vrchu živého obsahu.
Uchovajte kópiu pred podpísaním aj kópiu po podpísaní, pomenovanú tak, aby boli tieto dve jasne priradené k sebe. Keď podpisovateľ spochybní, s čím súhlasil, mať presný dokument, ktorý bol odoslaný, je východiskovým bodom pre každé vyšetrovanie. Ak sa podpísaná verzia vráti s iným počtom stránok alebo inými metrikami písma ako to, čo bolo odoslané, niečo vo vykresľovacom reťazci služby zmenilo dokument, čo stojí za pochopenie predtým, ako budete výstup považovať za autoritatívny.
Služba verzus knižnica: praktický rozdiel
Online signovacia služba a knižnica digitálnych podpisov PDF riešia rôzne problémy a tento rozdiel je dôležitý pri navrhovaní pracovného postupu s dokumentmi. Služba rieši logistiku: smerovanie dokumentov viacerým stranám, zhromažďovanie dôkazov o identite, vydávanie e-mailových upozornení a ukladanie vyplnených súborov. Knižnica rieši kryptografiu: konštrukciu slovníka podpisov, aplikáciu reťazca certifikátov, vloženie podpísaného hashu do bajtového rozsahu súboru podľa ISO 32000-2. Obe môžu koexistovať v tom istom procese, ale nahrádzanie jedného druhým, pretože obe zahŕňajú slovo "podpis", tendéncia produkuje pracovné postupy, ktoré nie sú ani správne auditované, ani správne podpísané.
Pre väčšinu prípadov malých podnikov a interných schválení pokryje DigiSigner to, čo je potrebné, a stojí menej ako budovanie signovacej infraštruktúry od nuly. Pre aplikácie s intenzívnou prácou s dokumentmi, kde sú podpisy súčasťou generovania, kde záleží na správe certifikátov alebo kde podpísaný artefakt musí byť overiteľný bez odkazu na server tretej strany, je knižnica bežiaca vo vašom vlastnom prostredí obhájiteľnejšou architektúrou.