Onlajn servisi za potpisivanje rešavaju specifičan logistički problem: dobijanje potpisa na dokumentu kada potpisnik nema softver za PDF, nema vremena za štampanje i nema faks mašinu. DigiSigner se nalazi upravo u tom segmentu. On obrađuje PDF, Word, Excel i slikovne fajlove u brauzeru, omogućava vam da postavite polja za potpis na bilo koju stranicu i isporučuje završen fajl bez potrebe da druga strana bilo šta instalira. Da li će ta razmena zaista biti pravno valjana zavisi od detalja koje veb-stranica servisa često prećutkuje.
Šta tok potpisivanja zapravo radi
Mehanizam je jednostavan. Otpremite dokument preko HTTPS protokola, prevučete polja za potpis i datum na stranice gde pripadaju, i potom ga potpišete sami ili pošaljete poziv drugoj strani. Potpisnik dobija link, otvara dokument u svom brauzeru, popunjava polja i šalje ga nazad. Vi dobijate obaveštenje i možete preuzeti potpisan fajl.
Ovaj proces u tri koraka dobro funkcioniše za interna odobrenja, brze ugovore sa dobavljačima i situacije u kojima je brzina važnija od kriptografskih garancija. Tamo gde počinju problemi jesu regulisani dokumenti, procesi sa više potpisnika i sve što bi moglo biti osporeno na sudu. U tim slučajevima, proces je pouzdan samo onoliko koliko su pouzdani revizorski dokazi koji stoje iza njega.
Revizorski tragovi i dokazi o neovlašćenim izmenama
Revizorski trag je najvažnija stvar koju treba proveriti pre nego što se odlučite za neki servis za potpisivanje. On mora da zabeleži identitet potpisnika (obično potvrđen putem e-pošte), IP adresu, vremensku oznaku i heš stanja dokumenta u trenutku potpisivanja. Neki servisi pakuju ove dokaze u sam PDF kao poseban prilog ili ugrađene metapodatke; drugi ih čuvaju na serveru i izdaju sertifikat na zahtev. Saznajte koji pristup servis koristi pre nego što budete morali da priložite dokaze u slučaju spora.
Dokaz o neovlašćenim izmenama je srodno, ali drugačije pitanje. Završen PDF dobijen od servisa za potpisivanje može sadržati digitalni potpis primenjen pomoću sopstvenog sertifikata servisa, što znači da će svaka izmena nakon potpisivanja narušiti potpis i biti vidljiva u odgovarajućem programu za pregledanje. To se razlikuje od kriptografskog potpisa kreiranog sopstvenim privatnim ključem potpisnika. Za većinu poslovnih procesa, sertifikat koji primenjuje servis je adekvatan. Međutim, za regulisane industrije ili prekogranične transakcije pokrivene eIDAS regulativom, to možda neće biti dovoljno.
Tvrdnje o usklađenosti: pročitajte sitna slova
Većina onlajn servisa za potpisivanje u svom marketingu navodi usklađenost sa zakonima ESIGN, UETA i eIDAS. Ovi zakoni definišu uslove pod kojima je elektronski potpis pravno obavezujući, ali ne sertifikuju softver. Tvrdnja servisa da je usklađen sa eIDAS-om može značiti bilo šta od "ispunjavamo osnovne zahteve za jednostavan elektronski potpis" do "mi smo akreditovani pružalac usluga poverenja koji izdaje kvalifikovane elektronske potpise". Razlika između ova dva je ogromna u bilo kojoj jurisdikciji gde kvalifikovani elektronski potpis (QES) ima istu pravnu snagu kao i svojeručni potpis.
Pročitajte dokumentaciju u centru za bezbednost i poverenje servisa umesto same početne stranice. Potražite specifičnosti: koji je nivo eIDAS-a u pitanju, koje zemlje su pokrivene posebnim pravnim mišljenjem, i da li uslovi korišćenja uključuju obeštećenje u slučaju spora oko potpisa. Ako vrsta dokumenta po lokalnom zakonu zahteva kvalifikovani elektronski potpis ili overu kod notara, jednostavan elektronski potpis (SES) u brauzeru nije adekvatna zamena, bez obzira na marketing.
Skladištenje dokumenata i lokacija podataka
Kada otpremite ugovor ili finansijski dokument na klaud servis za potpisivanje, on se nalazi na njihovoj infrastrukturi sve dok ga vi ili oni ne obrišete. Praktična pitanja su: gde se skladišti, ko unutar servisa ima pristup, koliko traje podrazumevani period čuvanja i da li možete pokrenuti brisanje na zahtev. Za dokumente koji sadrže lične podatke pokrivene GDPR regulativom, odgovor na pitanje "gde se skladišti" je obavezan.
DigiSigner, kao i većina servisa u ovoj kategoriji, čuva dokumente na klaud infrastrukturi i zadržava ih tokom perioda koji se može konfigurisati nakon završetka potpisivanja. Pregledajte ugovor o obradi podataka pre nego što kroz servis pošaljete bilo šta poverljivo. Ako vaša organizacija posluje pod specifičnim sektorskim regulativama kao što su HIPAA ili pravila o finansijskim uslugama, potvrdite da li će servis potpisati ugovor o saradnji (BAA) ili sličan aneks.
Gde se DigiSigner uklapa, a gde ne
DigiSigner je razuman izbor za jednostavna interna odobrenja, ugovore malih preduzeća i organizacije kojima je povremeno potrebno potpisivanje u brauzeru bez uspostavljanja sopstvene infrastrukture. Besplatan paket podržava ograničen broj dokumenata mesečno, što je dovoljno da procenite da li proces rada odgovara vašim potrebama pre nego što se obavežete.
To nije pravi alat kada proces potpisivanja mora blisko da se integriše sa sistemom za generisanje dokumenata, kada je obim dokumenata dovoljno velik da cena po dokumentu postane značajna, ili kada dokumenti nose regulatorne obaveze koje zahtevaju kvalifikovani sertifikat. U tim slučajevima, arhitektura zahteva biblioteku koja se izvršava lokalno, pruža vam kontrolu nad lancem sertifikata i omogućava da ugradite potpis kao deo generisanja dokumenta, a ne kao korak naknadne obrade.
Priprema programski generisanog PDF-a za spoljno potpisivanje
Ako vaša aplikacija generiše PDF pre nego što ga prosledi servisu za potpisivanje, nekoliko svojstava dokumenta može olakšati taj korak. Održavajte doslednu veličinu stranica: A4 dokument poslat servisu koji podrazumevano koristi Letter format za prikaz može dovesti do nepravilno poravnatih polja za potpis. Izravnajte (flatten) sva interaktivna polja forme koja nisu predviđena za potpis, jer neki servisi zamenjuju ili odbacuju postojeća AcroForm polja kada dodaju svoja. Ostavite jasan prazan prostor na stranicama gde bi trebalo da stoje potpisi, umesto da dozvolite servisu da ih preklapa preko postojećeg sadržaja.
Sačuvajte i verziju pre potpisivanja i završenu potpisanu kopiju, imenovanu tako da su ove dve verzije jasno povezane. Kada potpisnik ospori ono na šta je pristao, posedovanje tačnog dokumenta koji mu je poslat predstavlja polaznu tačku za svaku istragu. Ako se potpisana verzija vrati sa drugačijim brojem stranica ili izmenjenim fontovima u odnosu na original, to znači da je renderovanje servisa promenilo dokument, što treba detaljno istražiti pre nego što izlazni dokument smatrate merodavnim.
Servis naspram biblioteke: praktična razlika
Onlajn servis za potpisivanje i biblioteka za digitalni potpis PDF-a rešavaju različite probleme i ta razlika je veoma važna kada projektujete proces rada sa dokumentima. Servis se bavi logistikom: slanjem dokumenata različitim stranama, prikupljanjem dokaza o identitetu, slanjem obaveštenja e-poštom i skladištenjem završenih fajlova. Biblioteka se bavi kriptografijom: kreiranjem rečnika potpisa (signature dictionary), primenom lanca sertifikata i ugradnjom potpisanog heša u opseg bajtova fajla u skladu sa standardom ISO 32000-2. Ova dva rešenja mogu postojati u istom sistemu, ali zamena jednog drugim samo zato što oba sadrže reč "potpis" obično stvara procese koji nisu ni adekvatno revidirani ni ispravno potpisani.
Za većinu potreba malih preduzeća i internih odobrenja, servis kao što je DigiSigner pokriva sve što je potrebno i košta manje od izgradnje sopstvene infrastrukture za potpisivanje od nule. Za aplikacije sa velikim obimom dokumenata gde su potpisi deo procesa generisanja, gde je upravljanje sertifikatima važno ili gde potpisani dokument mora biti proverljiv bez oslanjanja na server treće strane, biblioteka koja radi unutar vašeg sopstvenog sistema predstavlja znatno pouzdanije arhitektonsko rešenje.