Как хранить электронные документы, подписанные усиленной квалифицированной подписью
Обновлено: 21.11.2024
Электронные подписи в большинстве случаев сокращают время на подписание, позволяя делиться документами и подписывать их быстрее, чем с мокрой подписью. Кроме того, они особенно полезны, когда подписывающие стороны находятся в разных местах.
Помимо удобства, они также обеспечивают безопасную и постоянную запись транзакции вместе со связанными метаданными и полным журналом аудита, который можно сохранить для дальнейшего использования.
Эти метаданные, которые могут фиксировать такую информацию, как точное время подписи, географическое положение и IP-адрес, могут обеспечить более высокий уровень детализации по сравнению с традиционной влажной подписью.
При столь очевидных преимуществах и столь сильном спросе на использование технологии было жизненно важно разработать законодательство, регулирующее ее использование.
Соответствующее законодательство
Регулирование электронных подписей зависит от страны и территории.
Здесь мы сосредоточим внимание на двух основных территориях: США и Европейском союзе, где нормативные акты относительно зрелые и были разработаны для обеспечения надежных электронных подписей.
Большинство других стран теперь имеют собственное соответствующее законодательство, касающееся электронных подписей, от относительно разрешительного или минималистского (например, Австралия и Канада) до более ограничительного и контролируемого (например, Индонезия).
Законодательство США
- Закон США об электронных подписях в мировой и национальной торговле, обычно называемый «E-SIGN».
- Единый закон об электронных транзакциях (UETA)
E-SIGN — это федеральное законодательство, а UETA применяется на уровне штатов. UETA применяется в 47 из 50 штатов, а в остальных трех (Нью-Йорк, Вашингтон и Иллинойс) действуют аналогичные законы.
Оба законодательных акта имеют центральную предпосылку, которая по существу возводит электронные подписи на тот же уровень, что и письменные подписи, и в которой говорится, что запись о подписи не может быть лишена юридической силы или исковой силы просто потому, что она находится в электронной форме.
E-SIGN определяет электронную подпись как «электронный звук, символ или процесс, прикрепленный или логически связанный с контрактом или другой записью и выполненный или принятый лицом с намерением подписать запись. эм>”
В сочетании E-SIGN и UETA устанавливают следующие требования для признания электронной подписи действительной:
- Стороны, подписывающие соглашение, дают согласие на ведение бизнеса в электронном виде.
- Подписавшиеся стороны должны продемонстрировать намерение подписать (т. е. для завершения подписи необходимо предпринять определенные действия)
- Электронная подпись должна быть связана с записью (например, после подписания подпись должна быть сохранена как часть документа)
- Атрибуция — электронная подпись должна быть связана с лицом, подписавшим
- Сохранение записей: копии подписанного соглашения должны быть сохранены (например, сохранены или распечатаны), чтобы их можно было создать позднее.
Интегрированное решение eSign компании Gatekeeper соответствует техническим критериям, изложенным в законодательстве ESIGN и UETA
Законодательство ЕС
Соответствующим законодательством ЕС является Регламент (ЕС) № 910/2014 об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке. Обычно его называют «eIDAS».
В этом регламенте электронная подпись определяется как «данные в электронной форме, которые присоединены к другим электронным данным или логически связаны с ними и которые служат методом ассоциации.»
1. Электронные подписи
Широкость приведенного выше определения означает, что электронную подпись может представлять широкий спектр цифровых действий. Например, достаточно установить флажок, чтобы принять условия использования Интернета.
Эта категория охватывает самые основные типы электронных подписей и часто называется «простыми электронными подписями».
2. Расширенные электронные подписи (AES)
- Чтобы подпись была однозначно связана с подписавшим.
- Что подпись может быть использована для идентификации подписавшего.
- Подпись создана с использованием данных для создания электронной подписи, находящихся под исключительным контролем подписавшего.
- Обнаружение последующих изменений данных
Расширенные электронные подписи определяют, кто является подписантом, и постоянно связывают их с подписанными документами, что делает их полностью применимыми.
Интегрированное решение eSign от Gatekeeper соответствует критериям расширенных электронных подписей.
3. Квалифицированные электронные подписи (QES)
Помимо условий, относящихся к AES, QES должен соответствовать еще двум критериям безопасности:
- Они должны быть основаны на квалифицированном сертификате (т. е. на сертификате, предоставленном поставщиком услуг доверия)
- Они должны быть созданы с помощью защищенного устройства для создания подписи, такого как USB-токен.
Это самый высокий уровень электронной подписи, который обычно используется, когда подписываемые документы требуют повышенного уровня безопасности, например, в военных или государственных целях.
Из-за сравнительно обременительных требований безопасности для QES они обычно не считаются необходимыми для обычных деловых соглашений.
Интегрированное решение eSign от Gatekeeper не подходит для документов, требующих квалифицированных электронных подписей.
Отказ от ответственности
Эта информация не является юридической консультацией. Чтобы получить разъяснения относительно законности и требований к электронным подписям в конкретных странах, обратитесь за консультацией к квалифицированному юристу.
Электронные подписи имеют такой же статус, как и "мокрые" подписи, с тех пор как они были юридически признаны в 2000 году как в Законе о ESIGN, так и в аналогичных международных законах.
Однако для некоторых, но важных транзакций по-прежнему требуется собственноручная подпись.
Электронная подпись — это электронный символ, обычно имя человека, который прикрепляется к форме или контракту и демонстрирует согласие. Они имеют юридическую силу для всех транзакций, в которых они используются.
Многие электронные подписи позволяют компаниям получать юридически обязывающее согласие через компьютер или смартфон, пока агент разговаривает с ними. У них есть преимущество перед подписями на бумаге благодаря их эффективности и преимуществам CX. Цифровые подписи — это подтип электронных подписей, которые отличаются особой безопасностью и основаны на технологии шифрования.
Кроме того, особенности юридических требований к электронной подписи зависят от страны и юрисдикции. Здесь мы рассмотрим законность электронных подписей по всему миру.
Юридические требования к электронной подписи
В Законе США об ассоциации электронных подписей и записей говорится, что электронная подпись является законной только в том случае, если все стороны согласны на ее использование вместо более традиционных методов предоставления согласия.
В Едином законе об электронных транзакциях также говорится, что в каждом штате должно быть описание того, как следует использовать электронные подписи. также принял для своих государств-членов.
Как правило, электронные подписи, имеющие обязательную юридическую силу, должны:
- Покажите, что подписывающий действительно тот, за кого себя выдает
- Покажите, что подписывающая сторона намеревалась поставить электронную подпись. Лучший способ доказать это — предоставить подписавшемуся возможность поставить подпись на бумаге и предоставить ему право выбора.
- Демонстрируется готовность подписывающей стороны подписать (например, также присутствует возможность не соглашаться, например кнопка «Отмена»).
- Подлинность подписавшего можно проверить независимо. Это часто означает наличие электронной почты, метки времени, номера мобильного телефона и IP-адреса. Здесь также может быть полезна двухэтапная идентификация для целей атрибуции.
Соответствуя вышеуказанным критериям, электронные подписи признаются юридически обязательными. Но бывают ситуации, когда электронные подписи не могут быть приняты на законных основаниях.
Во многих странах и юрисдикциях электронные подписи не используются в важных церемониях и документах, таких как свидетельства о рождении или смерти, свидетельства о разводе и документы об усыновлении. В этих случаях обычно требуются мокрые подписи и нотариус или свидетели. Электронные подписи также отклоняются, если оказывается, что подписывающее лицо не разбирается в компьютерах.
Технология шифрования, лежащая в основе законных электронных подписей
Юридически обязательные электронные подписи основаны на технологии, называемой инфраструктурой открытых ключей (PKI). PKI – это система, которая обеспечивает безопасное управление электронными цифровыми подписями путем создания двух битов кода, известных как ключи: закрытый ключ и открытый ключ.
Закрытый ключ используется только лицом, подписавшим документ, и скрыт от всех остальных. Открытый ключ передается тем, кому необходимо проверить подлинность электронной подписи. Система PKI также гарантирует соблюдение требований центра сертификации (CA), то есть организаций, уполномоченных обеспечивать целостность безопасности ключей.
После того как подписывающая сторона добавляет электронную подпись, создается криптографический хэш, связанный с документом и функционирующий как уникальный цифровой отпечаток пальца. Затем закрытый ключ шифрует криптографический хэш и сохраняет его в защищенном блоке HSM. Он добавляется в документ и отправляется получателю с открытым ключом подписывающей стороны.
Используя сертификат открытого ключа, получатель может расшифровать зашифрованный хэш.На стороне получателя генерируется новый криптографический хэш, и два хэша сравниваются, чтобы проверить подлинность электронной подписи и доказать отсутствие фальсификации.
Общие сведения о юридических требованиях к электронной подписи
Поскольку юридические требования к электронной подписи в разных штатах и странах различаются, компаниям следует изучить законы в своей области. Компании могут даже обратиться за юридической консультацией по поводу региональных различий в законах об электронной подписи.
В 2000 году в США федеральный закон об электронных подписях в глобальной и национальной торговле (ESIGN) и Единый закон штата об электронных транзакциях (UETA) подтвердили законность электронной подписи и изложили критерии, обеспечивающие законность электронной подписи. соответствие.
В Великобритании электронные подписи получили юридическую силу в соответствии с Регламентом об электронных подписях (2002 г.). Согласно этому закону, контракт не обязательно должен состоять из мокрой подписи. Чтобы контракт был действительным, все стороны должны просто продемонстрировать понимание контракта, а электронная подпись служит доказательством того, что все вовлеченные стороны согласились с условиями контракта.
В ЕС электронные подписи стали юридически обязательными благодаря рамочной директиве сообщества. В соответствии с этой директивой электронная подпись не может быть отклонена только потому, что она была создана в электронном виде.
Следующее представляет собой основные характеристики юридически обязательной электронной подписи. Хотя этот обзор основан на принципах законодательства США, большинство из них можно применять к электронным подписям в других частях мира, о чем мы подробно поговорим в следующем разделе.
- Действительность. Электронные записи и подписи имеют такую же юридическую силу, как и обычные подписи на бумажных документах. Документам, контрактам и подписям нельзя отказать в юридической силе только потому, что они электронные.
- Намерение. Электронные подписи действительны только в том случае, если подписывающая сторона выразила намерение поставить подпись. Это ничем не отличается от мокрых подписей.
- Запись. Электронные подписи должны сопровождаться графическими или текстовыми элементами, показывающими электронный процесс создания подписи.
- Согласие. Согласие на подписание должно быть продемонстрировано явно или неявно (в результате предпринятых действий). Если сторона является потребителем, он или она должны получать раскрытие информации UETA, активно давать согласие на электронные взаимодействия и не отзывать свое согласие.
- Хранение. Чтобы электронные документы и подписи были действительными и имели юридическую силу, они должны храниться и воспроизводиться всеми сторонами, имеющими право на документ.
Юридические требования к электронной подписи — нюансы по всему миру
Юридические требования к электронной подписи, как правило, одинаковы во всем мире. Например, в подавляющем большинстве юрисдикций указано, что документ или контракт не может быть отклонен только потому, что он был подписан электронной подписью. Тем не менее, между юрисдикциями существуют некоторые важные различия, особенно когда речь идет о типах электронных подписей и некоторых ситуациях, когда электронные подписи не принимаются.
Требования к электронной подписи в США
В США юридические требования к электронной подписи основаны на двух основных законах: на уровне штатов действует Единый закон об электронных транзакциях (UETA), а на федеральном уровне — Закон об электронных подписях в глобальной и национальной торговле. (ЭПИСЬ).
И ESIGN, и UETA были приняты в 2000 году и описывают пять основных элементов, придающих электронной подписи юридическую силу:
- Действительность. Подписи и записи, созданные в электронном виде, имеют такую же юридическую силу, как и традиционные бумажные и рукописные версии. Тот факт, что подпись была записана в электронном виде, не может служить основанием для признания ее недействительной.
- Согласие. Подписывающее лицо должно дать согласие на использование электронной подписи. Это означает, что компания должна предоставить им определенную информацию, прежде чем они подпишут соглашение.
- Намерение. Электронная подпись требует, чтобы подписывающее лицо имело намерение подписать документ. Они должны соглашаться с тем, что написано в документе, который они подписывают, и полностью понимать последствия своей подписи.
- Запись. Электронная подпись должна сопровождаться доказательством того, что это электронная подпись, а не виртуальная подпись.
- Целостность данных. Документы, подписанные электронной подписью, должны быть защищены от подделки или непреднамеренной потери данных.
В США в большинстве случаев принимаются документы с электронной подписью. Сюда входят транзакции B2B, B2C и C2C, а также транзакции между правительством и предприятиями или отдельными лицами. Многочисленные судебные дела подтвердили надежность электронных подписей, закрепив их в прецедентном праве.
Есть несколько обстоятельств, когда электронные подписи не принимаются в США. В этих случаях подписи должны состоять из «влажных чернил» или официально заверенных подписей.
Следующие ситуации исключают использование электронных подписей:
- Постановления суда и уведомления
- Соглашения об усыновлении и разводе
- Прекращение выплат по страхованию жизни или здоровья
- Завещания, завещательные трасты и дополнения
Юридические требования к электронной подписи в Великобритании
Подобно ESIGN и UETA, Закон Великобритании об электронных коммуникациях от 2000 года подтвердил, что соглашение не может быть признано недействительным только потому, что подпись была доставлена в электронном виде. Электронные подписи были полностью кодифицированы в Великобритании в соответствии с Законом об электронных подписях в 2002 году.
Согласно законодательству Великобритании, действующий договор не требует письменной подписи, если обе стороны понимают договор и достигают взаимного согласия. В этом случае электронная запись служит приемлемым доказательством того, что обе стороны согласны с документом.
Есть разные степени легальности электронных подписей. Самый простой тип, стандартные электронные подписи (SES), не имеет такого же веса, как собственноручная подпись. Но британское законодательство приравнивает один тип электронной подписи к рукописной. Эти электронные подписи называются квалифицированными электронными подписями (QES) или расширенными электронными подписями (AES).
AES – это:
- Уникальная связь с человеком, подписавшим его
- Идентифицирует человека, подписавшего его.
- Создано с использованием процесса, доступ к которому может получить только подписывающая сторона.
- Связан с другими данными, поэтому любые изменения или фальсификация будут обнаружены
QES — это:
- Тип цифровой подписи, одобренный государственными органами.
- Создано с помощью высоконадежного устройства для создания подписи.
- Эквивалентно собственноручной подписи при соблюдении всех правовых условий.
В Великобритании стандартные электронные подписи принимаются для большинства документов, включая трудовые договоры, кадровые документы, коммерческие соглашения, договоры купли-продажи, краткосрочную аренду, гарантии и кредитные соглашения. Для других документов требуется AES или QES.
Есть некоторые соглашения, которые необходимо подписывать вручную, например:
- Документы по семейному праву, включая брачные контракты и соглашения о раздельном проживании.
- Договоры с недвижимостью, такие как передача права собственности, ипотека и освобождение от ипотеки.
- Большинство договоров аренды
- Таможенные и налоговые документы
Юридические требования к электронной подписи в ЕС
В 2000 году ЕС признал электронные подписи юридически обязательными в соответствии с Директивой о рамках сообщества. Это подтвердило, что электронная подпись не может быть отклонена только потому, что она была создана в электронном виде.
Многие европейские страны разделяют британский подход к признанию договоров юридически обязывающими без собственноручной подписи. В 2015 году законодательство ЕС заменило Директиву об электронной подписи 2000 года Регламентом (ЕС) № 910/2014, обычно называемым eIDAS. eIDAS заявила, что существует три типа электронных подписей: SES, AES и QES, как и в Великобритании.
Стандартные электронные подписи
Согласно eIDAS, простая электронная подпись охватывает все типы подписей, в которых электронные данные присоединяются к подписи и используются для аутентификации. Он не зависит от технологии, поэтому любой электронный документ, такой как Adobe PDF или Microsoft Word, может включать такую подпись.
Независимо от типа используемой технологии простая электронная подпись должна отражать намерения подписывающего лица, быть создана лицом, давшим согласие, и быть неотъемлемой частью документа, к которому она подключена.
Стандартная электронная подпись принимается для большинства контрактов и документов, включая трудовые договоры, заказы на покупку, счета-фактуры, договоры купли-продажи, лицензии на программное обеспечение и документы о недвижимости. SES принимается в ситуациях B2B, B2C и C2C. AES или QES принимаются для большинства судебных справок, договоров потребительского кредита, а также аренды жилых и коммерческих помещений.
Расширенные электронные подписи
Расширенная электронная подпись должна включать дополнительные элементы, гарантирующие личность подписывающего лица и безопасность документа. Он должен быть однозначно связан с подписывающей стороной и связан с данными таким образом, чтобы можно было обнаружить любые последующие изменения в документе, например фальсификацию.
Квалифицированные электронные подписи
Наконец, последний тип подписи, определенный eIDAS, — это квалифицированная электронная подпись. Несмотря на то, что как расширенные, так и квалифицированные подписи однозначно связаны с личностью подписывающего, квалифицированные электронные подписи основаны на квалифицированных сертификатах. Таким образом, они могут быть выданы только центром сертификации (CA), который является одобренной отраслевой организацией, регулирующей целостность таких электронных подписей.
Центр сертификации должен быть аккредитован и контролироваться органами, назначенными государствами-членами ЕС, и соответствовать строгим требованиям eIDAS.Квалифицированные сертификаты должны храниться на квалифицированном устройстве для создания подписи, таком как USB-токен, смарт-карта или облачная служба доверия. Как и в США и Великобритании, в ЕС лишь в некоторых случаях достаточно собственноручной подписи.
К ним относятся:
- Договоры о передаче или покупке недвижимости
- Брачные контракты
- Уведомления об увольнении отдела кадров
Важно помнить, что у каждого члена ЕС есть свои требования к электронным подписям.
Рекомендации по обеспечению правовой защиты электронной подписи
Вы не хотите, чтобы электронные подписи ваших клиентов не принимались. Чтобы избежать этого, следуйте этим рекомендациям:
- Убедитесь, что существует четкий контрольный журнал, подтверждающий действительность электронной подписи. Это включает в себя действия, которые подписывающая сторона предприняла перед подписанием документа, например установила флажок, чтобы показать, что он согласен с условиями, или нажала «Следующая страница», чтобы подписать.
- Настройте безопасный сайт для подписи, который использует аутентификацию пользователя, чтобы гарантировать, что только клиент может подписать.
- Используйте стороннее программное обеспечение, чтобы убедиться, что вы соблюдаете правила раскрытия информации.
- Используйте третье лицо для поддержки безопасного хранилища, которое гарантирует, что документ не может быть подделан после подписания.
- Включите простой способ для подписывающей стороны загрузить и сохранить копию документа для своих личных записей.
Электронные подписи нового поколения, являющиеся частью более широкой клиентоориентированной системы, позволяют компаниям мгновенно собирать документы, электронные подписи и платежи, пока клиенты разговаривают по телефону. Такое использование электронных подписей нового поколения оптимизирует рабочие процессы, повышает удовлетворенность клиентов и увеличивает скорость выполнения, и все это полностью соответствует требованиям и юридически обязывающим образом.
Найдите подходящее программное обеспечение для электронной подписи, соответствующее потребностям вашего бизнеса, только на платформе G2.
Леор Меламедов — контент-менеджер Lightico. Она увлечена распространением информации о технологиях, ориентированных на клиентов, которые делают жизнь компаний и людей проще и лучше. Леор — коренная жительница Нью-Йорка, и сейчас она живет в Израиле со своим мужем.
Примечание редактора. Этот блог был изначально опубликован в марте 2017 года и обновлен региональным менеджером по продуктам GlobalSign Себастьяном Шульцем, чтобы включить в него информацию о применении расширенных электронных подписей с использованием облачной службы цифровой подписи GlobalSign.
В одном из наших предыдущих блогов мы дали краткий обзор регламента (ЕС) № 910/2014, более известного как eIDAS. Мы также рассмотрели электронные подписи в целом и рассказали, как выбрать подходящую для вас.
Однако в этом блоге мы хотели бы немного подробнее остановиться на том, как eIDAS классифицирует электронные подписи по уровню надежности, который они обеспечивают. Если вы хотите внедрить цифровые подписи, этот блог поможет вам решить, какой уровень гарантии вам нужен.
Каковы уровни гарантии электронной подписи в рамках eIDAS?
Существует множество различных правил подписи, часто с явными различиями в зависимости от страны, отрасли или предполагаемого использования. Каждая из них разработала собственную классификацию электронных подписей, отражающую уровень доверия и уверенности, которые можно придать этим подписям. Различные уровни доверия и уверенности, обеспечиваемые различными типами подписей, в основном зависят от технических и нормативных требований к рассматриваемым подписям.
В этом блоге мы рассмотрим термины, представленные eIDAS. В конце концов, eIDAS была введена с целью создания общей основы и структуры для безопасных электронных подписей. Это должно помочь укрепить доверие и облегчить взаимодействие, а также трансграничное использование и признание.
eIDAS также создала аккредитацию для предоставления электронных подписей с наивысшим уровнем гарантии (квалифицированные электронные подписи), и тем самым они изменили рынок электронных подписей в Европе. Но прежде чем мы дойдем до этого, давайте рассмотрим разные уровни гарантии по отдельности.
Электронные подписи базового уровня
Согласно eIDAS, на базовом уровне электронная подпись может быть определена как:
Данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые подписывающая сторона использует для подписи.
Если понимать это определение буквально, вы можете подписать документ, просто отсканировав свою подпись или поставив отметку в документе, открытом на выбранном вами устройстве. Технически данные представлены в электронной форме и прикреплены к файлу, но в этой модели есть проблемы, которые eIDAS пытается решить.
Как вы, наверное, уже догадались, это вообще не касается цели подписания документа. Документ по-прежнему можно подделать, а «подпись» легко подделать (т. е. мы не можем быть уверены, кто поставил галочку, чтобы подтвердить принятие условий). Чтобы использовать правильный жаргон: Ни целостность, ни подлинность документа не гарантируются.
Расширенные электронные подписи (AES)
Согласно eIDAS, AES должен соответствовать следующим требованиям:
- Уникальная связь с подписавшим
- Способность идентифицировать подписавшего
- Создано с использованием данных для создания электронной подписи, которые подписывающая сторона может с высокой степенью уверенности использовать под своим исключительным контролем.
- Связан с данными, подписанными таким образом, что любое последующее изменение данных можно обнаружить
Использование цифровых подписей на основе инфраструктуры открытых ключей (PKI) удовлетворяет всем вышеперечисленным требованиям. Если вы не знакомы с тем, как это работает: цифровые подписи применяются с цифровым сертификатом, который похож на электронную версию паспорта или водительских прав, который выдается только после тщательной проверки вашей личности доверенной третьей стороной (называемой Центр сертификации или ЦС). Цифровые сертификаты и их подписи уникальны для каждого человека, и их практически невозможно подделать, что соответствует двум указанным выше требованиям.
Поскольку подписывающая сторона является единственным владельцем закрытого ключа, который используется для применения подписи (см. нашу статью об инфраструктуре открытых ключей, чтобы получить представление о том, как работают открытые и закрытые пары ключей), вы можете быть уверены, что подписывающая сторона человек, за которого они себя выдают. Наконец, часть процесса проверки подписи, которая выполняется автоматически, когда получатель открывает документ, включает проверку того, не были ли внесены какие-либо изменения в документ с момента его подписания.
Вернемся к профессиональному жаргону: Целостность и подлинность гарантируются при соблюдении требований AES. AES не может быть юридически отклонен только потому, что они представляют собой электронную форму, а это означает, что правильно реализованный AES так же хорош, как и традиционная подпись с влажными чернилами (если не лучше). Однако, если действительность AES ставится под сомнение, бремя доказывания того, что все необходимые критерии были соблюдены, лежит на подписавшей стороне.
PKI — это то, что GlobalSign делает лучше всего, и поэтому многие из наших продуктов, которые существовали еще до появления eIDAS, соответствуют требованиям AES. Помимо традиционно безопасных методов развертывания сертификатов на USB-токенах, наша облачная служба цифровой подписи (DSS) поможет вам применять цифровые подписи, которые квалифицируются как AES.
Квалифицированные электронные подписи (QES)
Усовершенствованная электронная подпись, создаваемая квалифицированным устройством для создания подписи и основанная на квалифицированном сертификате для электронных подписей.
- Конфиденциальность данных для создания электронной подписи
- Данные для создания электронной подписи, используемые для создания электронной подписи, могут встречаться практически только один раз
- Данные для создания электронной подписи, используемые для создания подписи, не могут быть получены, и подпись защищена от подделки с использованием доступных современных технологий.
- Данные для создания электронной подписи, используемые для создания подписи, могут быть надежно защищены законным подписавшим лицом от использования другими лицами.
- Устройство не должно изменять подписываемые данные или препятствовать представлению таких данных подписывающей стороне до подписания.
- Создание или управление данными подписавшего от имени подписавшего может выполняться только квалифицированным поставщиком услуг доверия.
- Без ущерба для пункта (d) пункта 1, квалифицированные поставщики надежных услуг, управляющие данными для создания электронной подписи от имени подписавшей стороны, могут дублировать данные для создания электронной подписи только в целях резервного копирования при условии соблюдения следующих требований: ли>
- Безопасность дублированных наборов данных должна быть на том же уровне, что и для исходных наборов данных
- Количество дублированных наборов данных не должно превышать минимума, необходимого для обеспечения непрерывности обслуживания.
Регламент гласит, что если вы собираетесь использовать QES, вы должны хранить данные создания и подписи на высоконадежном и гарантированном устройстве, таком как криптографические USB-токены или аппаратные модули безопасности (HSM) в соответствии с FIPS 140-2. Минимум уровень 3, который является стандартом безопасности, созданным для криптографических модулей.
В следующей части определения QES говорится, что данные на устройстве должны основываться на «квалифицированном сертификате для электронных подписей». Квалифицированный сертификат можно приобрести только в центре сертификации, аккредитованном в качестве квалифицированного поставщика услуг доверия (QTSP), например GlobalSign!И чтобы убедиться, что требования QSCD соблюдены, мы в GlobalSign предлагаем аккредитованный QSCD в виде USB-токена SafeNet вместе с покупкой соответствующих сертификатов.
Целостность и подлинность, являющиеся «золотым стандартом» цифровых подписей в рамках eIDAS, гарантируются QES. Государства-члены ЕС обязаны признавать действительность QES, созданного с использованием квалифицированного сертификата из другого государства-члена. Кроме того, QES можно считать юридическим эквивалентом традиционной подписи с использованием мокрых чернил, если только нет оснований подозревать неправомерное использование базовых сертификатов. Бремя доказывания будет лежать на стороне, сомневающейся в действительности квалифицированной подписи.
электронные печати
Электронные печати аналогичны электронной подписи, но разница заключается в личности, стоящей за подписью. Электронная печать гарантирует целостность и подлинность точно так же, как и электронная подпись, но вместо физического лица подписывающее лицо занимает юридическое лицо.
В eIDAS они упоминаются как используемые государствами-членами ЕС, но вы также можете использовать их в своем учреждении или организации. Нужен он вам или нет, зависит от того, нужно ли вам подписывать как физическое или юридическое лицо. Электронные печати, как правило, больше подходят для автоматизации или больших объемов подписи.
Какой уровень гарантии мне необходимо соблюдать?
Согласно статье 25 eIDAS:
Электронной подписи не может быть отказано в юридической силе и допустимости в качестве доказательства в судебном разбирательстве только на том основании, что она является электронной формой или что она не соответствует требованиям к квалифицированной электронной подписи. /p>
Поэтому имеет смысл использовать по крайней мере AES для рабочего процесса электронной подписи, иначе подписи могут быть отклонены только потому, что они электронные. И недействительность электронных подписей, вероятно, является одной из самых серьезных проблем, с которыми сталкиваются компании при переходе.
Как расширенные, так и квалифицированные электронные подписи обеспечивают высокий уровень доверия и уверенности. При переходе от традиционных подписей к электронным подписям крайне важно сохранить эти функции подписей. Основное отличие заключается в бремени доказывания.
Планируете ли вы организовать процесс подписания больших объемов документов? Тогда наша служба цифровой подписи может быть тем, что вы ищете. AES вместе с доказательством безопасного рабочего процесса и аутентификацией пользователя гарантирует доверие и надежность ваших подписей на юридически прочной основе.
Требуется ли QES явно, например, потому что ваш генеральный директор должен подписать документы для подачи на европейский тендер? Получение квалифицированного сертификата, выданного QSCD, также предоставленного нами, позволит время от времени подписывать очень важные документы, не беспокоясь о возможности доказать безопасность самого метода.
Наконец, стоит помнить, что, хотя eIDAS не указывает использование общедоступных цифровых сертификатов, мы рекомендуем использовать их и приобретать в официальном доверенном центре сертификации. Общественное доверие необходимо, если вы хотите, чтобы ваши подписи автоматически проверялись и доверялись популярным платформам для подписания документов, таким как Adobe Sign или DocuSign. Таким образом, когда вы подписываете документы, вы не только соблюдаете требования, но и обеспечиваете удобный пользовательский интерфейс для получателя документа.
Если вы хотите обсудить решение для электронной подписи в соответствии с eIDAS, вы можете связаться с GlobalSign для получения дополнительной информации.
Согласно маркетинговому исследованию DocuWare, в ходе которого было опрошено более 1200 сотрудников в США и 1 400 сотрудников в Соединенном Королевстве (Великобритания), более 70 % компаний в США и 83 % компаний в Великобритании заявляют, что используют электронные подписи. для некоторых, многих или большинства бизнес-процессов. Как глобальная компания, мы видим спрос на электронные подписи и хотели узнать больше о том, что мешает более широкому внедрению; потому что даже среди этих последователей внедрение электронных подписей часто далеко не всесторонне, и некоторые люди не знакомы с технологией, которая делает это возможным.
Все наши респонденты уполномочены подписывать документы от имени своих компаний, поэтому именно им известны болевые точки, связанные с отсутствием решения для электронной подписи. Для простоты остальная часть этого блога будет посвящена тому, что сказали наши респонденты из США, потому что отношение к внедрению электронной подписи и препятствия, замедляющие движение, одинаковы на обоих рынках.Тем не менее, вы можете найти более подробную информацию о нашем опросе в Великобритании, просмотрев эту инфографику для иллюстрированного обзора результатов опроса как в Великобритании, так и в США. Мы будем рады поделиться с вами нашими выводами!
Что такое электронные подписи?
Существует множество вариантов, подпадающих под действие электронной подписи, в том числе:
- Подписание документа путем ввода вашего имени и некоторых других идентифицирующих данных, таких как ваш идентификационный номер.
- Подписание цифрового документа настоящей подписью с помощью стилуса или пальцем на сенсорном экране.
- Подписание с использованием учетных данных, для чего могут потребоваться биометрические данные, ввод пароля или шифрование, а также согласование с проверенным поставщиком услуг доверия (TSP).
Последний вариант является наиболее безопасным и рекомендуется для предприятий, особенно при работе с договорами или другими вопросами, требующими соблюдения требований.
Как работают электронные подписи?
Это зависит от используемого варианта. Если вы просто подписываете цифровой документ с помощью стилуса, как это делается сегодня на кассе в большинстве магазинов, изображение подписи фиксируется и добавляется к документу. подписи являются подлинными и безопасными. Эти подписи обеспечивают журналы аудита, шифрование и другие внутренние инструменты для обеспечения подлинности.
Вот краткий обзор работы этих процессов:
- Документ отправляется заинтересованному лицу и требует подписи
- Пользователь подтверждает свою личность. Это можно сделать с помощью TSP, такого как Validated ID или DocuSign, или с помощью биометрических данных, которые используют сканирование пальцев или лица, или технологию, которая измеряет, как человек подписывает свое имя, включая форму и длину штрихов пера и используемое давление.
- Данные об электронной подписи добавляются к цифровому документу.
- Документ и поддающаяся проверке отслеживаемая подпись проходят через автоматизированный рабочий процесс до следующего шага, необходимого компании для обработки.
Зачем использовать электронную подпись?
Более 50 % компаний, принявших участие в нашем опросе, которые использовали электронную подпись, заявили, что это положительно повлияло на время, необходимое для выполнения процессов, а 39 % заявили, что это экономит время сотрудников.
Другие преимущества, о которых сообщают компании, включают:
- Лучшее соблюдение требований безопасности и соответствия.
- Возможность убрать бумагу и все связанные с ней расходы из бизнес-процессов.
- Снижение зависимости от печати, сканирования и почтовых расходов.
- Улучшенная поддержка удаленных рабочих процессов.
- Улучшенный учет
- Опции мгновенного поиска документов для обслуживания клиентов, продаж, отдела кадров и других отделов.
- Уменьшено количество ошибок, связанных с вводом, хранением и поиском данных.
- Отслеживание статуса документов или взаимодействие с людьми без четкого понимания того, где в том или ином рабочем процессе находятся документы.
- Увеличение времени, затрачиваемого на сбор нужных подписей для полного выполнения контракта.
- Затраты времени и денег на хранение бумажных документов и управление ими
- Ошибки регистрации и ввода данных, которые приводят к необходимости переработки контрактов или других документов или даже к более серьезным последствиям для бизнеса, таким как потеря продаж.
Как предприятия используют электронную подпись %20how%20to%20use%20them/Top%20Priority%202.jpg?width=120&name=Top%20Priority%202.jpg" alt="Top Priority 2" width="240" />
Электронные подписи используются в различных бизнес-процессах. В большинстве случаев бумажные подписи можно заменить более эффективными и менее дорогими электронными подписями.
Вот несколько примеров:
- Контракт должен быть подписан несколькими людьми. Бумажный документ необходимо будет передать всем в надлежащем порядке, что увеличит время, необходимое для выполнения контракта. При использовании электронной подписи несколько человек могут работать с документом и подписывать его одновременно, что устраняет узкие места.
- Для ускорения обслуживания требуется авторизация. Вместо ожидания почты, факса или сканирования вы можете быстро подписать документ в электронном виде.
- Вы работаете с зарубежными партнерами. Бумажные документы путешествуют за тысячи миль; даже если вы платите высокие сборы за ускорение рассылки, это приводит к замедлению процесса. Электронные документы можно отправлять и подписывать практически мгновенно даже из любой точки мира.
Почему некоторые компании не используют электронную подпись
Почему, учитывая все эти преимущества, только около трети компаний в США полностью внедряют электронные подписи в своих организациях? Полное внедрение означает использование его для большинства процессов. Некоторые распространенные факторы, которые мешают компаниям внедрить технологию цифровой подписи или полностью внедрить ее, включают:
- Политика компании, запрещающая это, или общее предпочтение подписи ручкой и бумагой
- Вопросы в отношении соблюдения правовых норм и разрешения электронной подписи.
- Ощущение, что кривая обучения будет крутой, что приведет к сбоям в бизнесе.
- Беспокоитесь, что использование электронной подписи может привести к новым уязвимостям кибербезопасности или мошенничеству.
- Необходимо интегрировать технологию с текущими системами или привлечь клиентов, поставщиков или деловых партнеров.
Узнайте, как электронная подпись может помочь вашему бизнесу
Хотя опасения, высказанные некоторыми компаниями в нашем опросе, безусловно, обоснованы, многие причины, по которым компании не внедряют электронные подписи, основаны на страхе, непонимании технологии или придании слишком большого значения воображаемым препятствиям.
Загрузите наше бесплатное руководство, чтобы узнать больше о том, как работают электронные подписи, как предприятия используют их в настоящее время и как лучше всего использовать их в своей организации, чтобы сэкономить время и деньги, а также получить множество других преимуществ.
Часто задаваемые вопросы об электронной подписи
Как создать электронную подпись?
Для этой цели вы можете приобрести программное обеспечение для управления документами (DMS), такое как DocuWare, со встроенными возможностями электронной подписи. Вы также можете инвестировать в автономные приложения. Однако в системе DMS процесс подписания можно использовать в сочетании с электронными формами и интегрировать в рабочий процесс, который проходит этап контракта или документа, предназначенного для сотрудников, от создания до подписания и исполнения. Затем документы надежно архивируются для быстрого поиска.
Для большинства цифровых подписей требуется некоторая настройка. Этот процесс может включать работу с TSP, который генерирует зашифрованные ключи и обеспечивает двухфакторную аутентификацию с дополнительным сертификатом проверки и биометрическими данными или без них.
Сколько существует типов цифровых подписей?
Электронные подписи делятся на три категории:
Простая. Простая подпись не шифруется и является наименее безопасным типом подписи. Типичными примерами являются подпись, которую вы делаете на мобильном устройстве курьера, когда получаете посылку, или что-то столь же простое, как установка флажка в Интернете, подтверждающая, что вы прочитали политику безопасности компании.
С простой подписью у вас нет доказательств того, кто подписал документ. Он неформальный и используется для подписания документов, когда существует небольшой риск оспаривания их юридической силы.
Дополнительно: этот тип подписи шифруется с помощью ключа, созданного TSP, который доступен только подписывающей стороне. Данные закодированы, поэтому они не могут быть прочитаны или использованы кем-либо, если они не предоставят ключ. Для расширенной подписи достаточно двухфакторной аутентификации личности подписывающего лица (например, кода, отправленного в электронном письме или тексте). Биометрические подписи также относятся к этой категории. Если возникает спор, в котором вам необходимо подтвердить личность подписавшего, вам потребуется расширенная электронная подпись.
Квалифицированная подпись: квалифицированная подпись является наиболее безопасным вариантом и в большинстве случаев имеет юридическую силу. Этот тип электронной подписи гарантирует, что документ не был изменен, потому что TSP выдал цифровой сертификат и удостоверил личность подписавшего. Поскольку эти типы цифровых подписей проверены и безопасны, они часто имеют такой же вес, как и подписи пером и чернилами.
Безопасно ли использовать цифровые подписи?
Фактический процесс подписи происходит в аппаратных модулях безопасности (HSM), которые работают в защищенной инфраструктуре облачных серверов. Аппаратные модули безопасности — это специальные криптопроцессоры, обеспечивающие защиту подписей и программных ключей.
Сделайте следующий шаг
Доверие является основой для любого обмена товарами, услугами или конфиденциальной информацией. Подпись является символом этого доверия при выполнении контрактов или других соглашений.Электронные подписи идут еще дальше, чем традиционные подписи на бумаге, проверяя подлинность подписи, экономя время вашей компании и сокращая расходы за счет ускорения бизнес-процессов. Благодаря цифровым подписям ваша компания также может лучше соответствовать государственным, федеральным, отраслевым и международным требованиям соответствия как с точки зрения информационной безопасности, так и защиты данных.
Читайте также: