Как подписать декларацию о соответствии электронной подписью на госуслугах

Обновлено: 25.11.2024

Электронные подписи и цифровые подписи следует рассматривать наравне с собственноручными подписями ("влажными чернилами").

Требования, которые необходимо выполнить, зависят от степени обязательной силы, которая должна быть достигнута, и поэтому зависят от документа, который должен быть подписан.

В этой статье объясняется:

  • когда производителям требуется подпись
  • при каких обстоятельствах документы могут быть подписаны в электронном виде
  • какой тип электронной подписи требуется
  • в чем разница между электронной подписью и цифровой подписью
  • как можно применить электронную подпись на практике.

1. Когда нужна подпись?

a) Директива MDD о медицинских устройствах

В MDD не упоминается слово «подпись». Однако в Приложении II (Декларация о соответствии ЕС) сказано:

Власти и уполномоченные органы понимают, что это означает, что это заявление требует подписи.

b) Постановление о медицинских изделиях MDR

MDR явно требует подписи, например, в Приложении IV к Декларации о соответствии ЕС:

«Декларация о соответствии ЕС должна содержать всю следующую информацию: [. ] Место и дата выдачи декларации, имя и должность лица, подписавшего ее, а также указание, за кого и от имени кого это лицо подписало, подпись».

MDR, Приложение IV

Производители также должны ставить подпись, когда запрашивают у нотифицированного органа проведение оценки соответствия. (Приложение VII Требования, которым должны соответствовать уполномоченные органы).

В случае клинических исследований MDR требует подписи «главных исследователей».

в) ISO 13485:2016

В стандарте DIN EN ISO 13485:2016 термин «подпись» не упоминается. Однако в Разделе 4.2.4 (Контроль документов) требуется следующее:

«Документированная процедура должна определять средства контроля, необходимые для:
а) проверки и утверждения документов на предмет адекватности до выпуска; [. ]’

DIN EN ISO 13485:2016, раздел 4.2.4

При этом производители обязаны доказать, что:

  1. документы составлены, проверены и утверждены
  2. это происходит в этом порядке
  3. не один и тот же человек пишет, проверяет и утверждает каждый документ
  4. одобрение происходит до выпуска.

Эти требования могут быть выполнены только путем назначения документа и задач другому человеку и дате для каждой задачи. Это назначение происходит посредством подписи.

Этой подписью заинтересованные лица выражают следующее:

  • Авторство: «Я несу ответственность за содержание и считаю его правильным».
  • Отзыв: «Я просмотрел содержимое в соответствии с установленными критериями, и оно соответствует критериям».
  • Утверждение/разрешение: «Содержимое может быть использовано в дальнейшем процессе (и я имею право решать это)».

Дополнительная информация

Эти требования понятны: создание спецификации системы до того, как требования пользователя будут записаны и задокументированы, чаще всего не имеет особого смысла. Прежде чем продукт будет воспроизведен в производственном процессе, дизайн должен быть протестирован.

г) Резюме

Из этого мы можем сделать вывод, что:

  1. Производители должны создавать такие документы, как техническая документация и декларация о соответствии;
  2. Производители должны подписать эти документы.
  3. Своей подписью производители заявляют о соответствии продукта в случае декларации о соответствии (и, следовательно, о безопасности продукта) и соответствии процесса в случае технической документации.

2. Когда нужны электронные подписи?

Нет (пока) никаких обязательств по созданию и доставке документов в цифровом формате. Однако давление со стороны властей и нотифицированных органов усиливается. Стандартизированные электронные форматы, такие как CDISC, в случае клинических испытаний являются в какой-то степени единственной наиболее эффективной формой коммуникации.

Как только производители создают электронные документы вместо бумажных, они должны заменить рукописные подписи электронными или цифровыми подписями.

3. Когда разрешены электронные подписи?

a) В Германии/Европе: BGB, VDG, eIDAS

В §126 Письменная форма Гражданского кодекса Германии (BGB) прямо разрешено заменять собственноручные подписи электронными:

’. (3) Письменная форма может быть заменена электронной формой, если законом не установлено иное. . ’

BGB, §126

В случае подписей, предусмотренных законом, BGB устанавливает планку немного выше:

'(1) Если электронная форма должна заменить письменную форму, установленную законом, эмитент декларации должен добавить к ней свое имя и снабдить электронный документ квалифицированной электронной подписью в соответствии с Закон об электронной подписи [Signaturgesetz].

BGB §126a

То, из чего именно состоит «квалифицированная электронная подпись», регулируется Законом Германии о трастовых услугах (VDG) (ранее — Законом о подписи), который заменяет норматив ЕС eIDAS (бывшая Директива о подписях) (см. рис. 1).

Рис. 1. Немецкий закон о трастовых услугах (VDG) заменяет норматив ЕС eIDAS и отменяет Закон о подписи, который заменяет прежние директивы ЕС о подписях.

b) США – FDA: 21 CFR, часть 11

FDA также позволяет заменять письменные подписи электронными. Подписи и подписанные документы должны соответствовать требованиям 21 CFR, часть 11.

Требования этого административного закона применяются только к компаниям, которые взаимодействуют с FDA или которые должны представлять документы властям, например. во время осмотра.

Дополнительная информация

Подробнее читайте здесь, 21 CFR, часть 11.

4. Какие типы электронных подписей существуют?

Регламент ЕС об электронной идентификации и трастовых услугах (сокращенно eIDAS (910/2014)) различает три типа электронных подписей:

  1. Электронная подпись
  2. Расширенная электронная подпись
  3. Квалифицированная электронная подпись

а) Электронная подпись

eIDAS определяет электронную подпись следующим образом:

Определение: электронная подпись

«[. ] данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписывающей стороной для подписи.’

«[. ] данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписывающей стороной для подписи.’

Включение отсканированной подписи в документ является примером электронной подписи. Подпись в электронном письме также является электронной подписью.

Эта подпись является самой слабой формой доказательства, поскольку нельзя гарантировать, что человек сам прикрепил или логически связал эти данные, а также нельзя отследить время, когда они были прикреплены.

б) Расширенная электронная подпись

На следующем уровне находится расширенная электронная подпись.

Определение: расширенная электронная подпись

Электронные подписи, которые:

a.) однозначно связаны с подписавшим

b.) включить идентификацию подписавшего

c.) «созданы с использованием данных для создания электронной подписи, которые подписывающая сторона может с высокой степенью уверенности использовать под своим исключительным контролем»

d.) «связаны с подписанными ими данными таким образом, что любое последующее изменение данных можно обнаружить».

Примерами этого типа электронной подписи являются системы контроля версий, такие как SVN или Git:

Когда пользователь нажимает «Зафиксировать», имя человека и время также сохраняются каждый раз. Человека можно идентифицировать по имени пользователя и паролю. На организационном уровне можно гарантировать, что только сам человек имеет эти полномочия. Наконец, контрольные суммы гарантируют, что любые последующие изменения данных не останутся незамеченными. Именно для этого и созданы системы контроля версий.

Но даже электронными подписями можно манипулировать:

  1. Если организационные меры неэффективны, второе лицо может использовать то же имя или получить доступ к данным доступа и, таким образом, к личности первого лица.
  2. Изменяя время в системе контроля версий, можно управлять отметкой времени.

Чтобы свести к минимуму эти недостатки, требуется более высокий «уровень целостности»: квалифицированная электронная подпись.

c) Квалифицированная электронная подпись

Этот тип подписи также определен в eIDAS:

Определение: квалифицированная электронная подпись

«Расширенная электронная подпись, которая

a.) создано квалифицированным устройством для создания электронной подписи, и

b.), который основан на квалифицированном сертификате для электронных подписей

В Приложении II к регламенту говорится:

'(3) Создание или управление данными для создания электронной подписи от имени подписавшей стороны может выполняться только квалифицированным поставщиком услуг доверия.'

Источник: eIDAS

Эти поставщики услуг включают:

  • Федеральное агентство занятости Германии
  • Bundesnotarkammer (орган, представляющий немецких нотариусов гражданского права)
  • Дойче Пост АГ
  • Д-Траст ГмбХ
  • Deutscher Sparkassen Verlag GmbH
  • Дойче Телеком АГ
  • DGN Deutsches Gesundheitsnetz Service GmbH
  • Медисин ГмбХ

5. Какой тип электронной подписи необходим?

a) Риск-ориентированный подход ISO 13485:2016

В стандарте ISO 13485:2016 говорится, что процессы и проверка компьютерных систем должны основываться на оценке рисков. Этот риск-ориентированный подход также применяется при выборе типа электронной подписи.

Там, где речь идет о человеческих жизнях (> соответствие продукции), отбор осуществляется на самом высоком уровне. Когда необходимо доказать, что спецификации процедуры соблюдены (> соответствие процесса), должно быть достаточно расширенной электронной подписи.

Другими словами: производители должны подписывать декларацию о соответствии от руки («влажными чернилами») или с использованием квалифицированной электронной подписи. В случае спецификаций, отчетов об испытаниях и т. д. достаточно расширенной электронной подписи.

б) Юридические требования в Европе

eIDAS явно делает это простым:

'(1) Электронной подписи не может быть отказано в юридической силе и допустимости в качестве доказательства в судебном разбирательстве только на том основании, что она находится в электронной форме или что она не отвечает требованиям квалифицированной электронные подписи».

eIDAS

c) Юридические требования в США

'(5) Цифровая подпись означает электронную подпись, основанную на криптографических методах аутентификации отправителя, вычисляемую с использованием набора правил и набора параметров, таким образом, что личность подписывающего лица и целостность данные могут быть проверены.'

'(7) Электронная подпись означает компиляцию компьютерных данных любого символа или серии символов, выполненных, принятых или уполномоченных физическим лицом для юридически обязывающий эквивалент собственноручной подписи лица».

21 CFR, часть 11

Здесь электронная подпись соответствует электронной подписи в соответствии с eIDAS, а цифровая подпись — как минимум расширенной электронной подписи.

FDA не предъявляет требований, которые можно было бы выполнить только с помощью квалифицированной электронной подписи. Требуется:

  • фальсификация должна быть обнаружена (11.10)
  • соответствующие стандарты для цифровых подписей, чтобы гарантировать подлинность, целостность и конфиденциальность записей (11.30)
  • гарантия того, что подписи не могут быть удалены или перенесены на другие документы (11.70)
  • что если человек хочет предоставить несколько электронных подписей, он должен сначала войти в систему со всеми данными (обычно именем пользователя и паролем), а затем по крайней мере с одним компонентом для каждой отдельной процедуры (обычно паролем или PIN-кодом) (11.200)
  • гарантия того, что для подделки электронной подписи третьей стороны требуется сотрудничество двух или более лиц. (11.200)
  • в документе, подписанном электронной подписью, FDA ожидает имя подписавшего (распечатанное, без изображения/скана подписи), дату и время подписания, а также то, что подтверждается подписью (авторство, проверка, одобрение) (11.50) .

Вывод: ни одно из этих требований не обязывает использовать квалифицированные электронные подписи. Достаточно расширенной электронной подписи с проверенной системой и соответствующими организационными мерами.

6. Как (с помощью каких инструментов) создается цифровая подпись?

Институт Джонера рекомендует использовать инструменты для создания цифровых подписей. Тип подходящего инструмента зависит от способа работы производителя:

  1. Если производители работают, прежде всего, с документами (например, с Word), продукты Adobe и Microsoft (например, Word) сами по себе или с подключаемыми модулями достаточны для удовлетворения технических требований к расширенной электронной подписи.
  2. Институт Джонера создает большинство документов в формате Markdown и использует Git в качестве инструмента контроля версий. Благодаря соответствующим организационным мерам (например, спецификациям ветвления и слияния) можно удовлетворить требования расширенной электронной подписи.
  3. Очень разумно выбрать инструменты, которые следят за содержимым документов в базе данных, такие как инструменты ALM, например. от Medsoto (MedPack, RiskPack и DocuPack). Эти продукты уже имеют встроенные механизмы, такие как подтверждение утверждения PIN-кода, для создания расширенных электронных подписей, соответствующих законодательству.

Подписание деклараций о соответствии обычно не оправдывает усилий по созданию системы, с помощью которой можно создавать квалифицированные электронные системы.

7. Как на самом деле работает цифровая подпись?

Сначала из документа вычисляется хеш-значение.Хэш-значение представляет собой строку символов (в настоящее время обычно 254 бита или больше) и эквивалентно отпечатку пальца документа. Любое даже незначительное изменение документа приведет к другому значению хеш-функции при проверке. Невозможно (при реальных усилиях) сделать выводы о содержании документа по хеш-значению.

Рис. 2. Создание цифровой подписи

Процессы (алгоритмы), которые хорошо известны и до сих пор используются для вычисления этого значения, — это MD5 (128 бит), SHA-256 и SHA-512. Ежегодно BSI (Федеральное управление по информационной безопасности) выпускает рекомендации по этому поводу, которые согласовываются с экспертами.

Обычная длина цифровой подписи составляет 1536 бит и более. Поскольку алгоритмы хеширования создают явно более короткие строки символов, они затем заполняются специальными символами. Эта процедура называется дополнением.

b) Шифрование, RSA и цифровые подписи

До этого момента ни исходный документ, ни его хеш-значение не могут быть назначены автору. Это происходит на втором этапе, когда (дополненное) хеш-значение связывается с подписью в процессе подписи с использованием закрытого ключа автора. Для этого широко используются асимметричные процессы RSA или DSA.

Обратите внимание: для целей подписи с ключом связывается хеш-значение, а не весь документ, так как для этого нужно скрывать не содержимое документа, а «просто» его целостность. Таким образом, хеш-значение является важным компонентом цифровой подписи.

BSI ежегодно анализирует безопасность рекомендуемых процессов подписи и шифрования. Подпись на основе RSA или DSA длиной 1728 бит считалась безопасной до 2010 года. С тех пор требуется как минимум 2 048 бит.

c) Ключ, сертификат и орган по сертификации

Сертификаты доказывают, что ключ действительно может быть надежно назначен автору. Они выпускаются трастовыми центрами (органами сертификации), подписаны центром (и, следовательно, имеют целостность) и, наряду с именем автора и сроком действия, также содержат их открытый ключ. Таким образом, открытый и закрытый ключи образуют пару. В то время как открытый ключ создается из закрытого ключа, это невозможно, наоборот, то есть закрытый ключ не может быть установлен из открытого ключа. Безопасность процедуры основана на такой «односторонней функции».

Рис. 3: Создание закрытого ключа и сертификата с открытым ключом

С помощью открытого ключа из сертификата потенциального отправителя получатель может проверить цифровую подпись, прикрепленную к документу, и тем самым проверить правильность данных об авторе (авторе или отправителе). При этом сохраненное хеш-значение также будет видно. Затем получатель сравнивает зашифрованное значение с хеш-значением, которое он сам вычислил по тому же алгоритму. Если оба совпадают, получатель точно знает, что документ не подвергался изменениям и поэтому является подлинным.

8. Заключение/Резюме

а) Избегайте ненужных усилий

Усилия, которые предпринимают некоторые компании, чтобы выполнить предполагаемые юридические требования, приносят необычные плоды: создаются электронные документы; они распечатаны; затем они подписываются и сканируются обратно на компьютер; затем этот скан передается в систему управления документами, которая благодаря сложному процессу авторизации обеспечивает возможность идентификации лиц, работающих с ним.

Необоснованно завышенными требованиями легко повлиять на эффективность процесса и тем самым поставить в тупик всю компанию.

b) Действовать на основе риска

Уровень подписи следует выбирать с учетом риска: Институт Джонера рекомендует квалифицированную электронную подпись прежде всего для деклараций о соответствии (когда речь идет о жизни или смерти) и внешних юридических транзакций. В остальных случаях достаточно расширенной электронной подписи, которую вы можете создать самостоятельно с помощью множества инструментов и соответствующих организационных мер.

Многие аудиторы предъявляют требования к электронным подписям, для которых нет законных оснований. Эти аудиторы часто действуют непоследовательно, настаивая на собственноручных подписях, а не на образце подписи.

Но, несмотря на весь энтузиазм в отношении электронных подписей и цифровизации, разве подписание декларации о соответствии правильной перьевой ручкой и подтверждение того, что продукт безопасен и приносит пользу пациентам, не являются церемониальным актом?

Техническая документация содержит информацию о конструкции, производстве и эксплуатации продукта и должна содержать все сведения, необходимые для демонстрации соответствия продукта применимым требованиям.

Если вы являетесь производителем, существуют определенные правила, которые необходимо соблюдать при размещении продукта на рынке; вы должны:

  • подготовить техническую документацию перед выпуском продукта на рынок
  • обеспечить предоставление технической документации органам по надзору за рынком (если они потребуют ее ознакомления) сразу же после размещения продукта на рынке
  • хранить техническую документацию в течение 10 лет с даты размещения продукта на рынке (если явно не указано иное)

Техническая документация необходима для подтверждения соответствия продукта основным требованиям и, следовательно, для обоснования и поддержки декларации соответствия ЕС. Эта документация необходима для нанесения маркировки CE на продукт.

Как оформить техническую документацию?

Техническая документация должна включать как минимум:

  • ваше имя и адрес или имена любых уполномоченных представителей
  • краткое описание продукта
  • идентификация продукта, например серийный номер продукта
  • название(я) и адрес(а) объектов, участвующих в разработке и производстве продукта
  • название и адрес любого уполномоченного органа, участвующего в оценке соответствия продукта
  • изложение процедуры оценки соответствия, которой следовали
  • декларация соответствия ЕС
  • этикетка и инструкция по применению
  • изложение соответствующих правил, которым соответствует продукт
  • обозначение технических стандартов, соответствие которым заявлено
  • список частей
  • результаты тестирования

Как производитель вы должны быть в состоянии продемонстрировать, где и как хранятся и обслуживаются различные части документа.

Обычно вы можете выбрать, на каком языке вы хотите подготовить техническую документацию. Однако органы по надзору за рынком могут попросить вас перевести техническую документацию в зависимости от страны ЕС, в которой продукт был размещен на рынке. По запросу вы также можете предоставить его в электронном формате.

Оценка риска

Как производитель вы несете ответственность за выявление всех возможных рисков, которые может представлять ваш продукт, и определение применимых основных требований. Этот анализ должен быть включен в техническую документацию. Кроме того, вам нужно будет объяснить, как вы устранили выявленные риски, чтобы убедиться, что ваш продукт соответствует применимым требованиям, например, путем применения согласованных стандартов.

Декларация соответствия ЕС

Декларация соответствия ЕС (DoC) – это обязательный документ, который вы, как производитель или ваш уполномоченный представитель, должны подписать, чтобы заявить, что ваша продукция соответствует требованиям ЕС. Подписывая DoC, вы берете на себя полную ответственность за соответствие вашего продукта действующему законодательству ЕС.

Как составить декларацию о соответствии

Как производитель вы обязаны составить декларацию о соответствии ЕС (DoC). Он должен содержать следующую информацию:

  • ваше имя и полный служебный адрес или адрес вашего уполномоченного представителя
  • серийный номер продукта, модель или идентификация типа
  • заявление о том, что вы берете на себя полную ответственность
  • средства идентификации продукта, обеспечивающие отслеживание — это может включать изображение
  • сведения об уполномоченном органе, проводившем процедуру оценки соответствия (если применимо)
  • соответствующее законодательство, которому соответствует продукт, а также любые согласованные стандарты или другие средства, используемые для подтверждения соответствия
  • ваше имя и подпись
  • дата выдачи декларации
  • дополнительная информация (если применимо)

Для импортируемых продуктов импортер должен убедиться, что продукт сопровождается DoC, и должен хранить его копию в течение 10 лет после того, как продукт был размещен на рынке.

Вы должны перевести декларацию о соответствии ЕС на язык или языки, требуемые страной ЕС, в которой продается ваш продукт.

В этой статье мы рассмотрим основные различия между цифровыми подписями и электронными подписями, а также то, как выбрать то, что подходит для вашего агентства.

Если вы работаете в государственном секторе, и ваш отдел или агентство оценивают электронную подпись (eSignature) или решение для цифровой подписи, необходимо учитывать множество факторов: технические спецификации, стандарты соответствия, внутренние процессы и поведение персонала.< /p>

Хорошей новостью является то, что использование электронных подписей в государственных учреждениях продолжает расти. По мере совершенствования стандартов и безопасности агентства могут пользоваться преимуществами цифровых технологий без проблем, которые ранее препятствовали их внедрению.

Например, Департамент информации и инноваций штата Вермонт (DII) сообщает, что переход на электронные подписи в некоторых случаях сократил процесс утверждения контракта до двух рабочих дней.

В этой статье мы рассмотрим некоторые основы электронных и цифровых подписей, их законность, стандарты соответствия, которыми они руководствуются, и преимущества, которые они могут дать государственному учреждению. Мы также поговорили с рядом государственных служащих в различных департаментах, чтобы поделиться своими ключевыми выводами о внедрении системы электронной подписи.

В чем разница между электронными подписями и цифровыми подписями?

Хотя кажется, что электронные подписи и цифровые подписи являются синонимами, между ними есть несколько ключевых отличий.

Электронная подпись определена

Федеральный закон США о ESIGN, принятый в 2000 году, определяет электронную подпись как "электронный звук, символ или процесс, прикрепленный к договору или другой записи или логически связанный с ним и выполненный или принятый лицом с намерением подписать протокол».

Короче говоря, электронная подпись — это юридическое понятие, если вы можете подтвердить личность подписавшего и его «намерение» подписать документ.

Примеры форм, для которых идеально подходят электронные подписи, включают разрешения на проведение особых мероприятий, бизнес-лицензии и внутренние формы, такие как заказы на покупку.

Цифровая подпись определена

Цифровая подпись более сложна. В частности, его меры безопасности являются более далеко идущими. Цифровая подпись содержит алгоритм, который шифрует подпись и создает уникальный цифровой сертификат для проверки подлинности подписанной записи.

StateScoop в обзоре законопроекта 2296 Ассамблеи штата Калифорния (подробнее об этом далее в этой статье) предлагает краткое определение того, чем они отличаются:

"Несмотря на то, что эти два термина могут показаться взаимозаменяемыми, на самом деле они представляют собой два очень разных метода проверки электронной личности: электронная подпись состоит из символа, означающего, что лицо соглашается подписать документ, а цифровая подпись объединяет этот символ вместе с безопасным сертификатом, подтверждающим личность подписавшего».

Многие муниципалитеты используют комбинацию этих типов подписи. Джо Баттинелли, супервайзер по инновационным услугам для бизнеса и местоположения в округе Кабаррус, Северная Каролина, говорит, что они используют почти все доступные варианты подписи. «Для некоторых форм достаточно электронной подписи — человек может ввести свое имя, и оно преобразуется в красивую рукописную подпись, и вы просто нажимаете «Отправить». Другие формы требуют дополнительного уровня безопасности и шифрования, поэтому мы использовали цифровую подпись Adobe Sign, которая использует цифровой идентификатор на основе сертификата, чтобы они могли отправлять. А в случае с федеральными формами у нас есть блокнот для подписи, который можно принести подписавшемуся».

Являются ли электронные подписи законными и безопасными?

Когда дело доходит до выбора типа подписи, подходящего для вашего агентства, знайте, что оба варианта имеют обязательную юридическую силу. Электронные подписи легче внедрить, но цифровые подписи обеспечивают дополнительный уровень безопасности. И то, и другое подлежит принудительному исполнению, но цифровая подпись сопряжена с меньшим риском правоприменения.

Агентства, с которыми мы поговорили, рассказали, какие из них использовать в зависимости от формы. Ширлин Ларсен, бухгалтер округа Бокс-Элдер, сказала, что ее агентство не использует электронные подписи для контрактов, которые представляют собой обязательства между двумя сторонами. «Вместо этого мы в основном используем его для подачи заявлений, таких как запрос на освобождение от налогов, запросы сотрудников на поездки, заявления о приеме на работу, формы обоснования покупки поставщиков, заявки на гранты, формы апелляций по налогу на имущество и т. д. есть какие-либо проблемы с соблюдением требований со стороны обеих сторон, которые несут юридические обязательства».

Мрудул Саданандан, менеджер по информационным технологиям города Сакраменто, вспоминает, что, когда его отдел впервые отважился на возможности электронной подписи, возникло много путаницы в отношении того, что представляет собой юридически обязывающая подпись. «По мере развития технологий и того, что люди в нашей организации видят преимущества электронных подписей, все больше людей соглашаются с тем, что нам не нужны цифровые подписи с высочайшим уровнем безопасности для каждой формы».

Батинелли говорит, что в его агентстве примерно 70 / 30 — онлайн-подписи и реальные подписи, и среди используемых ими цифровых вариантов они больше всего полагаются на электронные подписи.

Соблюдение законодательства об электронных подписях

Существуют стандарты соответствия электронной подписи, которые государственное учреждение должно учитывать при проверке программного обеспечения. Некоторые муниципалитеты могут уже иметь список утвержденных поставщиков на выбор. Например, город Шарлотт утвердил двух поставщиков электронных подписей.

В агентствах, где эта работа еще не проводилась, важно знать, какие стандарты соответствия действуют. К ним относятся:

    – Принятый в 2000 году, это федеральный закон, определяющий принципы торговли между штатами. Закон ESIGN был первым, в котором прямо указывалось, что контракт или подпись «не могут быть лишены юридической силы, действительности или исковой силы только потому, что они представлены в электронной форме». – Большинство штатов приняли этот единый закон, который согласовывает законы штатов в отношении действительности электронных подписей. – Этот закон, одобренный в 2016 году, устанавливает четкие стандарты в отношении того, как государственные и местные органы могут использовать как электронные, так и цифровые подписи. Агентствам CA стало намного проще запускать и запускать онлайн-системы подписи.

Как и в случае с любым новым поставщиком программного обеспечения, которого вы рассматриваете, всегда рекомендуется сначала попросить его предоставить надлежащую документацию и убедиться, что он отметил нужные вам флажки. Ниота Браун, менеджер по соблюдению требований в городе Шарлотт, говорит, что попросила городского поставщика программного обеспечения электронной подписи (GovOS) предоставить полную документацию по безопасности электронной подписи в окончательных условиях контракта.

Меры безопасности для обеспечения соответствия

Например, GovOS очень серьезно относится к мерам безопасности, предоставляя пользователям:

  • Журнал аудита, отслеживающий каждое действие подписывающей стороны.
  • 256-битное шифрование AES и TLS (безопасность транспортного уровня) 1.2
  • Управление правами доступа для назначенных подписывающих лиц
  • Уникальные подписи, созданные каждым пользователем
  • Геолокация для каждого документа eSignable
  • Аутентификация пользователя с многоуровневыми вариантами аутентификации
  • Временные метки журналов действий в процессе обработки документов.
  • Журнал аудита с полной историей документов

Конечно, в зависимости от сложности ваших форм и рабочих процессов вы можете столкнуться с дополнительными случаями. Браун сказал: «Одна из проблем, с которой мы столкнулись, заключалась в подписании нескольких страниц одновременно, чтобы сохранить целостность процесса подписания. Мы смогли решить эту проблему, загрузив страницы с подписями в качестве обложки маршрутизации и потребовав всех подписей, прежде чем сможем направить документ следующему человеку».

Кроме того, электронные подписи помогают повысить безопасность. Ручной процесс означает больше возможностей для человеческой ошибки:

  • Потерянные документы
  • Ошибки обработки
  • Небезопасное хранилище

Подобные ошибки могут нанести ущерб отделу. На самом деле на человеческие ошибки при обработке данных приходится примерно 52% нарушений безопасности и данных, а 53% руководителей высшего звена и 28% владельцев малого бизнеса называют человеческий фактор или случайную потерю посторонней стороной в качестве основных причин утечки данных. .

Экономия времени и повышение эффективности

Электронные подписи значительно оптимизируют рабочие процессы и процессы. Исключая ручную работу с физическими формами, которая требует, чтобы документы были:

  • Печать
  • Заполнено
  • Передано на обработку
  • Физически перемещен внутри для подписей.
  • Подано вручную
  • Документы должны быть скопированы под копирку

Файлы могут лежать на чьем-то столе в течение нескольких минут, часов или дней, пока к ним не будут приставлены, что увеличивает время и затраты на процесс обработки. Если ваш отдел внедрил или думает о внедрении методов управления LEAN, устранение потерь из-за чрезмерной обработки может сократить расходы и сократить время выполнения работ.

Оцифровав процесс работы с такими формами, как закупочная документация, кадровая документация, формы действий персонала, разрешения на проведение специальных мероприятий, вы можете стать намного эффективнее. По оценке Эллен Зоппо-Сассу, мэра Бристоля, штат Коннектикут, город сэкономил «более 1000 часов в месяц на время обработки — помимо дополнительной экономии, связанной с сокращением объема печати и хранения печатных материалов» за счет оцифровки бумажных форм с помощью GovOS Studio.

Эта экономия времени умножается на каждую форму, которую можно заполнить с помощью электронной подписи. Для команды Брауна в Шарлотте самым большим преимуществом электронных подписей было устранение маршрутизации и отслеживания вручную.

«Теперь мы можем маршрутизировать и отслеживать процесс выполнения контракта в режиме онлайн, что повышает целостность процесса и сводит к минимуму возможность потери записей. Поскольку мы можем отслеживать ход документа онлайн, это освобождает время моей команды для решения других задач. Раньше это время уходило на переходы из отдела в отдел, чтобы доставить документы, узнать о статусе документов и согласовать графики обновлений».

Мрудул в Сакраменто получил аналогичные результаты. «Перенос юридически обязывающих подписей контрактов в электронную версию сократил для нас время и стоимость исполнения контракта».

При правильном внедрении система электронных подписей потенциально может окупить себя за счет улучшения процессов и уменьшения количества ошибок.

Как привлечь внимание всей организации

Когда дело доходит до внедрения изменений, вам нужно учитывать не только технологии и процессы. Человеческий фактор является критически важным компонентом для обеспечения высоких показателей внедрения.

Джейми Кленетски Фэй, менеджер по цифровым медиа в округе Моррис, штат Нью-Джерси, рекомендует рассматривать электронные подписи с точки зрения конечного пользователя. «Когда мы начали говорить о внедрении функции электронной подписи, я спросил: «А что, если вам нужно будет отправить эту форму, у вас есть дома принтер, который вы можете использовать для печати этой формы, чтобы вы могли ее подписать?» У вас есть марки, чтобы вы могли отправить заполненную форму по почте?» Это помогло нашей команде сопереживать гражданам, которые полагались на эти формы».

Имейте в виду, что меняются не только технологии, но и системы и процессы, на которые люди привыкли полагаться. Возможно, самым важным компонентом для завоевания доверия вашей команды при переходе на электронные подписи будет обучение и расширение возможностей, чтобы они быстрее освоились с новой технологией.

Мухаммед Умайр, специалист по системным приложениям города Бристоля, говорит, что независимо от того, насколько широко распространены электронные подписи, всегда нужно учиться. «Изменить менталитет людей — хватит бумаги! — это непросто, но можно. Вы должны научить всех, что теперь им просто нужно нажать кнопку и поставить подпись, а затем она перейдет к следующему человеку, чтобы получить необходимые подписи».

Как внедрить электронные подписи в существующие формы и рабочие процессы

Что такое цифровая подпись и как ее создать?

Что такое цифровые подписи?

Цифровые подписи похожи на электронные "отпечатки пальцев". В форме закодированного сообщения цифровая подпись надежно связывает подписывающего с документом в записанной транзакции. Цифровые подписи используют стандартный общепринятый формат, называемый инфраструктурой открытых ключей (PKI), для обеспечения высочайшего уровня безопасности и всеобщего признания. Они представляют собой конкретную реализацию технологии подписи электронной подписи (eSignature).

В чем разница между цифровой подписью и электронной подписью?

Большая категория электронных подписей (eSignatures) включает множество типов электронных подписей. В категорию входят цифровые подписи, представляющие собой конкретную технологию реализации электронных подписей. Как цифровые подписи, так и другие решения для электронной подписи позволяют подписывать документы и аутентифицировать подписавшего. Однако существуют различия в назначении, технической реализации, географическом использовании, а также юридическом и культурном признании цифровых подписей по сравнению с другими типами электронных подписей.

В частности, использование технологии цифровой подписи для электронных подписей значительно различается между странами, которые следуют открытым, технологически нейтральным законам об электронных подписях, включая США, Великобританию, Канаду и Австралию, и странами, которые следуют многоуровневым моделям электронных подписей, которые предпочитают местные стандарты, основанные на технологии цифровой подписи, в том числе во многих странах Европейского Союза, Южной Америки и Азии. Кроме того, некоторые отрасли также поддерживают определенные стандарты, основанные на технологии цифровой подписи.

Хотите подписать онлайн, но вам не нужна цифровая подпись?

Как работают цифровые подписи?

Цифровые подписи, как и собственноручные подписи, уникальны для каждой подписывающей стороны. Поставщики решений для цифровой подписи, такие как DocuSign, используют специальный протокол, называемый PKI. PKI требует, чтобы провайдер использовал математический алгоритм для генерации двух длинных чисел, называемых ключами. Один ключ является открытым, а другой — закрытым.

Когда подписывающая сторона подписывает документ электронной подписью, подпись создается с использованием закрытого ключа подписывающей стороны, который всегда надежно хранится у подписывающей стороны. Математический алгоритм действует как шифр, создавая данные, соответствующие подписанному документу, называемому хэшем, и шифруя эти данные.Полученные зашифрованные данные представляют собой цифровую подпись. В подписи также указывается время подписания документа. Если документ изменяется после подписания, цифровая подпись становится недействительной.

Например, Джейн подписывает соглашение о продаже таймшера, используя свой закрытый ключ. Покупатель получает документ. Покупатель, получивший документ, также получает копию открытого ключа Джейн. Если открытый ключ не может расшифровать подпись (с помощью шифра, из которого были созданы ключи), это означает, что подпись не принадлежит Джейн или была изменена с момента подписания. После этого подпись считается недействительной.

Чтобы защитить целостность подписи, PKI требует, чтобы ключи создавались, использовались и сохранялись безопасным образом, и часто требуются услуги надежного центра сертификации (ЦС). Поставщики цифровых подписей, такие как DocuSign, соответствуют требованиям PKI для безопасной цифровой подписи.

Начать

Хотите узнать больше о наших стандартных подписях?

Нужно поговорить с кем-то или у вас более 10 пользователей?

Хотите попробовать DocuSign бесплатно? Получите бесплатную 30-дневную пробную версию.

Часто задаваемые вопросы о цифровой подписи

Как создать цифровую подпись?

Поставщики электронных подписей, такие как DocuSign, которые предлагают решения, основанные на технологии цифровой подписи, упрощают цифровую подпись документов. Они предоставляют интерфейс для отправки и подписания документов в Интернете и взаимодействуют с соответствующими центрами сертификации для предоставления надежных цифровых сертификатов.

В зависимости от центра сертификации, который вы используете, вам может потребоваться предоставить определенную информацию. Также могут быть ограничения и ограничения в отношении того, кому вы отправляете документы на подпись и в каком порядке вы их отправляете. Интерфейс DocuSign проведет вас через весь процесс и обеспечит выполнение всех этих требований. Когда вы получаете документ на подпись по электронной почте, вы должны пройти аутентификацию в соответствии с требованиями центра сертификации, а затем «подписать» документ, заполнив онлайн-форму.

Что такое инфраструктура открытых ключей (PKI)?

Инфраструктура открытых ключей (PKI) – это набор требований, которые позволяют (среди прочего) создавать цифровые подписи. Через PKI каждая транзакция цифровой подписи включает пару ключей: закрытый ключ и открытый ключ. Закрытый ключ, как следует из названия, не является общим и используется только подписывающей стороной для электронной подписи документов. Открытый ключ находится в открытом доступе и используется теми, кому необходимо проверить электронную подпись подписавшего. PKI предъявляет дополнительные требования, такие как центр сертификации (CA), цифровой сертификат, программное обеспечение для регистрации конечных пользователей и инструменты для управления, обновления и отзыва ключей и сертификатов.

Что такое центр сертификации (ЦС)?

Цифровые подписи основаны на открытых и закрытых ключах. Эти ключи должны быть защищены, чтобы обеспечить безопасность и избежать подделки или злонамеренного использования. Когда вы отправляете или подписываете документ, вам необходимо убедиться, что документы и ключи созданы безопасно и что в них используются действительные ключи. Центры сертификации, тип поставщика услуг доверия, являются сторонними организациями, которые широко признаны надежными для обеспечения безопасности ключей и которые могут предоставить необходимые цифровые сертификаты. И лицо, отправляющее документ, и получатель, подписывающий его, должны согласиться на использование данного ЦС.

DocuSign также является ЦС, когда подписывающие лица используют цифровую подпись DocuSign Express. Это означает, что вы всегда можете отправить документ с цифровой подписью, используя DocuSign в качестве центра сертификации. Кроме того, вы можете безопасно создать собственный ЦС с помощью DocuSign Signature Appliance и при этом получить доступ к богатым функциям облачных сервисов DocuSign для управления транзакциями. Некоторые организации или регионы полагаются на другие известные центры сертификации, и платформа DocuSign их также поддерживает. К ним относятся OpenTrust, который широко используется в странах Европейского Союза, и SAFE-BioPharma, представляющий собой учетную запись, которую могут использовать организации, занимающиеся наукой о жизни.

Зачем мне использовать цифровую подпись?

Многие отрасли и географические регионы установили стандарты электронной подписи, основанные на технологии цифровой подписи, а также специальные сертифицированные центры сертификации для деловых документов. Соблюдение этих местных стандартов, основанных на технологии PKI, и работа с доверенным центром сертификации могут обеспечить применимость и признание решения электронной подписи на каждом локальном рынке. Используя методологию PKI, цифровые подписи используют хорошо известную международную технологию, основанную на стандартах, которая также помогает предотвратить подделку или изменение документа после подписания.

Какие решения для цифровой подписи предлагает DocuSign?

Подписи на основе стандартов DocuSign позволяют автоматизировать и управлять всеми цифровыми рабочими процессами с помощью мощных бизнес-возможностей DocuSign, сохраняя при этом соответствие местным и отраслевым стандартам электронной подписи, включая CFR, часть 11, и регламент ЕС eIDAS. В ЕС DocuSign предоставляет все типы подписей, определенные в eIDAS, включая расширенные электронные подписи ЕС (AdES) и квалифицированные электронные подписи ЕС (QES).

Имеют ли электронные подписи, основанные на технологии цифровой подписи, юридическую силу?

Да. ЕС принял Директиву ЕС об электронных подписях в 1999 году, а Соединенные Штаты приняли Закон об электронных подписях в глобальной и национальной торговле (ESIGN) в 2000 году. Оба закона сделали подписанные электронным способом контракты и документы юридически обязательными, как и бумажные контракты. С тех пор законность электронных подписей неоднократно подтверждалась.

К настоящему времени большинство стран приняли законы и правила, созданные по образцу США или Европейского союза, при этом во многих регионах предпочтение отдается ЕС. модель локально управляемых электронных подписей на основе технологии цифровой подписи. Кроме того, многие компании улучшили соблюдение правил, установленных в их отраслях (например, FDA 21 CFR Part 11 в отрасли наук о жизни), что было достигнуто с помощью технологии цифровой подписи. Эти нормативные акты для конкретных стран и отраслей постоянно совершенствуются, ключевым примером которых является нормативный акт об электронной идентификации и доверительных услугах (eIDAS), недавно принятый в Европейском союзе.

Что такое цифровой сертификат?

Цифровой сертификат — это электронный документ, выданный центром сертификации (ЦС). Он содержит открытый ключ для цифровой подписи и указывает идентификатор, связанный с ключом, например название организации. Сертификат используется для подтверждения того, что открытый ключ принадлежит конкретной организации. ЦС выступает гарантом. Цифровые сертификаты должны быть выданы доверенным органом и действительны только в течение определенного времени. Они необходимы для создания цифровой подписи.

Электронные подписи удостоверяют ваши онлайн-документы

Использование электронных подписей — гораздо более удобный и продуктивный способ ведения бизнеса. Но вы должны убедиться, что ваши документы сертифицированы и подписаны электронной подписью с максимальной безопасностью и защитой.

DocuSign eSignature позволяет подписывать юридически обязательные документы в США и во многих странах. Сотни миллионов людей по всему миру используют его для подписания документов практически из любого места на большинстве устройств. Электронные подписи становятся стандартной практикой для многих предприятий. Узнайте больше в нашем блоге «Как сегодня управляются соглашения».

Подписание с помощью DocuSign eSignature быстрее, безопаснее и доступнее, чем использование традиционных подписей. DocuSign eSignature обеспечивает высочайший уровень правоприменения. Электронные подписи имеют юридическую силу в США и многих странах мира. Закон ESIGN от 2000 г. определил законность и применимость электронных подписей во всех 50 штатах. Закон ESIGN гарантирует, что контракты и подписи не могут быть лишены действительности или исковой силы, поскольку они находятся в электронной форме. Не все решения для электронной подписи одинаковы. DocuSign — первая компания, которая гарантирует соответствие федеральному закону ESIGN и UETA.

Как DocuSign eSignature обеспечивает сертификацию электронной подписи?

DocuSign eSignature — это цифровая подпись на основе сертификата. Каждый подписанный документ имеет свой собственный сертификат подлинности. Цифровые подписи используют криптографию для обеспечения подлинности лица, подписывающего документ электронной подписью. Инфраструктура открытых ключей (PKI) является основой технологии цифровой подписи. PKI работает со сторонним центром сертификации (ЦС), чтобы сопоставить подписавшего с его цифровой идентификацией, гарантируя действительность электронной подписи.

Подписываясь на основе цифровых сертификатов, поддерживаемых DocuSign eSignature, вы можете быть уверены:

Узнайте, кто и когда подписался

Доступ к административным данным для создания отчетов

Настройте шаблоны и повторно используемые документы для тех, которые вы отправляете чаще всего

Попробуйте бесплатно DocuSign eSignature и начните заверять документы электронной подписью.

Читайте также: