| НАЙ-ВАЖНОТО НАКРАТКО Не са просто изображения: визуалното изображение на подпис върху PDF файл няма правно значение – решаващо е криптографският сертификат, който стои зад него. Трите стълба на проверката: При валидирането винаги се проверяват самоличността на подписващото лице, неподправеността на документа (целостта) и валидността на сертификата. Факторът EUTL: Квалифицираният електронен подпис (QES) се признава на 100 % от съдилищата в цяла Европа само ако доставчикът на доверителни услуги (TSP) фигурира в официалния списък на доверените доставчици на ЕС (EUTL). Недостатъкът на САЩ в конкурентно отношение: Много американски инструменти не издържат проверките на европейските инструменти за проверка (като държавната акредитационна служба RTR), тъй като не осигуряват достатъчно стабилна верига от сертификати. |
Въведение: Защо „проверката“ е истинската основа на цифровите процеси
В много компании цифровото подписване на договори отдавна е станало стандартна практика. Но докато се инвестира огромно количество енергия в самото подписване, един фундаментален въпрос в ежедневието на B2B често остава без отговор: Как проверявате документите, които се връщат в компанията ви след подписване?
Компаниите обменят ежедневно чувствителни договори – от трудови договори в отдела по човешки ресурси, през споразумения с доставчици, до финансови транзакции с голям обем. Който разчита на това, че сканиран подпис или обикновена визуална картинка-заместител в PDF файл е юридически валиден, поема огромен риск, свързан с несъответствие с нормативните изисквания и отговорност. Само систематичната криптографска верификация ви дава юридически неоспорима сигурност, че вашият договорно партньор наистина е този, за когото се представя, и че текстът на договора не е бил манипулиран впоследствие.
Техническата анатомия: Какво се случва, когато проверявате цифров подпис?
Когато проверявате цифров подпис (например чрез sproof Validator, Acrobat Reader, държавни услуги за валидиране като Rundfunk und Telekom Regulierungs-GmbH в Австрия или специализиран софтуер), на заден план протича триетапен процес:
1. Проверка на целостта на документите (сравнение на хеш-сумите)
При подписването цялото съдържание на файла се компресира чрез алгоритъм до уникален цифров отпечатък – така наречената хеш-стойност. Инструментът за проверка изчислява отново тази хеш-стойност при отварянето на файла. Ако текущата хеш-стойност съвпада точно със стойността, криптирана в момента на подписването, става ясно: документът не е бил променен нито с един символ след подписването.
| sproof Insight срещу лидера на пазара в САЩ: sproof sign вгражда всеки подпис директно и с юридическа сила в PDF файла чрез криптографска технология в момента на подписването. Американските доставчици като DocuSign често поставят подписите по време на процеса само като визуални изображения върху документа и добавят окончателния колективен печат едва при окончателното изтегляне. Това затруднява проверяващите инструменти впоследствие да проследят точно кога е била направена конкретна промяна в полето на формуляра. |
2. Проверка на валидността на цифровия сертификат (идентичността)
Всеки усъвършенстван (FES) или квалифициран електронен подпис (QES) е неразривно свързан с цифров сертификат. Този сертификат служи като цифрова лична карта. Инструментът за проверка извлича метаданните на сертификата, за да прочете името на подписващия, проверения имейл адрес и издателя (доставчик на доверителни услуги, накратко TSP).
3. Съвпадение с Доверителния списък на Европейския съюз (EUTL)
Регламентът eIDAS осигурява максимална доказателствена сила в европейското пространство. Строго регулираните сектори изискват по подразбиране QES, тъй като само той е правно равностоен на ръчния подпис на 100 %. При проверка на QES софтуерът сравнява доставчика на услуги за електронни подписи (TSP) с официалния списък на доверените доставчици на Европейската комисия (EUTL). Ако доставчикът не е акредитиран в този списък, подписът губи статута си на QES.
Защо някои подписи се обявяват за „невалидни“ в европейските инструменти за проверка
Често срещано явление в европейските правни отдели: договор, подписан чрез американски софтуер, се качва в официалната система за проверка на RTR (Австрия) и незабавно се класифицира като „невалиден“ или „технически непроверим“.
Има причина за това: липса на EUTL акредитация. Много глобални хиперскалъри използват за своите стандартни подписи собствени вериги от сертификати, които макар и да са маркирани като „зелени“ в търговски списъци (като Adobe Approved Trust List – AATL), не отговарят на строгите регулаторни критерии на европейските държавни надзорни органи.
Стъпка по стъпка: Ето как се проверява цифров подпис на практика
За предприятията съществуват основно три изпитани начина за валидиране на подписи по начин, който отговаря на изискванията за одитна сигурност:
- Начин 1: Автоматизирана валидация чрез софтуер и API (за големи предприятия) Големите организации не могат да проверяват постъпващите документи ръчно. Тук се използват модули като sproof Validate. Чрез REST-API договорите се сканират автоматично при получаването им, проверяват се криптографски и се архивират във вашата система за управление на документи (DMS) с неизменяема одитна следа (протокол за проверка).
- Начин 2: Валидиране директно в платформата sproof sign Ако управлявате документи в централния си sproof sign Dashboard, достатъчно е едно просто кликване. Просто преместете курсора на мишката върху картата с подписа в редактора на документи. Инструментът веднага ще ви покаже в прозореца дали подписът е валиден, какъв стандарт за сигурност (EES, FES, QES) е приложен и кой доставчик на доверителни услуги е издал сертификата.
- Начин 3: Ръчна проверка чрез Adobe Acrobat Reader Благодарение на световния стандарт PAdES подписите с дългосрочна валидност (LTV – Long-Term Validation) могат да се проверяват и офлайн в Adobe Reader. За тази цел Adobe използва вградените данни за обновяване (CRL/OCSP), за да потвърди историческата валидност на подписа в продължение на десетилетия.
Сложете край на правната несигурност в управлението на документи
Автоматизирайте процесите си по проверка и предпазете компанията си от нарушения на нормативните изисквания. С sproof Sign и sproof Validate залагате на 100 % европейско решение – напълно независимо от САЩ, изцяло съобразено с Общия регламент за защита на данните (GDPR) и сертифицирано по ISO 27001.
Запишете се сега за безплатна демонстрация или тествайте sproof sign безплатно
Често задавани въпроси по темата
-
+–Каква е разликата между визуалния подпис и цифровия сертификат?Изображението на подписа в PDF файла служи единствено за визуална информация за човека. Юридически и технически обвързващо е единствено цифровото… повече
Изображението на подписа в PDF файла служи единствено за визуална информация за човека. Юридически и технически обвързващо е единствено цифровото сертификат, което е криптографски вградено в машинно четимите данни на PDF документа. Самото изображение без сертификат почти няма доказателствена сила като електронен подпис.
-
+–Може ли да се провери валидността на един цифров подпис, ако няма интернет връзка?Да, стига подписът да поддържа стандарта LTV (Long-Term Validation). При подписите с активирана LTV функция цялата необходима информация за отмяната… повече
Да, стига подписът да поддържа стандарта LTV (Long-Term Validation). При подписите с активирана LTV функция цялата необходима информация за отмяната на сертификата се вгражда директно в PDF файла още при подписването.
-
+–Какво означава, когато инструментът за проверка показва: „Идентичността на издателя е неизвестна“?Това съобщение се появява най-често, когато документът е подписан с инструмент, чийто основен сертификат не фигурира в списъка EUTL на… повече
Това съобщение се появява най-често, когато документът е подписан с инструмент, чийто основен сертификат не фигурира в списъка EUTL на ЕС или в локалното хранилище на сертификати на Windows/Adobe. Въпреки че целостта на документа може да е запазена, статутът му на юридически валиден „квалифициран електронен подпис“ (QES) се счита за невалиден.
-
+–Какво се случва, ако след подписването документът бъде леко променен (например чрез добавяне на номер на страница)?Веднага щом PDF-документ бъде променен дори и минимално след поставянето на цифров подпис, криптографската верига от печати се прекъсва. Всеки… повече
Веднага щом PDF-документ бъде променен дори и минимално след поставянето на цифров подпис, криптографската верига от печати се прекъсва. Всеки професионален инструмент за проверка незабавно сигнализира, че документът е бил манипулиран и че подписът следователно е невалиден. При sproof, благодарение на дълбокото вграждане в PDF файла, може да се проследи точно дали и какви промени са били направени впоследствие в нарушение на правилата.
-
+–Колко дълго е валиден и може да бъде проверен един цифров подпис?Стандартните подписи често не могат да бъдат валидирани без грешки след изтичането на валидността на съответния сертификат (обикновено след 2… повече
Стандартните подписи често не могат да бъдат валидирани без грешки след изтичането на валидността на съответния сертификат (обикновено след 2 до 3 години). Ето защо sproof sign последователно използва стандарта LTV (Long-Term Validation). При този подход информацията за отмяната (като CRL- или OCSP-списъци) се вгражда директно в документа в момента на подписването. По този начин валидността на подписа може да бъде проверена дори след десетилетия по начин, който гарантира надеждност при одит и е независим от издателя.
-
+–Възможно ли е да се проверят няколко цифрови подписа в един и същ документ независимо един от друг?Да. Когато няколко лица подписват един документ последователно (последователен работен процес), PDF файлът съдържа история на т.нар. версии. Инструментът за… повече
Да. Когато няколко лица подписват един документ последователно (последователен работен процес), PDF файлът съдържа история на т.нар. версии. Инструментът за проверка (например sproof Validate) проверява всеки подпис поотделно спрямо състоянието на документа, което е съществувало към момента на съответното подписване.
-
+–Защо докладът от проверката (аудиторската следа) е толкова важен за мениджърите по съответствие?Аудитният трак (протоколът за проверка) предоставя пълна и допустима в съда хронология на целия процес на подписване. Той документира кога… повече
Аудитният трак (протоколът за проверка) предоставя пълна и допустима в съда хронология на целия процес на подписване. Той документира кога и кой е прегледал, одобрил и подписал документа, включително използвания метод за верификация (например двуфакторна автентификация или квалифицирана електронна идентификация). Този протокол служи при одити или правни спорове като основно доказателство, че подписът е бил поставен по надлежен ред.




