| KÕIGE OLULISEM LÜHIDALT Mitte lihtsalt pildid: PDF-failis oleva allkirja visuaalne kujutis ei oma õiguslikku tähendust – otsustav on taustal olev krüptograafiline sertifikaat. Kontrolli kolm sammast: valideerimisel kontrollitakse alati allkirjastaja isikut, dokumendi võltsimatus (terviklikkus) ja sertifikaadi kehtivust. EUTL-tegur: kvalifitseeritud elektrooniline allkiri (QES) on Euroopa Liidus 100% ulatuses kohtulikult tunnustatud ainult siis, kui usaldusteenuse osutaja (TSP) on kantud ELi ametlikku usaldusnimekirja (EUTL). USA konkurentsieelis: paljud Ameerika Ühendriikide tööriistad ei läbi Euroopa kontrollitööriistade (nagu riiklik RTR-akrediteerimisteenistus) teste, kuna nad ei kinnita sertifikaatiahelaid piisavalt. |
Sissejuhatus: Miks „kontrollimine“ on digitaalsete protsesside tegelik alus
Paljudes ettevõtetes on lepingute digitaalne allkirjastamine juba ammu muutunud tavaks. Kuid kuigi allkirjastamisele kulutatakse tohutult palju energiat, jääb B2B-igapäevaelus sageli vastuseta üks põhimõtteline küsimus: kuidas kontrollite dokumente, mis allkirjastatuna teie ettevõttesse tagasi jõuavad?
Ettevõtted vahetavad iga päev tundlikke lepinguid – alates personaliosakonna töölepingutest ja tarnijate lepingutest kuni suuremahuliste finantstehinguteni. Kes usub, et skaneeritud allkiri või lihtne visuaalne paigutuspilt PDF-failis on õiguslikult kehtiv, võtab endale tohutu vastavus- ja vastutusriski. Ainult süstemaatiline krüptograafiline kontroll annab teile kohtus kehtiva kindluse, et teie lepingupartner on tõepoolest see, kelleks ta end esitab, ning et lepinguteksti ei ole hiljem võltsitud.
Tehniline anatoomia: mis juhtub, kui kontrollite digitaalset allkirja?
Kui kontrollite digitaalset allkirja (näiteks sproof Validatori, Acrobat Readeri, riiklike valideerimisteenuste, nagu Austria Rundfunk und Telekom Regulierungs-GmbH, või spetsiaalse tarkvara abil), toimub taustal kolmeastmeline protsess:
1. Dokumentide terviklikkuse kontrollimine (hash-väärtuste võrdlemine)
Allkirjastamisel tihendatakse kogu faili sisu algoritmi abil üheks unikaalseks digitaalseks sõrmejäljeks – nn hash-väärtuseks. Kontrollitööriist arvutab selle hash-väärtuse uuesti välja faili avamisel. Kui praegune hash-väärtus langeb täpselt kokku allkirjastamise ajal krüpteeritud väärtusega, on selge: dokumenti ei ole allkirjastamisest saadik ühegi märgiga muudetud.
| sproof Insight vs. USA turuliider: sproof sign kinnitab iga allkirja allkirjastamise hetkel otse ja õiguslikult kehtivalt krüptograafiliselt PDF-faili. USA pakkujad, nagu DocuSign, paigutavad allkirjad protsessi käigus sageli dokumendile vaid visuaalsete piltidena ja lisavad lõpliku koondpitseri alles lõpliku allalaadimise ajal. See raskendab kontrollitööriistadel hiljem täpselt kindlaks teha, millisel hetkel tehti milline konkreetne vormivälja muudatus. |
2. Digitaalse sertifikaadi valideerimine (identiteet)
Iga täiustatud (FES) või kvalifitseeritud elektrooniline allkiri (QES) on lahutamatult seotud digitaalsertifikaadiga. See sertifikaat toimib digitaalse isikutunnistusena. Kontrollitööriist eraldab sertifikaadi metaandmed, et välja lugeda allkirjastaja nimi, kinnitatud e-posti aadress ja väljastaja (usaldusteenuse osutaja, lühendatult TSP).
3. Võrdlus Euroopa Liidu usaldusnimekirjaga (EUTL)
Euroopa Liidus tagab maksimaalse tõendusjõu eIDAS-määrus. Rangelt reguleeritud valdkondades nõutakse standardina kvalifitseeritud elektroonilist allkirja (QES), kuna ainult see on õiguslikult 100% võrdväärne käsitsi kirjutatud allkirjaga. QES-i kontrollimisel võrdleb tarkvara allkirja väljastanud usaldusteenuse pakkujat (TSP) Euroopa Komisjoni ametliku usaldusnimekirjaga (EUTL). Kui teenusepakkujat selles nimekirjas ei ole akrediteeritud, kaotab allkiri oma QES-staatuse.
Miks mõned allkirjad Euroopa kontrollitööriistades „kehtetuks“ tunnistatakse
Euroopa õigusosakondades sageli esinev nähtus: Ameerika Ühendriikide tööriista abil allkirjastatud leping laaditakse üles RTR-i (Austria) ametlikku kontrolliteenusesse ja klassifitseeritakse kohe „kehtetuks“ või „tehniliselt kontrollimatuks“.
Sellel on üks põhjus: puuduv EUTL-akrediteering. Paljud ülemaailmsed hüperskaalajad kasutavad oma standardallkirjade jaoks oma sertifikaatiahelaid, mis on küll kommertsnimekirjades (nagu Adobe Approved Trust List – AATL) märgitud „roheliseks“, kuid ei vasta Euroopa riiklike järelevalveasutuste rangetele regulatiivsetele kriteeriumidele.
Samm-sammult: kuidas digitaalset allkirja praktikas kontrollida
Ettevõtetel on peamiselt kolm tõestatud viisi allkirjade auditeerimiseks sobival viisil valideerimiseks:
- 1. viis: automatiseeritud valideerimine tarkvara ja API kaudu (ettevõtetele) Suured organisatsioonid ei suuda sissetulevaid dokumente käsitsi kontrollida. Siin tulevad kasutusele sellised moodulid nagu sproof Validate. REST-API kaudu skannitakse lepinguid dokumentide saabumisel automaatselt, kontrollitakse krüptograafiliselt ja arhiveeritakse muutumatu auditeerimisjäljega (auditeerimisprotokoll) teie dokumendihaldussüsteemis (DMS).
- 2. viis: valideerimine otse sproof signi platvormis Kui haldate dokumente oma sproof signi keskse juhtpaneeli kaudu, piisab ühest klõpsust. Liigutage hiirt lihtsalt dokumendiredaktoris allkirja kaardi kohale. Tööriist näitab teile kohe hüpikaknas, kas allkiri on kehtiv, millist turvastandardit (EES, FES, QES) kasutatakse ja milline usaldusteenuse pakkuja on sertifikaadi väljastanud.
- 3. viis: Käsitsi kontrollimine Adobe Acrobat Readeriga Tänu ülemaailmsele PAdES-standardile saab LTV-toega (Long-Term Validation) allkirju kontrollida ka võrguühenduseta Adobe Readeris. Adobe kasutab selleks sisseehitatud kehtivusloendi andmeid (CRL/OCSP), et kinnitada allkirja ajalist kehtivust aastakümnete vältel.
Lõpetage õiguslik ebakindlus dokumentide haldamisel
Automatiseerige oma kinnitamisprotsessid ja kaitsege oma ettevõtet nõuete rikkumiste eest. sproof Signi ja sproof Validate’iga valite 100 % euroopaliku lahenduse – täiesti ilma seoseta USA-ga, täielikult GDPR-ile vastav ja ISO 27001 sertifitseeritud.
Leppige kohe kokku kohustusevaba tutvustuskohtumine või proovi sproof Signi tasuta
Korduma kippuvad küsimused sel teemal
-
+–Was ist der Unterschied zwischen der visuellen Unterschrift und dem digitalen Zertifikat?Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist… rohkem
Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist ausschließlich das digitale Zertifikat, das in den maschinenlesbaren Daten des PDF-Dokuments kryptografisch verankert ist. Ein reines Bild ohne Zertifikat bietet kaum Beweiskraft als elektronische Unterschrift.
-
+–Kann eine digitale Signatur geprüft werden, wenn keine Internetverbindung besteht?Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt… rohkem
Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt beim Signieren in das PDF eingebettet.
-
+–Was bedeutet es, wenn ein Prüftool meldet: „Identität des Ausstellers unbekannt“?Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der… rohkem
Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der EU oder im lokalen Windows/Adobe-Zertifikatsspeicher hinterlegt ist. Die Integrität des Dokuments kann zwar intakt sein, der Status als rechtssichere “Qualifizierte Elektronische Signatur” (QES) ist damit jedoch hinfällig.
-
+–Was passiert, wenn ein Dokument nach dem Signieren leicht verändert wird (z. B. durch das Hinzufügen einer Seitenzahl)?Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes… rohkem
Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes professionelle Prüftool meldet sofort, dass das Dokument manipuliert wurde und die Signatur somit ungültig ist. Bei sproof ist durch die tiefe Verankerung im PDF genau nachvollziehbar, ob und welche Änderungen im Nachgang vorschriftswidrig vorgenommen wurden.
-
+–Wie lang ist eine digitale Signatur gültig und überprüfbar?Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei… rohkem
Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei validiert werden. sproof Sign nutzt daher konsequent den LTV-Standard (Long-Term Validation). Hierbei werden die Sperrinformationen (wie CRL- oder OCSP-Listen) zum Zeitpunkt der Unterschrift direkt in das Dokument eingebettet. Dadurch lässt sich die Gültigkeit der Signatur auch noch nach Jahrzehnten revisionssicher und unabhängig vom Aussteller prüfen.
-
+–Kann man mehrere digitale Signaturen auf einem einzigen Dokument unabhängig voneinander prüfen?Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool… rohkem
Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool (z.B. sproof Validate) validiert jede Signatur einzeln für den Zustand des Dokuments, der zum jeweiligen Unterzeichnungszeitpunkt vorlag.
-
+–Warum ist der Prüfbericht (Audit Trail) für Compliance-Manager:innen so wichtig?Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben… rohkem
Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben und signiert hat, inklusive der genutzten Verifikationsmethode (z. B. Zwei-Faktor-Authentifizierung oder qualifizierte eID). Dieses Protokoll dient bei Audits oder rechtlichen Streitigkeiten als primärer Beweis dafür, dass die Signatur ordnungsgemäß zustande gekommen ist.




