| TÄRKEIMMÄT ASIAT LYHYESTI Ei pelkkiä kuvia: PDF-tiedostossa näkyvä allekirjoituksen kuva ei ole oikeudellisesti merkityksellinen – ratkaisevaa on taustalla oleva kryptografinen varmenne. Tarkastuksen kolme pilaria: Validoinnissa tarkistetaan aina allekirjoittajan henkilöllisyys, asiakirjan aitous (integroituus) ja varmenteen voimassaolo. EUTL-tekijä: Pätevä sähköinen allekirjoitus (QES) tunnustetaan oikeudellisesti 100-prosenttisesti koko Euroopassa vain, jos luottamuspalveluntarjoaja (TSP) on EU:n virallisella luottamusluettelolla (EUTL). Yhdysvaltojen kilpailuhaitta: Monet yhdysvaltalaiset työkalut eivät läpäise eurooppalaisia testityökaluja (kuten valtion RTR-akkreditointipalvelua), koska ne eivät ankkuroi varmenneketjuja riittävällä tavalla. |
Johdanto: Miksi ”tarkastaminen” on digitaalisten prosessien todellinen perusta
Monissa yrityksissä sopimusten digitaalinen allekirjoittaminen on jo kauan ollut vakiintunut käytäntö. Vaikka allekirjoitusten hankkimiseen panostetaan valtavasti energiaa, yksi perustavanlaatuinen kysymys jää usein vastaamatta B2B-arkipäivässä: Miten tarkistatte asiakirjat, jotka palautuvat allekirjoitettuina yritykseenne?
Yritykset vaihtavat päivittäin arkaluonteisia sopimuksia – henkilöstöhallinnon työsopimuksista toimittajasopimuksiin ja suurten volyymien rahoitustransaktioihin. Jos luotat siihen, että skannattu allekirjoitus tai pelkkä visuaalinen paikkamerkki PDF-tiedostossa on oikeudellisesti pätevä, otat valtavan compliance- ja vastuuvastuun riskin. Vasta järjestelmällinen, kryptografinen varmennus antaa teille oikeudellisesti pitävän varmuuden siitä, että sopimusosapuolenne on todellakin se, joksi hän väittää olevansa, ja että sopimustekstiä ei ole jälkikäteen manipuloitu.
Tekninen anatomia: Mitä tapahtuu, kun tarkistat digitaalisen allekirjoituksen?
Kun tarkistat digitaalisen allekirjoituksen (esimerkiksi sproof Validatorin, Acrobat Readerin, valtion validointipalvelujen, kuten Itävallan Rundfunk und Telekom Regulierungs-GmbH:n, tai erikoistuneen ohjelmiston avulla), taustalla tapahtuu kolmivaiheinen prosessi:
1. Asiakirjojen eheyden tarkistaminen (hash-arvojen vertailu)
Allekirjoituksen yhteydessä algoritmi tiivistää koko tiedoston sisällön ainutlaatuiseksi digitaaliseksi sormenjäljeksi – niin sanotuksi hash-arvoksi. Tarkistustyökalu laskee tämän hash-arvon uudelleen tiedostoa avattaessa. Jos nykyinen hash-arvo vastaa tarkalleen allekirjoitushetkellä salattua arvoa, voidaan todeta, että asiakirjaan ei ole tehty yhtään merkkiä koskevia muutoksia allekirjoituksen jälkeen.
| sproof Insight vs. Yhdysvaltain markkinajohtaja: sproof sign kiinnittää jokaisen allekirjoituksen allekirjoitushetkellä suoraan ja oikeudellisesti pätevällä kryptografisella menetelmällä PDF-tiedostoon. Yhdysvaltalaiset palveluntarjoajat, kuten DocuSign, sijoittavat allekirjoitukset prosessin aikana usein vain visuaalisina kuvina asiakirjaan ja lisäävät lopullisen yhdistelmäleiman vasta lopullisen latauksen yhteydessä. Tämä vaikeuttaa tarkastustyökalujen jälkikäteen tehtävää tarkkaa selvittämistä siitä, milloin mikäkin konkreettinen lomakekentän muutos on tehty. |
2. Digitaalisen varmenteen vahvistaminen (tunnistautuminen)
Jokainen edistynyt (FES) tai pätevä sähköinen allekirjoitus (QES) on erottamattomasti sidottu digitaaliseen varmenteeseen. Tämä varmenne toimii digitaalisena henkilötodistuksena. Tarkistustyökalu poimii varmenteen metatiedot tunnistaakseen allekirjoittajan nimen, vahvistetun sähköpostiosoitteen ja varmenteen myöntäjän (Trust Service Provider, lyhennettynä TSP).
3. Vertailu Euroopan unionin luotettujen varmenteiden luetteloon (EUTL)
eIDAS-asetus takaa todistusvoiman maksimoinnin Euroopan alueella. Tiukasti säännellyillä toimialoilla vaaditaan vakiona pätevää sähköistä allekirjoitusta (QES), sillä vain se on oikeudellisesti 100-prosenttisesti rinnastettavissa käsinkirjoitettuun allekirjoitukseen. QES-allekirjoitusta tarkistettaessa ohjelmisto vertaa allekirjoituksen myöntäneen palveluntarjoajan (TSP) tietoja Euroopan komission viralliseen luottamusluetteloon (EUTL). Jos palveluntarjoajaa ei ole akkreditoitu luetteloon, allekirjoitus menettää QES-statuksensa.
Miksi jotkut allekirjoitukset luokitellaan eurooppalaisissa tarkastustyökaluissa ”pätemättömiksi”
Eurooppalaisissa lakiosastoissa yleinen ilmiö: Yhdysvaltalaisella työkalulla allekirjoitettu sopimus ladataan RTR:n (Itävalta) viralliseen tarkastuspalveluun, ja se luokitellaan välittömästi ”pätemättömäksi” tai ”teknisesti todennettavaksi ”.
Tähän on syy: EUTL-akkreditoinnin puuttuminen. Monet globaalit hyperscalerit käyttävät vakiomerkinnöissään omia varmenneketjujaan, jotka on kyllä merkitty kaupallisissa luetteloissa (kuten Adobe Approved Trust List – AATL) ”vihreiksi”, mutta jotka eivät täytä eurooppalaisten valtion valvontaviranomaisten asettamia tiukkoja sääntelykriteerejä.
Askel askeleelta: Näin tarkistat digitaalisen allekirjoituksen käytännössä
Yrityksillä on pääasiassa kolme hyväksi todettua tapaa varmentaa allekirjoitukset tilintarkastuskestävällä tavalla:
- Tapa 1: Automaattinen validointi ohjelmiston ja API:n avulla (yrityksille) Suuret organisaatiot eivät voi tarkistaa saapuvia asiakirjoja manuaalisesti. Tällöin käytetään sproof Validate -kaltaisia moduuleja. REST-API:n avulla sopimukset skannataan automaattisesti asiakirjojen saapuessa, ne tarkistetaan kryptografisesti ja arkistoidaan muuttumattomalla tarkastusjäljellä (audit trail) asiakirjanhallintajärjestelmäänne (DMS).
- Tapa 2: Vahvistus suoraan sproof sign -alustalla Jos hallinnoit asiakirjoja keskitetyssä sproof sign -hallintapaneelissasi, riittää yksi yksinkertainen napsautus. Vie hiiri asiakirjaeditorissa olevan allekirjoituskortin päälle. Työkalu näyttää välittömästi päällekkäisikkunassa, onko allekirjoitus pätevä, mikä turvallisuusstandardi (EES, FES, QES) on käytössä ja mikä luottamuspalveluntarjoaja on myöntänyt varmenteen.
- Tapa 3: Manuaalinen tarkistus Adobe Acrobat Readerin avulla Maailmanlaajuisen PAdES-standardin ansiosta LTV-yhteensopivat (Long-Term Validation) allekirjoitukset voidaan tarkistaa myös offline-tilassa Adobe Readerissa. Adobe käyttää tähän upotettuja varmentajan tietoja (CRL/OCSP) vahvistaakseen allekirjoituksen historiallisen voimassaolon jopa vuosikymmenien ajalta.
Lopettakaa asiakirjojen hallintaan liittyvät oikeudelliset epävarmuudet
Automatisoi vahvistusprosessisi ja suojaa yritystäsi säännösten noudattamatta jättämiseltä. sproof sign- ja sproof Validate -ratkaisujen avulla voit luottaa 100-prosenttisesti eurooppalaiseen ratkaisuun – ilman minkäänlaista yhteyttä Yhdysvaltoihin, täysin GDPR-vaatimusten mukaisena ja ISO 27001 -sertifioituna.
Varaa nyt sitoumukseton esittelyaika tai kokeile sproof signia ilmaiseksi
Aiheeseen liittyvät usein kysytyt kysymykset
-
+–Was ist der Unterschied zwischen der visuellen Unterschrift und dem digitalen Zertifikat?Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist… enemmän
Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist ausschließlich das digitale Zertifikat, das in den maschinenlesbaren Daten des PDF-Dokuments kryptografisch verankert ist. Ein reines Bild ohne Zertifikat bietet kaum Beweiskraft als elektronische Unterschrift.
-
+–Kann eine digitale Signatur geprüft werden, wenn keine Internetverbindung besteht?Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt… enemmän
Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt beim Signieren in das PDF eingebettet.
-
+–Was bedeutet es, wenn ein Prüftool meldet: „Identität des Ausstellers unbekannt“?Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der… enemmän
Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der EU oder im lokalen Windows/Adobe-Zertifikatsspeicher hinterlegt ist. Die Integrität des Dokuments kann zwar intakt sein, der Status als rechtssichere “Qualifizierte Elektronische Signatur” (QES) ist damit jedoch hinfällig.
-
+–Was passiert, wenn ein Dokument nach dem Signieren leicht verändert wird (z. B. durch das Hinzufügen einer Seitenzahl)?Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes… enemmän
Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes professionelle Prüftool meldet sofort, dass das Dokument manipuliert wurde und die Signatur somit ungültig ist. Bei sproof ist durch die tiefe Verankerung im PDF genau nachvollziehbar, ob und welche Änderungen im Nachgang vorschriftswidrig vorgenommen wurden.
-
+–Wie lang ist eine digitale Signatur gültig und überprüfbar?Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei… enemmän
Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei validiert werden. sproof Sign nutzt daher konsequent den LTV-Standard (Long-Term Validation). Hierbei werden die Sperrinformationen (wie CRL- oder OCSP-Listen) zum Zeitpunkt der Unterschrift direkt in das Dokument eingebettet. Dadurch lässt sich die Gültigkeit der Signatur auch noch nach Jahrzehnten revisionssicher und unabhängig vom Aussteller prüfen.
-
+–Kann man mehrere digitale Signaturen auf einem einzigen Dokument unabhängig voneinander prüfen?Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool… enemmän
Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool (z.B. sproof Validate) validiert jede Signatur einzeln für den Zustand des Dokuments, der zum jeweiligen Unterzeichnungszeitpunkt vorlag.
-
+–Warum ist der Prüfbericht (Audit Trail) für Compliance-Manager:innen so wichtig?Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben… enemmän
Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben und signiert hat, inklusive der genutzten Verifikationsmethode (z. B. Zwei-Faktor-Authentifizierung oder qualifizierte eID). Dieses Protokoll dient bei Audits oder rechtlichen Streitigkeiten als primärer Beweis dafür, dass die Signatur ordnungsgemäß zustande gekommen ist.




