| NAJDÔLEŽITEJŠIE INFORMÁCIE V SKRATKE Nie sú to len obrázky: Vizuálny obraz podpisu v súbore PDF nemá žiadnu právnu hodnotu – rozhodujúce je kryptografické osvedčenie v pozadí. Tri piliere overovania: Pri validácii sa vždy overuje totožnosť podpisujúcej osoby, neporušenosť dokumentu (integrita) a platnosť certifikátu. Faktor EUTL: Kvalifikovaný elektronický podpis (QES) je v celoeurópskom meradle 100 % súdne uznávaný len vtedy, ak je poskytovateľ dôveryhodných služieb (TSP) zaradený do oficiálneho zoznamu dôveryhodných subjektov EÚ (EUTL). Nevýhoda v porovnaní s USA: Mnohé americké nástroje zlyhávajú pri testovaní európskymi kontrolnými nástrojmi (ako je štátna akreditačná služba RTR), pretože nedostatočne zakotvujú reťazce certifikátov. |
Úvod: Prečo je „kontrola“ skutočným základom digitálnych procesov
V mnohých podnikoch je digitálne podpisovanie zmlúv už dávno bežnou praxou. Hoci sa do samotného podpisovania vkladá obrovské množstvo energie, jedna zásadná otázka v každodennom živote B2B často zostáva nezodpovedaná: Ako overujete dokumenty, ktoré sa po podpísaní vracajú späť do vašej spoločnosti?
Spoločnosti si každý deň vymieňajú citlivé zmluvy – od pracovných zmlúv v personálnom oddelení cez dohody s dodávateľmi až po rozsiahle finančné transakcie. Kto sa v tejto súvislosti spolieha na to, že naskenovaný podpis alebo jednoduchý vizuálny zástupný obrázok v súbore PDF je právne platný, vystavuje sa obrovskému riziku v oblasti dodržiavania predpisov a zodpovednosti. Iba systematická kryptografická verifikácia vám poskytuje právne istotu, že váš zmluvný partner je skutočne tým, za koho sa vydáva, a že text zmluvy nebol dodatočne zmanipulovaný.
Technická anatómia: Čo sa deje pri overovaní digitálneho podpisu?
Keď overujete digitálny podpis (napríklad prostredníctvom nástroja sproof Validator, programu Acrobat Reader, štátnych validačných služieb, ako je Rundfunk und Telekom Regulierungs-GmbH v Rakúsku, alebo špecializovaného softvéru), v pozadí prebieha trojfázový proces:
1. Overenie integrity dokumentov (porovnanie hashových hodnôt)
Pri podpisovaní sa celý obsah súboru pomocou algoritmu skomprimuje do jedinečného digitálneho odtlačku – tzv. hashovej hodnoty. Kontrolný nástroj túto hash hodnotu pri otvorení súboru vypočíta nanovo. Ak sa aktuálna hash hodnota presne zhoduje s hodnotou zašifrovanou v čase podpisu, je jasné, že dokument nebol od podpisu zmenený ani o jediný znak.
| sproof Insight vs. líder na americkom trhu: sproof sign priamo a právne platne kryptograficky zakotví každý podpis v PDF v okamihu podpísania. Americkí poskytovatelia, ako je DocuSign, často umiestňujú podpisy počas procesu iba ako vizuálne obrázky na dokumente a konečnú súhrnnú pečiatku pridávajú až pri záverečnom stiahnutí. To následne sťažuje kontrolným nástrojom presne zistiť, kedy bola vykonaná konkrétna zmena v poli formulára. |
2. Overenie digitálneho certifikátu (totožnosť)
Každý pokročilý (FES) alebo kvalifikovaný elektronický podpis (QES) je neoddeliteľne spojený s digitálnym certifikátom. Tento certifikát funguje ako digitálny preukaz totožnosti. Kontrolný nástroj extrahuje metadáta certifikátu, aby zistil meno podpisujúceho, overenú e-mailovú adresu a vydavateľa (poskytovateľa dôveryhodných služieb, skrátene TSP).
3. Porovnanie so zoznamom dôveryhodných subjektov Európskej únie (EUTL)
O maximálnu dôkaznú silu v rámci Európy sa stará nariadenie eIDAS. Prísne regulované odvetvia štandardne vyžadujú QES, pretože len ten je z právneho hľadiska na 100 % rovnocenný s vlastnoručným podpisom. Pri overovaní QES softvér porovnáva poskytovateľa služieb (TSP), ktorý podpis vydal, s oficiálnym zoznamom dôveryhodných subjektov Európskej komisie (EUTL). Ak poskytovateľ nie je v tomto zozname akreditovaný, podpis stráca svoj status QES.
Prečo sú niektoré podpisy v európskych overovacích nástrojoch označené za „neplatné“
Častý jav v európskych právnych oddeleniach: Zmluva podpísaná prostredníctvom amerického nástroja sa nahraje do oficiálnej kontrolnej služby RTR (Rakúsko) a ihneď sa označí za „neplatnú“ alebo „technicky neoveriteľnú “.
Existuje na to dôvod: chýbajúca akreditácia EUTL. Mnohé globálne hyperscalerové spoločnosti používajú pre svoje štandardné podpisy vlastné reťazce certifikátov, ktoré sú síce v komerčných zoznamoch (ako napríklad Adobe Approved Trust List – AATL) označené ako „zelené“, nespĺňajú však prísne regulačné kritériá štátnych európskych dozorných orgánov.
Krok za krokom: Ako v praxi overiť digitálny podpis
Pre podniky existujú v podstate tri osvedčené spôsoby, ako overiť platnosť podpisov spôsobom, ktorý spĺňa požiadavky na auditovateľnosť:
- Spôsob 1: Automatizovaná validácia prostredníctvom softvéru a API (pre veľké podniky) Veľké organizácie nemôžu prichádzajúce dokumenty kontrolovať ručne. Tu sa využívajú moduly ako sproof Validate. Prostredníctvom REST-API sa zmluvy pri prijatí automaticky naskenujú, kryptograficky overia a archivujú sa vo vašom systéme správy dokumentov (DMS) spolu s nezmeniteľným audit trailom (kontrolným protokolom).
- Spôsob 2: Overenie priamo na platforme sproof sign Ak spravujete dokumenty vo svojom centrálnom riadiacom paneli sproof sign, stačí jedno kliknutie. Jednoducho najeďte kurzorom myši na kartu s podpisom v editore dokumentov. Nástroj vám ihneď v prekrývajúcom okne ukáže, či je podpis platný, aký bezpečnostný štandard (EES, FES, QES) spĺňa a ktorý poskytovateľ dôveryhodných služieb certifikát vydal.
- Spôsob 3: Ručná kontrola prostredníctvom programu Adobe Acrobat Reader Vďaka celosvetovému štandardu PAdES je možné podpisy s podporou LTV (Long-Term Validation) overovať aj offline v programe Adobe Reader. Spoločnosť Adobe na tento účel využíva vložené údaje o revalidácii (CRL/OCSP), aby potvrdila historickú platnosť podpisu v priebehu desiatok rokov.
Skoncujte s právnou neistotou v oblasti správy dokumentov
Automatizujte svoje overovacie procesy a chráňte svoju spoločnosť pred porušením predpisov. S nástrojmi sproof Sign a sproof Validate sa môžete spoľahnúť na 100 % európske riešenie – úplne bez prepojenia s USA, plne v súlade s nariadením GDPR a certifikované podľa normy ISO 27001.
Dohodnite si teraz nezáväznú ukážku alebo si bezplatne vyskúšajte sproof sign
Často kladené otázky k tejto téme
-
+–Was ist der Unterschied zwischen der visuellen Unterschrift und dem digitalen Zertifikat?Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist… viac
Das Bild der Unterschrift auf dem PDF dient rein der optischen Information für den Menschen. Rechtlich und technisch bindend ist ausschließlich das digitale Zertifikat, das in den maschinenlesbaren Daten des PDF-Dokuments kryptografisch verankert ist. Ein reines Bild ohne Zertifikat bietet kaum Beweiskraft als elektronische Unterschrift.
-
+–Kann eine digitale Signatur geprüft werden, wenn keine Internetverbindung besteht?Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt… viac
Ja, sofern die Unterschrift den Standard LTV (Long-Term Validation) unterstützt. Bei LTV-aktivierten Signaturen werden alle notwendigen Sperrinformationen des Zertifikats direkt beim Signieren in das PDF eingebettet.
-
+–Was bedeutet es, wenn ein Prüftool meldet: „Identität des Ausstellers unbekannt“?Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der… viac
Diese Meldung erscheint meist dann, wenn das Dokument mit einem Tool signiert wurde, dessen Stammzertifikat nicht in der EUTL-Liste der EU oder im lokalen Windows/Adobe-Zertifikatsspeicher hinterlegt ist. Die Integrität des Dokuments kann zwar intakt sein, der Status als rechtssichere “Qualifizierte Elektronische Signatur” (QES) ist damit jedoch hinfällig.
-
+–Was passiert, wenn ein Dokument nach dem Signieren leicht verändert wird (z. B. durch das Hinzufügen einer Seitenzahl)?Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes… viac
Sobald ein PDF-Dokument nach dem Aufbringen einer digitalen Signatur auch nur minimal verändert wird, bricht die kryptografische Siegelkette auf. Jedes professionelle Prüftool meldet sofort, dass das Dokument manipuliert wurde und die Signatur somit ungültig ist. Bei sproof ist durch die tiefe Verankerung im PDF genau nachvollziehbar, ob und welche Änderungen im Nachgang vorschriftswidrig vorgenommen wurden.
-
+–Wie lang ist eine digitale Signatur gültig und überprüfbar?Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei… viac
Standardmäßige Signaturen können nach dem Ablauf des zugrunde liegenden Zertifikats (meist nach 2 bis 3 Jahren) oft nicht mehr fehlerfrei validiert werden. sproof Sign nutzt daher konsequent den LTV-Standard (Long-Term Validation). Hierbei werden die Sperrinformationen (wie CRL- oder OCSP-Listen) zum Zeitpunkt der Unterschrift direkt in das Dokument eingebettet. Dadurch lässt sich die Gültigkeit der Signatur auch noch nach Jahrzehnten revisionssicher und unabhängig vom Aussteller prüfen.
-
+–Kann man mehrere digitale Signaturen auf einem einzigen Dokument unabhängig voneinander prüfen?Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool… viac
Ja. Wenn mehrere Personen ein Dokument nacheinander unterzeichnen (sequentieller Workflow), enthält das PDF eine Historie von sogenannten Revisionsständen. Ein Prüftool (z.B. sproof Validate) validiert jede Signatur einzeln für den Zustand des Dokuments, der zum jeweiligen Unterzeichnungszeitpunkt vorlag.
-
+–Warum ist der Prüfbericht (Audit Trail) für Compliance-Manager:innen so wichtig?Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben… viac
Der Audit Trail (Prüfprotokoll) liefert die lückenlose, gerichtsverwertbare Historie des gesamten Signaturprozesses. Er dokumentiert, wann wer das Dokument eingesehen, freigegeben und signiert hat, inklusive der genutzten Verifikationsmethode (z. B. Zwei-Faktor-Authentifizierung oder qualifizierte eID). Dieses Protokoll dient bei Audits oder rechtlichen Streitigkeiten als primärer Beweis dafür, dass die Signatur ordnungsgemäß zustande gekommen ist.




