- Ještě před prvním jednáním s dodavatelem rozhodněte, jaké typy podpisů vaše smlouvy opravdu potřebují.
- Regulátoři a protistrany často odpověď diktují — ověřte si to, nehádejte.
- Poskytovatele hodnoťte podle pokrytí, tření při ověřování, integrace, reálných nákladů a bezpečnosti.
- Zavádějte fázově, nastavte podpisové pravomoci a nikdy nešetřete na bezpečnostní vrstvě.
Špatná zpráva: existuje dost špatných způsobů, jak na to jít, abyste je objevili, pokud nebudete opatrní. Tady je přímá cesta rozhodnutími, na kterých skutečně záleží — šest stejných kroků, které v podobném pořadí udělal každý úspěšný tým.
Pochopte, co si vlastně kupujete
Ještě než budete mluvit s dodavateli a žádat o dema, odpovězte si interně: jaké typy podpisů vaše firma skutečně potřebuje?
Projděte si své nejběžnější smlouvy. Pracovní smlouvy? Pravděpodobně potřebujete QES. Komerční nájemní smlouvy? AES funguje bezvadně. NDA mezi firmami? AES je standard. Interní schválení? SES stačí, nebo upřímně — můžete použít jen pole pro podpis v existujícím systému.
Většina firem potřebuje AES jako základ. Některé smlouvy občas vyžadují QES. Jen velmi málo firem reálně potřebuje SES, protože je technicky platný, ale prakticky bezcenný pro cokoli, kde jsou externí strany.
Tento požadavek si sepište. Zdokumentujte jej. Získejte souhlas právního oddělení, provozu a financí. Protože toto rozhodnutí ovlivňuje vše další: výběr poskytovatele, složitost implementace, cenovou strukturu i to, jaké smlouvy můžete vůbec podepsat.
Ověřte si právní požadavky
Než zvolíte dodavatele, ověřte, co vyžadují regulátoři a standardy vašeho odvětví.
Jste v bankovnictví, pojišťovnictví, zdravotnictví nebo jiném regulovaném sektoru? Váš regulátor pravděpodobně má konkrétní požadavky na typ podpisu. Ověřte si to. Nehádejte. Cena za špatný odhad je mnohem vyšší než strávit odpoledne čtením regulačních pokynů.
Budou vaši klienti nebo protistrany pravděpodobně požadovat konkrétní typy podpisů? Zeptejte se jich. Pokud prodáváte velkým firmám, někdo nakonec bude mít požadavek. Je lepší to vědět už teď.
Existují smlouvy, které podepisujete a které výslovně stanoví požadavky na podpis? Přečtěte si je. Některá NDA, některé servisní smlouvy a některé dodavatelské smlouvy výslovně uvádějí „kvalifikovaný elektronický podpis“. Máte tedy požadavky zakotvené v právních dokumentech.
Tento krok je zásadní, protože vám zabrání koupit systém, který nesplní vaše povinnosti. Zavedete špatný typ podpisu, za šest měsíců to někdo označí jako non-compliant a už předěláváte smlouvy.
“Většina firem potřebuje AES jako základ. Některé občas QES. Jen velmi málo firem reálně potřebuje SES.”
Pečlivě vyhodnoťte poskytovatele
Většina dodavatelů digitálních podpisů vám řekne, že jejich řešení je bezpečné, legální a snadno použitelné. V právní části mají technicky pravdu (eIDAS je široký). V části o snadnosti často lžou.
Co skutečně záleží:
- 1Pokrytí typů podpisů
Nabízí poskytovatel typy podpisů, které vaše firma potřebuje? Pokud potřebujete AES, dokáže vám to poskytnout? Pokud potřebujete QES, má vztah s kvalifikovaným poskytovatelem důvěryhodných služeb? Toto není volitelné.
- 2Tření při ověřování identity
Jaký je proces ověření identity pro každý typ podpisu? Jak dlouho trvá? Kolik tření vytváří u vašich podepisujících? Pokud vaše QES vyžaduje dvouhodinovou videoschůzku, budete ho používat méně často.
- 3Integrace s vaším stackem
Dokáže se systém propojit s vaším CRM, správou smluv nebo dokumentovým workflow? Pokud musíte dokumenty exportovat, někam je poslat k podpisu a zase je importovat, přidali jste tření místo toho, abyste ho odstranili.
- 4Reálná nákladová struktura
Někteří účtují za podpis, někteří za uživatele za měsíc, někteří podle objemu dokumentů. Namapujte to na svůj objem podpisů a spočítejte reálné náklady za rok.
- 5Bezpečnostní přístup
Jsou dokumenty šifrovány při přenosu i v úložišti? Jaký je audit trail? Dostáváte detailní záznamy, kdo, co a kdy podepsal? Na tom záleží z hlediska compliance a sporů.
swipesign nabízí AES a QES bez SES divadla. Záměrně vám neprodáváme typ podpisu, který je technicky legální, ale prakticky bezcenný. Bezpečnost je zabudovaná od začátku. A integrace je navržená pro reálné workflow, ne pro „ten jeden krát, kdy jsme něco podepsali“.
Naplánujte implementaci
Nepřehazujte jen vypínač s očekáváním, že všichni začnou používat e-podpisy. Potřebujete plán zavedení.
Začněte s jedním typem smlouvy. Vyberte něco s relativně nízkými sázkami. Pokud jste účetní firma, začněte třeba objednávkami služeb. Pokud jste leasingová společnost, začněte smlouvami o obnově. Pokud jste v obchodu, začněte objednávkami. Něco jednoduchého, co děláte často.
Zdokumentujte proces. Jak se dokument dostane k podepisujícímu? Jak podepíše? Kam podepsaný dokument putuje? Co následuje v workflow? Integruje se to s vaším systémem správy dokumentů? Spouští to automaticky další krok?
Zaškolte nejprve malou skupinu. Ne všechny. Jen lidi, kteří tyto smlouvy zpracovávají. Nechte je projít celým procesem. Najděte, co se rozbije. Opravte to, než to rozšíříte.
Pak expandujte. Přidejte další typ smlouvy. Vylaďte proces. Budujte institucionální know-how.
Jasné standardy bezpečnosti a compliance
Jakmile je systém v provozu, potřebujete pravidla.
Které dokumenty se podepisují digitálně? Které stále potřebují podpis inkoustem? (Ano, některé smlouvy mohou ze specifických právních důvodů vyžadovat vlastnoruční podpis. Ověřte si to.) Kdo je oprávněn co podepsat? Jaký je požadavek na audit trail? Jak dlouho podepsané dokumenty uchováváte?
Stanovte podpisové pravomoci. Nenechte každého zaměstnance podepisovat smlouvy. Určete, kdo může co podepsat. Zdokumentujte to. Chrání vás to před omyly a před tím, aby zaměstnanci náhodou nezavázali firmu tam, kam nechce.
Nastavte auditní logování. Musíte umět odpovědět „kdo podepsal tento dokument a kdy?“ i za pět let. Většinu této technické stránky řeší poskytovatel, ale musíte to nakonfigurovat a ověřit, že to funguje.
Rozhodněte o retenci dokumentů. Jak dlouho podepsané dokumenty uchováváte? V jakém formátu? Ukládáte si metadata digitálního podpisu nebo jen podepsané PDF? Předpisy se liší, ale obecně musíte záznamy uchovávat dost dlouho na obhájení jakéhokoli sporu, který by ze smlouvy mohl vzniknout.
Nešetřete na bezpečnosti
Cenový rozdíl mezi AES a QES není velký. Rozdíl mezi skutečným poskytovatelem a dodavatelem, který vám prodává SES divadlo, je však obrovský, jenže obráceně. Platíte stejnou částku za slabší ochranu.
Nevybírejte poskytovatele podle nejnižší ceny za podpis. Vybírejte podle toho, zda nabízí typy podpisů, které potřebujete, zda je bezpečnost solidní a zda integrace nepřidává tření do vašeho skutečného workflow.
Bezpečnostní selhání digitálních podpisových systémů bývají drahá. Kompromitovaný poskytovatel, uniklý podpisový klíč, zadní vrátka v systému: to vše vytváří problémy, které stojí mnohem víc, než jste ušetřili na poplatku za podpis.
Návrat k realitě
Začít s e-podpisy je přímočaré, když víte, co potřebujete. Většina firem potřebuje AES. Některé občas QES. Všichni těží ze systému, který se čistě integruje do stávajících workflow.
Chyby se dějí, když přeskočíte úvodní rozhodnutí (co vlastně potřebujeme?), uspěcháte implementaci (každý na to přijde) nebo šetříte na bezpečnosti (jak zlé to může být?).
Nic z toho vlastně není komplikované. Chce to jen přemýšlet, než začnete jednat. Což shodou okolností je přesně to, co dobré smlouvy stejně vyžadují.
Začněte s jedním typem smlouvy. Odtud expandujte.
swipesign nabízí AES a QES bez SES divadla — skutečné ověření identity, šifrované podpisy a auditní stopy odolné proti manipulaci od začátku.