Přejít na obsah
swipesign

Začínáme s elektronickými podpisy: praktická cestovní mapa

Právní oddělení chce elektronické podpisy zavést do příštího čtvrtletí. Váš ředitel chce, aby to bylo rychlejší a levnější. Manažer provozu chce systém, který nevyžaduje školit každého dvakrát. Kolega z IT chce jediné: aby to skutečně fungovalo.

Dobrá zpráva: nemusí to být složité. Špatná zpráva: existuje dost špatných způsobů, jak na to jít, abyste je objevili, pokud nebudete opatrní. Tady je přímá cesta rozhodnutími, na kterých skutečně záleží.

PrůvodceZdroje/Blog

Krok 1: pochopte, co si vlastně kupujete

Ještě než budete mluvit s dodavateli a žádat o dema, odpovězte si interně: jaké typy podpisů vaše firma skutečně potřebuje?

Projděte si své nejběžnější smlouvy. Pracovní smlouvy? Pravděpodobně potřebujete QES. Komerční nájemní smlouvy? AES funguje bezvadně. NDA mezi firmami? AES je standard. Interní schválení? SES stačí, nebo upřímně — můžete použít jen pole pro podpis v existujícím systému.

Většina firem potřebuje AES jako základ. Některé smlouvy občas vyžadují QES. Jen velmi málo firem reálně potřebuje SES, protože je technicky platný, ale prakticky bezcenný pro cokoli, kde jsou externí strany.

Tento požadavek si sepište. Zdokumentujte jej. Získejte souhlas právního oddělení, provozu a financí. Protože toto rozhodnutí ovlivňuje vše další: výběr poskytovatele, složitost implementace, cenovou strukturu i to, jaké smlouvy můžete vůbec podepsat.

Pokud tento krok přeskočíte, skončíte s řešením, které je buď příliš slabé pro vaše právní potřeby, nebo příliš drahé pro vaše skutečné případy použití.

Krok 2: ověřte si právní požadavky

Než zvolíte dodavatele, ověřte, co vyžadují regulátoři a standardy vašeho odvětví.

Jste v bankovnictví, pojišťovnictví, zdravotnictví nebo jiném regulovaném sektoru? Váš regulátor pravděpodobně má konkrétní požadavky na typ podpisu. Ověřte si to. Nehádejte. Cena za špatný odhad je mnohem vyšší než strávit odpoledne čtením regulačních pokynů.

Budou vaši klienti nebo protistrany pravděpodobně požadovat konkrétní typy podpisů? Zeptejte se jich. Pokud prodáváte velkým firmám, někdo nakonec bude mít požadavek. Je lepší to vědět už teď.

Existují smlouvy, které podepisujete a které výslovně stanoví požadavky na podpis? Přečtěte si je. Některá NDA, některé servisní smlouvy a některé dodavatelské smlouvy výslovně uvádějí „kvalifikovaný elektronický podpis“. Máte tedy požadavky zakotvené v právních dokumentech.

Tento krok je zásadní, protože vám zabrání koupit systém, který nesplní vaše povinnosti. Zavedete špatný typ podpisu, za šest měsíců to někdo označí jako non-compliant a už předěláváte smlouvy.

Krok 3: pečlivě vyhodnoťte poskytovatele

Většina dodavatelů digitálních podpisů vám řekne, že jejich řešení je bezpečné, legální a snadno použitelné. V právní části mají technicky pravdu (eIDAS je široký). V části o snadnosti často lžou.

Co skutečně záleží:

  • Pokrytí typů podpisů. Nabízí poskytovatel typy podpisů, které vaše firma potřebuje? Pokud potřebujete AES, dokáže vám to poskytnout? Pokud potřebujete QES, má vztah s kvalifikovaným poskytovatelem důvěryhodných služeb? Toto není volitelné.
  • Tření při ověřování identity. Jaký je proces ověření identity pro každý typ podpisu? Jak dlouho trvá? Kolik tření vytváří u vašich podepisujících? Pokud vaše QES vyžaduje dvouhodinovou videoschůzku, budete ho používat méně často.
  • Integrace s vaším stackem. Dokáže se systém propojit s vaším CRM, správou smluv nebo dokumentovým workflow? Pokud musíte dokumenty exportovat, někam je poslat k podpisu a zase je importovat, přidali jste tření místo toho, abyste ho odstranili.
  • Reálná nákladová struktura. Někteří účtují za podpis, někteří za uživatele za měsíc, někteří podle objemu dokumentů. Namapujte to na svůj objem podpisů a spočítejte reálné náklady za rok.
  • Bezpečnostní přístup. Jsou dokumenty šifrovány při přenosu i v úložišti? Jaký je audit trail? Dostáváte detailní záznamy, kdo, co a kdy podepsal? Na tom záleží z hlediska compliance a sporů.

swipesign nabízí AES a QES bez SES divadla. Záměrně vám neprodáváme typ podpisu, který je technicky legální, ale prakticky bezcenný. Bezpečnost je zabudovaná od začátku. A integrace je navržená pro reálné workflow, ne pro „ten jeden krát, kdy jsme něco podepsali“.

Krok 4: naplánujte implementaci

Nepřehazujte jen vypínač s očekáváním, že všichni začnou používat e-podpisy. Potřebujete plán zavedení.

Začněte s jedním typem smlouvy. Vyberte něco s relativně nízkými sázkami. Pokud jste účetní firma, začněte třeba objednávkami služeb. Pokud jste leasingová společnost, začněte smlouvami o obnově. Pokud jste v obchodu, začněte objednávkami. Něco jednoduchého, co děláte často.

Zdokumentujte proces. Jak se dokument dostane k podepisujícímu? Jak podepíše? Kam podepsaný dokument putuje? Co následuje v workflow? Integruje se to s vaším systémem správy dokumentů? Spouští to automaticky další krok?

Zaškolte nejprve malou skupinu. Ne všechny. Jen lidi, kteří tyto smlouvy zpracovávají. Nechte je projít celým procesem. Najděte, co se rozbije. Opravte to, než to rozšíříte.

Pak expandujte. Přidejte další typ smlouvy. Vylaďte proces. Budujte institucionální know-how.

Proč na tom záleží: pokud se pokusíte implementovat všechny typy smluv naráz bez školení, dočkáte se odporu, chyb a podpisů pod dokumenty, které se pravděpodobně nikdy neměly podepisovat digitálně. Fázový přístup je pomalejší k plnému přijetí, ale rychlejší ke skutečné kompetenci.

Krok 5: stanovte jasné standardy bezpečnosti a compliance

Jakmile je systém v provozu, potřebujete pravidla.

Které dokumenty se podepisují digitálně? Které stále potřebují podpis inkoustem? (Ano, některé smlouvy mohou ze specifických právních důvodů vyžadovat vlastnoruční podpis. Ověřte si to.) Kdo je oprávněn co podepsat? Jaký je požadavek na audit trail? Jak dlouho podepsané dokumenty uchováváte?

Stanovte podpisové pravomoci. Nenechte každého zaměstnance podepisovat smlouvy. Určete, kdo může co podepsat. Zdokumentujte to. Chrání vás to před omyly a před tím, aby zaměstnanci náhodou nezavázali firmu tam, kam nechce.

Nastavte auditní logování. Musíte umět odpovědět „kdo podepsal tento dokument a kdy?“ i za pět let. Většinu této technické stránky řeší poskytovatel, ale musíte to nakonfigurovat a ověřit, že to funguje.

Rozhodněte o retenci dokumentů. Jak dlouho podepsané dokumenty uchováváte? V jakém formátu? Ukládáte si metadata digitálního podpisu nebo jen podepsané PDF? Předpisy se liší, ale obecně musíte záznamy uchovávat dost dlouho na obhájení jakéhokoli sporu, který by ze smlouvy mohl vzniknout.

Krok 6: nešetřete na bezpečnosti

Cenový rozdíl mezi AES a QES není velký. Rozdíl mezi skutečným poskytovatelem a dodavatelem, který vám prodává SES divadlo, je však obrovský, jenže obráceně. Platíte stejnou částku za slabší ochranu.

Nevybírejte poskytovatele podle nejnižší ceny za podpis. Vybírejte podle toho, zda nabízí typy podpisů, které potřebujete, zda je bezpečnost solidní a zda integrace nepřidává tření do vašeho skutečného workflow.

Bezpečnostní selhání digitálních podpisových systémů bývají drahá. Kompromitovaný poskytovatel, uniklý podpisový klíč, zadní vrátka v systému: to vše vytváří problémy, které stojí mnohem víc, než jste ušetřili na poplatku za podpis.

Návrat k realitě

Začít s e-podpisy je přímočaré, když víte, co potřebujete. Většina firem potřebuje AES. Některé občas QES. Všichni těží ze systému, který se čistě integruje do stávajících workflow.

Chyby se dějí, když přeskočíte úvodní rozhodnutí (co vlastně potřebujeme?), uspěcháte implementaci (každý na to přijde) nebo šetříte na bezpečnosti (jak zlé to může být?).

Nic z toho vlastně není komplikované. Chce to jen přemýšlet, než začnete jednat. Což shodou okolností je přesně to, co dobré smlouvy stejně vyžadují.

Položit otázkuZačít se swipesign
← Zpět na blogswipesign zdroje