Přejít na obsah
swipesign

Jednoduché elektronické podpisy: Digitální divadlo za cenu e-mailu.

Smlouva byla podepsána tím, co dodavatel nazval „jednoduchým elektronickým podpisem.“ Žádné ověření identity. Žádné šifrování. Žádná ochrana proti manipulaci. Později někdo tvrdil, že dokument nikdy neviděl. Nikdo nemohl dokázat opak.

Nové12 min čteníeIDAS · Compliance
Klíčové poznatky
  • SES je podle eIDAS právně platný — ale bez šifrování, bez ověření identity, bez ochrany proti manipulaci.
  • Cenový rozdíl mezi SES a AES je nepatrný. Rozdíl v bezpečnosti je obrovský.
  • SES je v pořádku pro interní schvalování. Není v pořádku pro smlouvy, které by mohly být někdy sporné.
  • swipesign SES záměrně neprodává — vytváří zákazníkům následné problémy.

Jednoduchý elektronický podpis (SES) je bezpečnostní divadlo digitálního věku. Vypadá oficiálně, protože je elektronický a je podepsaný. Působí legitimně, protože používáte nástroj pro digitální podepisování. Ale technicky vzato je to jen důkaz, že někdo pravděpodobně na něco klikl, možná. To je vše. To je celá záruka.

Kapitola 01

Co jednoduchý elektronický podpis ve skutečnosti je

SES je naprosté minimum. Podle nařízení eIDAS je technicky právně platný. Ale právní platnost a skutečná bezpečnost nejsou totéž.

Tady je to, co se SES dostanete: jméno, pravděpodobně. Časové razítko, možná. Nějaký důkaz, že dokument existuje v určitém stavu v určitém okamžiku. To je celý balíček.

Co se SES NEDOSTANETE
  • • Žádné ověření identity — podepisující může být kdokoli.
  • • Žádné šifrování — dokument putuje jako prostý text.
  • • Žádná ochrana proti manipulaci — smlouva se může změnit, podpis zůstává.
  • • Žádná smysluplná autentizace — obvykle jen napsané jméno nebo klik na „Souhlasím“.

Porovnejte to s pokročilým elektronickým podpisem (AES), který vyžaduje kvalifikované certifikáty, šifrování, ověření identity a ochranu proti manipulaci, nebo s kvalifikovaným elektronickým podpisem (QES), který vyžaduje ověření státním průkazem totožnosti a funguje pod regulačním dohledem.

SES není odlehčená verze bezpečnosti. Je to absence bezpečnosti převlečená do jazyka digitálního podepisování.
Kapitola 02

Problém šifrování

Pojďme si konkrétně říct, proč je SES v podstatě e-mail.

Když pošlete smlouvu e-mailem, putuje internetovou infrastrukturou, kde může být na mnoha místech zkontrolována, zkopírována nebo pozměněna. Příjemce nemá žádný způsob, jak potvrdit, že nebyla během přenosu upravena. Musí prostě věřit, že dorazila nezměněná.

SES nabízí stejnou záruku. Což znamená žádnou záruku. Dokument není šifrovaný. Není kryptograficky vázaný na podepisující osobu. Prostě tam leží a kdokoli v pozici, kdy ho může zachytit, ho může přečíst nebo změnit.

Matematika mění všechno
AES a QES používají šifrování. Podpis je matematicky svázán s obsahem dokumentu. Změňte byť jediný znak a podpis se zneplatní. To není teorie — jakýkoli kompetentní ověřovací systém to označí. SES nemá žádnou takovou záruku: můžete změnit všechny podmínky smlouvy a SES podpis tam bude stále, vypadající úplně stejně.
Kapitola 03

Problém ověření identity

E-mail má stejný problém s identitou. Dostanete zprávu od nekdo@firma.cz. Ale opravdu jste ji dostali od někoho z té firmy? Nebo někdo podvrhl adresu?

SES funguje stejným způsobem. Někdo napíše jméno nebo e-mail. Je to skutečně on? Nikdo to neověřil. Žádný systém nic nekontroloval.

SES
Někdo tvrdí, že je určitá osoba. Doufáte, že jí je.
AES
Kontrola telefonu, bezpečnostní otázky, ověření třetí stranou.
QES
Státní průkaz totožnosti ověřený kvalifikovaným poskytovatelem důvěryhodných služeb.
Kapitola 04

Kdy je SES téměř přijatelný

Existují situace, kdy je SES v pořádku — protože se na podpis ve skutečnosti nespoléháte z hlediska bezpečnosti. Používáte ho pro účely pracovního postupu nebo dokumentace.

  1. 1
    Interní schvalování v rámci vaší vlastní organizace

    Všichni jsou vaši zaměstnanci nebo dodavatelé. Podpis je dokumentace, že někdo klikl na „Schvaluji." Můžete zkontrolovat logy prohlížeče, IP adresu, nebo jim prostě zavolat.

  2. 2
    Triviální administrativní potvrzení

    Potvrzení firemní směrnice. Potvrzení převzetí dokumentu. Interní procesní změny. Pokud jsou sázky nulové, SES je v pořádku.

  3. 3
    Strany s ustáleným vztahem důvěry

    Dlouhodobý dodavatel podepisující rutinní obnovení. Pokud je podvod stejně nepravděpodobný, SES přidává dokumentaci bez přidání většího rizika.

To je vše. Všechno ostatní buď vyžaduje AES — nebo by mělo používat fyzické podpisy se svědky.

Kapitola 05

Past na náklady

Většina poskytovatelů SES účtuje za podpis. Ne nic, ale ne moc. Pár centů, možná pár eur na horní hranici. Dodavatelé to prezentují jako rozpočtovou variantu.

Ale tady je matematika, která se ignoruje: platíte stejnou nebo téměř stejnou cenu jako za AES. AES může být pětkrát až desetkrát bezpečnější, ale stojí možná o deset až dvacet procent více za podpis. Cenový rozdíl se měří v drobných.

Platíte za bezpečnostní divadlo místo skutečné bezpečnosti — za téměř stejné peníze. To není optimalizace rozpočtu. To je nákup špatného produktu.
Kapitola 06

Proč swipesign SES záměrně vynechává

SES záměrně úplně přeskakujeme. Neprodáváme ho. Nenabízíme ho jako možnost. Neprezentujeme ho jako „rozpočtovou úroveň.“

Protože SES vytváří problémy v budoucnu. Někdo podepíše něco pomocí SES v domnění, že má právně závazný podpis. Nemá. Má dokumentaci, že někdo pravděpodobně na něco klikl. Pokud bude někdy potřebovat ten podpis vymáhat, má problém.

Jak o tom přemýšlíme
Nabízíme AES, protože je to promyšlená volba pro obchodní smlouvy — skutečné ověření identity, skutečné šifrování, skutečná ochrana proti manipulaci. Náklady jsou téměř totožné s SES; bezpečnost je řádově lepší. A nabízíme QES, když to situace vyžaduje: ověření státním průkazem totožnosti, regulační dohled, předpoklad platnosti ve sporech.
Kapitola 07

Upřímné zhodnocení

Pokud platíte za digitální podpisy a někdo vám nabízí SES, prodává se vám něco, co je navrženo tak, aby vypadalo bezpečně, přičemž poskytuje téměř nulovou skutečnou bezpečnost. Je to jako platit za alarm, který jen rozsvítí světlo, když stisknete tlačítko. Technicky signál, funkčně k ničemu.

Většina obchodních smluv potřebuje minimálně AES. Některé potřebují QES. Nikdo ve skutečnosti nepotřebuje SES, kromě situací, kdy by stejně dobře fungovaly fyzické podpisy nebo e-mail.

Nebuďte firma, která je žalována kvůli smlouvě podepsané pomocí SES a zjistí, že podpis, o kterém si myslela, že je právně závazný, je v podstatě důkaz, že dostala e-mail. Pořiďte si alespoň AES. Pořiďte si skutečnou bezpečnost. Cenový rozdíl je zanedbatelný. Rozdíl ve výsledku, když se něco pokazí, je obrovský.

Připraveni podepisovat správně?

Konec divadla. AES nebo QES od prvního dne.

swipesign vám dává skutečné ověření identity, šifrované podpisy a auditní stopy odolné proti manipulaci — za cenu, při které SES vypadá směšně.

Začít zdarmaZobrazit ceník

Pokračujte ve čtení

Všechny články →
Průvodce
Tři typy elektronických podpisů vysvětleny
Přečíst článek →
Průvodce
Právně závazné elektronické podpisy: váš průvodce
Přečíst článek →