Prejsť na obsah
swipesign

Začíname s elektronickými podpismi: praktická cestovná mapa

Právne oddelenie chce elektronické podpisy zaviesť do budúceho štvrťroka. Váš riaditeľ chce, aby to bolo rýchlejšie a lacnejšie. Manažér prevádzky chce systém, ktorý nevyžaduje školiť každého dvakrát. Kolega z IT chce jediné: aby to skutočne fungovalo.

Dobrá správa: nemusí to byť zložité. Zlá správa: existuje dosť zlých spôsobov, ako na to ísť, aby ste ich objavili, ak nebudete opatrní. Tu je priama cesta rozhodnutiami, na ktorých skutočne záleží.

SprievodcaZdroje/Blog

Krok 1: pochopte, čo si vlastne kupujete

Ešte než budete hovoriť s dodávateľmi a žiadať o demá, odpovedzte si interne: aké typy podpisov vaša firma skutočne potrebuje?

Prejdite si svoje najbežnejšie zmluvy. Pracovné zmluvy? Pravdepodobne potrebujete QES. Komerčné nájomné zmluvy? AES funguje bezchybne. NDA medzi firmami? AES je štandard. Interné schválenia? SES stačí, alebo úprimne — môžete použiť len pole pre podpis v existujúcom systéme.

Väčšina firiem potrebuje AES ako základ. Niektoré zmluvy občas vyžadujú QES. Len veľmi málo firiem reálne potrebuje SES, pretože je technicky platný, ale prakticky bezcenný pre čokoľvek, kde sú externé strany.

Túto požiadavku si spíšte. Zdokumentujte ju. Získajte súhlas právneho oddelenia, prevádzky a financií. Pretože toto rozhodnutie ovplyvňuje všetko ďalšie: výber poskytovateľa, zložitosť implementácie, cenovú štruktúru aj to, aké zmluvy môžete vôbec podpisovať.

Ak tento krok preskočíte, skončíte s riešením, ktoré je buď príliš slabé pre vaše právne potreby, alebo príliš drahé pre vaše skutočné prípady použitia.

Krok 2: overte si právne požiadavky

Skôr ako zvolíte dodávateľa, overte, čo vyžadujú regulátori a štandardy vášho odvetvia.

Ste v bankovníctve, poisťovníctve, zdravotníctve alebo inom regulovanom sektore? Váš regulátor pravdepodobne má konkrétne požiadavky na typ podpisu. Overte si to. Nehádajte. Cena za zlý odhad je oveľa vyššia než stráviť popoludnie čítaním regulačných pokynov.

Budú vaši klienti alebo protistrany pravdepodobne požadovať konkrétne typy podpisov? Spýtajte sa ich. Ak predávate veľkým firmám, niekto nakoniec bude mať požiadavku. Je lepšie to vedieť už teraz.

Existujú zmluvy, ktoré podpisujete a ktoré výslovne stanovujú požiadavky na podpis? Prečítajte si ich. Niektoré NDA, niektoré servisné zmluvy a niektoré dodávateľské zmluvy výslovne uvádzajú „kvalifikovaný elektronický podpis“. Máte teda požiadavky zakotvené v právnych dokumentoch.

Tento krok je zásadný, pretože vám zabráni kúpiť systém, ktorý nesplní vaše povinnosti. Zavediete zlý typ podpisu, za šesť mesiacov to niekto označí ako non-compliant a už prerábate zmluvy.

Krok 3: starostlivo vyhodnoťte poskytovateľa

Väčšina dodávateľov digitálnych podpisov vám povie, že ich riešenie je bezpečné, legálne a jednoducho použiteľné. V právnej časti majú technicky pravdu (eIDAS je široký). V časti o jednoduchosti často klamú.

Čo skutočne záleží:

  • Pokrytie typov podpisov. Ponúka poskytovateľ typy podpisov, ktoré vaša firma potrebuje? Ak potrebujete AES, dokáže vám to poskytnúť? Ak potrebujete QES, má vzťah s kvalifikovaným poskytovateľom dôveryhodných služieb? Toto nie je voliteľné.
  • Trenie pri overovaní identity. Aký je proces overenia identity pre každý typ podpisu? Ako dlho trvá? Koľko trenia vytvára u vašich podpisujúcich? Ak vaše QES vyžaduje dvojhodinové videostretnutie, budete ho používať menej často.
  • Integrácia s vaším stackom. Dokáže sa systém prepojiť s vaším CRM, správou zmlúv alebo dokumentovým workflow? Ak musíte dokumenty exportovať, niekam ich poslať na podpis a zase ich importovať, pridali ste trenie namiesto toho, aby ste ho odstránili.
  • Reálna nákladová štruktúra. Niektorí účtujú za podpis, niektorí za používateľa za mesiac, niektorí podľa objemu dokumentov. Namapujte to na svoj objem podpisov a spočítajte reálne náklady za rok.
  • Bezpečnostný prístup. Sú dokumenty šifrované pri prenose aj v úložisku? Aký je audit trail? Dostávate detailné záznamy, kto, čo a kedy podpísal? Na tom záleží z hľadiska compliance a sporov.

swipesign ponúka AES a QES bez SES divadla. Zámerne vám nepredávame typ podpisu, ktorý je technicky legálny, ale prakticky bezcenný. Bezpečnosť je zabudovaná od začiatku. A integrácia je navrhnutá pre reálne workflow, nie pre „ten jeden krát, keď sme niečo podpísali“.

Krok 4: naplánujte implementáciu

Neprepínajte len vypínač s očakávaním, že všetci začnú používať e-podpisy. Potrebujete plán zavedenia.

Začnite s jedným typom zmluvy. Vyberte niečo s relatívne nízkymi stávkami. Ak ste účtovnícka firma, začnite napríklad objednávkami služieb. Ak ste leasingová spoločnosť, začnite zmluvami o obnove. Ak ste v obchode, začnite objednávkami. Niečo jednoduché, čo robíte často.

Zdokumentujte proces. Ako sa dokument dostane k podpisujúcemu? Ako podpíše? Kam podpísaný dokument putuje? Čo nasleduje v workflow? Integruje sa to s vaším systémom správy dokumentov? Spúšťa to automaticky ďalší krok?

Zaškolte najprv malú skupinu. Nie všetkých. Len ľudí, ktorí tieto zmluvy spracúvajú. Nechajte ich prejsť celým procesom. Nájdite, čo sa rozbije. Opravte to, skôr než to rozšírite.

Potom expandujte. Pridajte ďalší typ zmluvy. Vylaďte proces. Budujte inštitucionálne know-how.

Prečo na tom záleží: ak sa pokúsite implementovať všetky typy zmlúv naraz bez školenia, dočkáte sa odporu, chýb a podpisov pod dokumentmi, ktoré sa pravdepodobne nikdy nemali podpisovať digitálne. Fázový prístup je pomalší k plnému prijatiu, ale rýchlejší ku skutočnej kompetencii.

Krok 5: stanovte jasné štandardy bezpečnosti a compliance

Akonáhle je systém v prevádzke, potrebujete pravidlá.

Ktoré dokumenty sa podpisujú digitálne? Ktoré stále potrebujú podpis atramentom? (Áno, niektoré zmluvy môžu zo špecifických právnych dôvodov vyžadovať vlastnoručný podpis. Overte si to.) Kto je oprávnený čo podpisovať? Aká je požiadavka na audit trail? Ako dlho podpísané dokumenty uchovávate?

Stanovte podpisové právomoci. Nenechajte každého zamestnanca podpisovať zmluvy. Určte, kto môže čo podpísať. Zdokumentujte to. Chráni vás to pred omylmi a pred tým, aby zamestnanci náhodou nezaviazali firmu tam, kam nechce.

Nastavte auditné logovanie. Musíte vedieť odpovedať „kto podpísal tento dokument a kedy?“ aj za päť rokov. Väčšinu tejto technickej stránky rieši poskytovateľ, ale musíte to nakonfigurovať a overiť, že to funguje.

Rozhodnite o retencii dokumentov. Ako dlho podpísané dokumenty uchovávate? V akom formáte? Ukladáte si metadáta digitálneho podpisu alebo len podpísané PDF? Predpisy sa líšia, ale všeobecne musíte záznamy uchovávať dosť dlho na obhájenie akéhokoľvek sporu, ktorý by zo zmluvy mohol vzniknúť.

Krok 6: nešetrite na bezpečnosti

Cenový rozdiel medzi AES a QES nie je veľký. Rozdiel medzi skutočným poskytovateľom a dodávateľom, ktorý vám predáva SES divadlo, je však obrovský, ibaže opačne. Platíte rovnakú sumu za slabšiu ochranu.

Nevyberajte poskytovateľa podľa najnižšej ceny za podpis. Vyberajte podľa toho, či ponúka typy podpisov, ktoré potrebujete, či je bezpečnosť solídna a či integrácia nepridáva trenie do vášho skutočného workflow.

Bezpečnostné zlyhania digitálnych podpisových systémov bývajú drahé. Kompromitovaný poskytovateľ, uniknutý podpisový kľúč, zadné dvierka v systéme: to všetko vytvára problémy, ktoré stoja oveľa viac, než ste ušetrili na poplatku za podpis.

Návrat k realite

Začať s e-podpismi je priamočiare, keď viete, čo potrebujete. Väčšina firiem potrebuje AES. Niektoré občas QES. Všetci ťažia zo systému, ktorý sa čisto integruje do existujúcich workflow.

Chyby sa dejú, keď preskočíte úvodné rozhodnutia (čo vlastne potrebujeme?), uponáhľate implementáciu (každý na to príde) alebo šetríte na bezpečnosti (ako zlé to môže byť?).

Nič z toho vlastne nie je komplikované. Chce to len premýšľať, než začnete konať. Čo zhodou okolností je presne to, čo dobré zmluvy aj tak vyžadujú.

Položiť otázkuZačať so swipesign
← Späť na blogswipesign zdroje