- Ešte pred prvým rokovaním s dodávateľom rozhodnite, aké typy podpisov vaše zmluvy naozaj potrebujú.
- Regulátori a protistrany často odpoveď diktujú — overte si to, nehádajte.
- Poskytovateľov hodnoťte podľa pokrytia, trenia pri overovaní, integrácie, reálnych nákladov a bezpečnosti.
- Zavádzajte fázovo, nastavte podpisové právomoci a nikdy nešetrite na bezpečnostnej vrstve.
Zlá správa: existuje dosť zlých spôsobov, ako na to ísť, aby ste ich objavili, ak nebudete opatrní. Tu je priama cesta rozhodnutiami, na ktorých skutočne záleží — šesť rovnakých krokov, ktoré v podobnom poradí urobil každý úspešný tím.
Pochopte, čo si vlastne kupujete
Ešte než budete hovoriť s dodávateľmi a žiadať o demá, odpovedzte si interne: aké typy podpisov vaša firma skutočne potrebuje?
Prejdite si svoje najbežnejšie zmluvy. Pracovné zmluvy? Pravdepodobne potrebujete QES. Komerčné nájomné zmluvy? AES funguje bezchybne. NDA medzi firmami? AES je štandard. Interné schválenia? SES stačí, alebo úprimne — môžete použiť len pole pre podpis v existujúcom systéme.
Väčšina firiem potrebuje AES ako základ. Niektoré zmluvy občas vyžadujú QES. Len veľmi málo firiem reálne potrebuje SES, pretože je technicky platný, ale prakticky bezcenný pre čokoľvek, kde sú externé strany.
Túto požiadavku si spíšte. Zdokumentujte ju. Získajte súhlas právneho oddelenia, prevádzky a financií. Pretože toto rozhodnutie ovplyvňuje všetko ďalšie: výber poskytovateľa, zložitosť implementácie, cenovú štruktúru aj to, aké zmluvy môžete vôbec podpisovať.
Overte si právne požiadavky
Skôr ako zvolíte dodávateľa, overte, čo vyžadujú regulátori a štandardy vášho odvetvia.
Ste v bankovníctve, poisťovníctve, zdravotníctve alebo inom regulovanom sektore? Váš regulátor pravdepodobne má konkrétne požiadavky na typ podpisu. Overte si to. Nehádajte. Cena za zlý odhad je oveľa vyššia než stráviť popoludnie čítaním regulačných pokynov.
Budú vaši klienti alebo protistrany pravdepodobne požadovať konkrétne typy podpisov? Spýtajte sa ich. Ak predávate veľkým firmám, niekto nakoniec bude mať požiadavku. Je lepšie to vedieť už teraz.
Existujú zmluvy, ktoré podpisujete a ktoré výslovne stanovujú požiadavky na podpis? Prečítajte si ich. Niektoré NDA, niektoré servisné zmluvy a niektoré dodávateľské zmluvy výslovne uvádzajú „kvalifikovaný elektronický podpis“. Máte teda požiadavky zakotvené v právnych dokumentoch.
Tento krok je zásadný, pretože vám zabráni kúpiť systém, ktorý nesplní vaše povinnosti. Zavediete zlý typ podpisu, za šesť mesiacov to niekto označí ako non-compliant a už prerábate zmluvy.
“Väčšina firiem potrebuje AES ako základ. Niektoré občas QES. Len veľmi málo firiem reálne potrebuje SES.”
Starostlivo vyhodnoťte poskytovateľa
Väčšina dodávateľov digitálnych podpisov vám povie, že ich riešenie je bezpečné, legálne a jednoducho použiteľné. V právnej časti majú technicky pravdu (eIDAS je široký). V časti o jednoduchosti často klamú.
Čo skutočne záleží:
- 1Pokrytie typov podpisov
Ponúka poskytovateľ typy podpisov, ktoré vaša firma potrebuje? Ak potrebujete AES, dokáže vám to poskytnúť? Ak potrebujete QES, má vzťah s kvalifikovaným poskytovateľom dôveryhodných služieb? Toto nie je voliteľné.
- 2Trenie pri overovaní identity
Aký je proces overenia identity pre každý typ podpisu? Ako dlho trvá? Koľko trenia vytvára u vašich podpisujúcich? Ak vaše QES vyžaduje dvojhodinové videostretnutie, budete ho používať menej často.
- 3Integrácia s vaším stackom
Dokáže sa systém prepojiť s vaším CRM, správou zmlúv alebo dokumentovým workflow? Ak musíte dokumenty exportovať, niekam ich poslať na podpis a zase ich importovať, pridali ste trenie namiesto toho, aby ste ho odstránili.
- 4Reálna nákladová štruktúra
Niektorí účtujú za podpis, niektorí za používateľa za mesiac, niektorí podľa objemu dokumentov. Namapujte to na svoj objem podpisov a spočítajte reálne náklady za rok.
- 5Bezpečnostný prístup
Sú dokumenty šifrované pri prenose aj v úložisku? Aký je audit trail? Dostávate detailné záznamy, kto, čo a kedy podpísal? Na tom záleží z hľadiska compliance a sporov.
swipesign ponúka AES a QES bez SES divadla. Zámerne vám nepredávame typ podpisu, ktorý je technicky legálny, ale prakticky bezcenný. Bezpečnosť je zabudovaná od začiatku. A integrácia je navrhnutá pre reálne workflow, nie pre „ten jeden krát, keď sme niečo podpísali“.
Naplánujte implementáciu
Neprepínajte len vypínač s očakávaním, že všetci začnú používať e-podpisy. Potrebujete plán zavedenia.
Začnite s jedným typom zmluvy. Vyberte niečo s relatívne nízkymi stávkami. Ak ste účtovnícka firma, začnite napríklad objednávkami služieb. Ak ste leasingová spoločnosť, začnite zmluvami o obnove. Ak ste v obchode, začnite objednávkami. Niečo jednoduché, čo robíte často.
Zdokumentujte proces. Ako sa dokument dostane k podpisujúcemu? Ako podpíše? Kam podpísaný dokument putuje? Čo nasleduje v workflow? Integruje sa to s vaším systémom správy dokumentov? Spúšťa to automaticky ďalší krok?
Zaškolte najprv malú skupinu. Nie všetkých. Len ľudí, ktorí tieto zmluvy spracúvajú. Nechajte ich prejsť celým procesom. Nájdite, čo sa rozbije. Opravte to, skôr než to rozšírite.
Potom expandujte. Pridajte ďalší typ zmluvy. Vylaďte proces. Budujte inštitucionálne know-how.
Jasné štandardy bezpečnosti a compliance
Akonáhle je systém v prevádzke, potrebujete pravidlá.
Ktoré dokumenty sa podpisujú digitálne? Ktoré stále potrebujú podpis atramentom? (Áno, niektoré zmluvy môžu zo špecifických právnych dôvodov vyžadovať vlastnoručný podpis. Overte si to.) Kto je oprávnený čo podpisovať? Aká je požiadavka na audit trail? Ako dlho podpísané dokumenty uchovávate?
Stanovte podpisové právomoci. Nenechajte každého zamestnanca podpisovať zmluvy. Určte, kto môže čo podpísať. Zdokumentujte to. Chráni vás to pred omylmi a pred tým, aby zamestnanci náhodou nezaviazali firmu tam, kam nechce.
Nastavte auditné logovanie. Musíte vedieť odpovedať „kto podpísal tento dokument a kedy?“ aj za päť rokov. Väčšinu tejto technickej stránky rieši poskytovateľ, ale musíte to nakonfigurovať a overiť, že to funguje.
Rozhodnite o retencii dokumentov. Ako dlho podpísané dokumenty uchovávate? V akom formáte? Ukladáte si metadáta digitálneho podpisu alebo len podpísané PDF? Predpisy sa líšia, ale všeobecne musíte záznamy uchovávať dosť dlho na obhájenie akéhokoľvek sporu, ktorý by zo zmluvy mohol vzniknúť.
Nešetrite na bezpečnosti
Cenový rozdiel medzi AES a QES nie je veľký. Rozdiel medzi skutočným poskytovateľom a dodávateľom, ktorý vám predáva SES divadlo, je však obrovský, ibaže opačne. Platíte rovnakú sumu za slabšiu ochranu.
Nevyberajte poskytovateľa podľa najnižšej ceny za podpis. Vyberajte podľa toho, či ponúka typy podpisov, ktoré potrebujete, či je bezpečnosť solídna a či integrácia nepridáva trenie do vášho skutočného workflow.
Bezpečnostné zlyhania digitálnych podpisových systémov bývajú drahé. Kompromitovaný poskytovateľ, uniknutý podpisový kľúč, zadné dvierka v systéme: to všetko vytvára problémy, ktoré stoja oveľa viac, než ste ušetrili na poplatku za podpis.
Návrat k realite
Začať s e-podpismi je priamočiare, keď viete, čo potrebujete. Väčšina firiem potrebuje AES. Niektoré občas QES. Všetci ťažia zo systému, ktorý sa čisto integruje do existujúcich workflow.
Chyby sa dejú, keď preskočíte úvodné rozhodnutia (čo vlastne potrebujeme?), uponáhľate implementáciu (každý na to príde) alebo šetríte na bezpečnosti (ako zlé to môže byť?).
Nič z toho vlastne nie je komplikované. Chce to len premýšľať, než začnete konať. Čo zhodou okolností je presne to, čo dobré zmluvy aj tak vyžadujú.
Začnite s jedným typom zmluvy. Odtiaľ expandujte.
swipesign ponúka AES a QES bez SES divadla — skutočné overenie identity, šifrované podpisy a auditné stopy odolné voči manipulácii od začiatku.