Prejsť na obsah
swipesign

Jednoduché elektronické podpisy: Digitálne divadlo za cenu e-mailu.

Zmluva bola podpísaná tým, čo dodávateľ nazval „jednoduchým elektronickým podpisom.“ Žiadne overenie totožnosti. Žiadne šifrovanie. Žiadna ochrana proti manipulácii. Neskôr niekto tvrdil, že dokument nikdy nevidel. Nikto to nedokázal vyvrátiť.

Nové12 min čítaniaeIDAS · Compliance
Kľúčové poznatky
  • SES je podľa eIDAS právne platný — ale bez šifrovania, bez overenia totožnosti, bez ochrany proti manipulácii.
  • Cenový rozdiel medzi SES a AES je nepatrný. Rozdiel v bezpečnosti je obrovský.
  • SES je v poriadku pre interné schvaľovanie. Nie je v poriadku pre zmluvy, ktoré by mohli byť niekedy sporné.
  • swipesign SES zámerne nepredáva — vytvára zákazníkom následné problémy.

Jednoduchý elektronický podpis (SES) je bezpečnostné divadlo digitálnej éry. Vyzerá oficiálne, pretože je elektronický a podpísaný. Pôsobí legitímne, pretože používate nástroj na digitálne podpisovanie. Ale technicky je to len dôkaz, že niekto pravdepodobne na niečo klikol, možno. To je všetko. To je celá záruka.

Kapitola 01

Čo vlastne jednoduchý elektronický podpis je

SES je absolútne minimum. Podľa nariadenia eIDAS je technicky právne platný. Ale právna platnosť a skutočná bezpečnosť nie sú to isté.

Toto získate so SES: meno, pravdepodobne. Časovú pečiatku, možno. Nejaký dôkaz, že dokument existuje v určitom stave v určitom okamihu. To je celý balík.

Čo so SES NEZÍSKATE
  • • Žiadne overenie totožnosti — podpisovateľ môže byť ktokoľvek.
  • • Žiadne šifrovanie — dokument sa pohybuje ako obyčajný text.
  • • Žiadna ochrana proti manipulácii — zmluva sa môže zmeniť, podpis zostáva.
  • • Žiadna zmysluplná autentizácia — obvykle len napísané meno alebo klik na „Súhlasím“.

Porovnajte to s pokročilým elektronickým podpisom (AES), ktorý vyžaduje kvalifikované certifikáty, šifrovanie, overenie totožnosti a ochranu proti manipulácii, alebo s kvalifikovaným elektronickým podpisom (QES), ktorý vyžaduje overenie štátnym dokladom totožnosti a funguje pod regulačným dohľadom.

SES nie je odľahčená verzia bezpečnosti. Je to absencia bezpečnosti preoblečená do jazyka digitálneho podpisovania.
Kapitola 02

Problém šifrovania

Poďme si konkrétne povedať, prečo je SES v podstate e-mail.

Keď pošlete zmluvu e-mailom, putuje cez internetovú infraštruktúru, kde môže byť na viacerých miestach kontrolovaná, skopírovaná alebo pozmenená. Príjemca nemá žiadny spôsob, ako potvrdiť, že nebola počas prenosu zmenená. Musí jednoducho veriť, že dorazila nezmenená.

SES ponúka rovnakú záruku. Čo znamená žiadnu záruku. Dokument nie je šifrovaný. Nie je kryptograficky viazaný na podpisovateľa. Jednoducho tam je a ktokoľvek v pozícii na jeho zachytenie si ho môže prečítať alebo zmeniť.

Matematika mení všetko
AES a QES používajú šifrovanie. Podpis je matematicky viazaný na obsah dokumentu. Zmeňte čo i len jeden znak a podpis sa zneplatní. Toto nie je teória — akýkoľvek kompetentný overovací systém to označí. SES nemá žiadnu takú záruku: môžete zmeniť každú podmienku zmluvy a SES podpis tam bude stále, vyzerajúc úplne rovnako.
Kapitola 03

Problém overenia totožnosti

E-mail má rovnaký problém s identitou. Dostanete správu od niekto@firma.sk. Ale naozaj ste ju dostali od niekoho z tej firmy? Alebo niekto sfalšoval adresu?

SES funguje rovnako. Niekto napíše meno alebo e-mail. Je to naozaj on? Nikto to neoveril. Žiadny systém nič neskontroloval.

SES
Niekto tvrdí, že je určitá osoba. Dúfate, že ňou je.
AES
Kontrola telefónu, bezpečnostné otázky, overenie treťou stranou.
QES
Štátny doklad totožnosti overený kvalifikovaným poskytovateľom dôveryhodných služieb.
Kapitola 04

Kedy je SES takmer prijateľný

Existujú situácie, kedy je SES v poriadku — pretože sa na podpis v skutočnosti nespoliehate z hľadiska bezpečnosti. Používate ho na účely workflow alebo dokumentácie.

  1. 1
    Interné schvaľovanie vo vašej vlastnej organizácii

    Všetci sú vaši zamestnanci alebo dodávatelia. Podpis je dokumentácia, že niekto klikol na „Schvaľujem." Môžete skontrolovať logy prehliadača, IP adresu, alebo im jednoducho zavolať.

  2. 2
    Triviálne administratívne potvrdenia

    Potvrdenie firemnej politiky. Potvrdenie prevzatia dokumentu. Interné zmeny procesov. Ak sú stávky nulové, SES je v poriadku.

  3. 3
    Strany s dlhodobou históriou dôvery

    Dlhoročný dodávateľ podpisujúci bežné obnovenie. Ak je podvod aj tak nepravdepodobný, SES pridáva dokumentáciu bez pridania väčšieho rizika.

To je všetko. Všetko ostatné buď potrebuje AES — alebo by malo používať fyzické podpisy so svedkami.

Kapitola 05

Pasca nákladov

Väčšina poskytovateľov SES si účtuje za podpis. Nie nič, ale nie veľa. Pár centov, možno pár eur na hornom konci. Dodávatelia to prezentujú ako rozpočtovú voľbu.

Ale tu je matematika, ktorá sa ignoruje: platíte rovnakú alebo takmer rovnakú cenu ako za AES. AES môže byť päť- až desaťkrát bezpečnejší, ale stojí možno o desať až dvadsať percent viac za podpis. Cenový rozdiel sa meria v drobných.

Platíte za bezpečnostné divadlo namiesto skutočnej bezpečnosti — za takmer tie isté peniaze. To nie je optimalizácia rozpočtu. To je kúpa nesprávneho produktu.
Kapitola 06

Prečo swipesign SES zámerne vynecháva

Zámerne SES úplne vynechávame. Nepredávame ho. Neponúkame ho ako možnosť. Neprezentujeme ho ako „rozpočtovú úroveň.“

Pretože SES vytvára problémy v budúcnosti. Niekto podpíše niečo pomocou SES v domnienke, že má právne záväzný podpis. Nemá. Má dokumentáciu, že niekto pravdepodobne na niečo klikol. Ak bude niekedy potrebovať tento podpis presadiť, bude mať problém.

Ako o tom premýšľame
Ponúkame AES, pretože je to rozumná voľba pre obchodné zmluvy — skutočné overenie totožnosti, skutočné šifrovanie, skutočná ochrana proti manipulácii. Náklady sú takmer totožné so SES; bezpečnosť je o rády lepšia. A ponúkame QES, keď si to situácia vyžaduje: overenie štátnym dokladom totožnosti, regulačný dohľad, prezumpcia platnosti v sporoch.
Kapitola 07

Úprimné zhodnotenie

Ak platíte za digitálne podpisy a niekto vám ponúka SES, predávajú vám niečo navrhnuté tak, aby vyzeralo bezpečne, pričom neposkytuje takmer žiadnu skutočnú bezpečnosť. Je to ako platiť za alarm, ktorý len rozsvieti svetlo, keď stlačíte tlačidlo. Technicky signál, funkčne zbytočný.

Väčšina obchodných zmlúv potrebuje minimálne AES. Niektoré potrebujú QES. Nikto v skutočnosti nepotrebuje SES okrem situácií, kde by rovnako dobre fungovali fyzické podpisy alebo e-mail.

Nebuďte firma, ktorá bude žalovaná kvôli zmluve podpísanej pomocou SES a zistí, že podpis, o ktorom si myslela, že je právne záväzný, je v podstate dôkaz, že ste dostali e-mail. Zaobstarajte si aspoň AES. Zaobstarajte si skutočnú bezpečnosť. Cenový rozdiel je zanedbateľný. Rozdiel vo výsledku, keď sa veci pokazia, je obrovský.

Pripravení podpisovať správne?

Koniec divadla. AES alebo QES od prvého dňa.

swipesign vám poskytuje skutočné overenie totožnosti, šifrované podpisy a auditné stopy odolné voči manipulácii — za cenu, pri ktorej SES vyzerá smiešne.

Začať zadarmoZobraziť cenník

Pokračujte v čítaní

Všetky články →
Sprievodca
Tri typy elektronických podpisov vysvetlené
Čítať článok →
Sprievodca
Právne záväzné elektronické podpisy: váš sprievodca
Čítať článok →