Typy elektronických podpisov: SES, AES a QES vysvetlené

Kľúčové poznatky

SES je podľa eIDAS právne platný, no neponúka overenie totožnosti, šifrovanie ani ochranu proti manipulácii.
AES je praktický štandard: kvalifikované certifikáty, matematická detekcia manipulácie, silná právna pozícia pri obchodných zmluvách.
QES má rovnakú právnu váhu ako vlastnoručný podpis — s obrátením dôkazného bremena v spore.
Väčšina firiem potrebuje AES ako základ. QES použite tam, kde je právna istota nevyjednateľná.

Podľa eIDAS existujú tri úrovne elektronických podpisov — a rozdiel medzi nimi rozhoduje o tom, či ste podpísali niečo skutočne záväzné, alebo len niečo, čo záväzne vyzerá. Nesprávnu úroveň zistíte v tú najhoršiu možnú chvíľu: pred súdom.

Kapitola 01

Jednoduchý elektronický podpis: ilúzia bezpečnosti

SES je to, čo si väčšina ľudí pod digitálnym podpisom predstaví. Niekto klikne na „podpísať“, jeho meno sa objaví ako dôkaz a časová pečiatka zaznamená, kedy sa tak stalo. A to je všetko.

Žiadne overenie totožnosti. Žiadny špeciálny certifikát. Žiadne šifrovanie. Žiadna ochrana proti manipulácii. SES môžete sfalšovať skopírovaním obrázka cudzieho podpisu. Z technického hľadiska je SES sotva niečím viac ako metadáta pripojené k súboru.

SES je podľa eIDAS technicky právne platný. Súdy sa ním budú zaoberať. Ak však niekto neskôr vyhlási, že dokument nikdy nepodpísal, bojujete do kopca. SES sa hodí na interné firemné použitie. Len čo do hry vstúpia externé strany alebo reálne riziko, SES sa stáva rizikom prezlečeným za riešenie.

“Z technického hľadiska je SES sotva niečím viac ako metadáta pripojené k súboru.”

Kapitola 02

Pokročilý elektronický podpis: praktický štandard

AES je tam, kde by mala žiť väčšina obchodných zmlúv. Vyžaduje kvalifikované digitálne certifikáty — certifikačná autorita pred vydaním overí totožnosť. Nevyžaduje skenovanie preukazu totožnosti (to je QES), ale skutočné overenie, často overenie telefónneho čísla v kombinácii s kontrolou identity inými kanálmi.

Len čo je certifikát zavedený, podpis AES sa stáva matematicky naviazaný na dokument. Po podpise nemožno dokument zmeniť bez toho, aby sa podpis stal neplatným. Obchodné zmluvy, NDA, pracovné zmluvy, lízing, zmluvy o dielo — AES ich všetky pokryje.

Matematika mení všetko

AES aj QES využívajú kryptografiu: podpis je viazaný na obsah dokumentu. Zmeníte čokoľvek a podpis sa rozbije. SES túto záruku nemá — môžete prepísať celú zmluvu a SES podpis tam zostane sedieť, vyzerá rovnako. Práve tento rozdiel drží AES pred súdom a SES nechá padnúť.

Kapitola 03

Kvalifikovaný elektronický podpis: keď na tom naozaj záleží

QES je ťažká váha. Vyžaduje kvalifikovaný certifikát vydaný štátom schváleným poskytovateľom dôveryhodných služieb. Vašu totožnosť niekto osobne overí pomocou oficiálnych štátnych dokumentov — pasu, občianskeho preukazu alebo ekvivalentu. Stojí to viac a trvá to dlhšie ako AES, pretože je to skutočne dôkladné.

Právny rozdiel je zásadný: podľa eIDAS má QES presne rovnakú právnu váhu ako vlastnoručný podpis. Bodka. Dôkazné bremeno sa obracia. Ak niekto QES napadne, musí dokázať, že bol sfalšovaný. To je zásadné pri fúziách a akvizíciách, pracovných zmluvách s vážnym odstupným, úverových zmluvách, zdravotníckej dokumentácii a citlivých právnych zmluvách.

Cenový rozdiel medzi AES a QES býva menší, ako ľudia čakajú — často len niekoľko eur na podpis. Rozdiel v právnej ochrane je obrovský.

Kapitola 04

Ako sa rozhodnúť: rozhodovací strom

Kladte si tieto otázky v tomto poradí:

1
Ide o interný dokument alebo proces?
Použite SES. Žiadne externé strany znamenajú, že podpisy používate iba na sledovanie workflow.
2
Ide o štandardnú obchodnú zmluvu s externou stranou?
Prejdite na AES. NDA, podmienky služby, lízingové a pracovné zmluvy — AES je štandardom z dobrého dôvodu.
3
Sú v hre veľké čiastky, právna zložitosť alebo regulácia?
Použite QES. Fúzie a akvizície. Úverové zmluvy. Zdravotníctvo. Nehnuteľnosti. Pracovné zmluvy so skutočným odstupným.
4
Žiada si protistrana konkrétnu úroveň?
Použite to, čo vyžaduje. Vždy rešpektujte konkrétne požiadavky zo zmluvy alebo štandardy odvetvia.

Ako vybrať správnu úroveň

Štandardne voľte AES pre všetko, čo opustí vašu organizáciu. Eskalujte na QES, keď je dopad sporného podpisu veľký — mnohomiliónová zodpovednosť, regulované odvetvia alebo čokoľvek, čo by súd mohol skúmať. SES nechajte interným workflow schvaľovaniam, kde je podpis dokumentáciou, nie ochranou.

Kapitola 05

Porovnanie: SES vs AES vs QES

SES

Žiadne overenie totožnosti. Žiadne šifrovanie. Podľa eIDAS platný, no ľahko spochybniteľný. Vhodný pre interné workflow.

AES

Kvalifikovaný certifikát, detekcia manipulácie, kryptografická väzba. Praktický štandard pre obchodné zmluvy.

QES

Overenie štátneho ID kvalifikovaným poskytovateľom dôveryhodných služieb. Právne rovný vlastnoručnému podpisu.

Kapitola 06

Úprimné zhrnutie

Väčšina firiem potrebuje AES ako svoj základ. Je to voľba uvažujúceho človeka. Platíte za skutočnú bezpečnosť bez réžie plného overovania totožnosti podľa štátnych preukazov. Kryjete si chrbát pri bežných obchodných zmluvách bez zbytočnej komplikovanosti.

Niektoré firmy občas potrebujú QES pre konkrétne zmluvy s vysokou hodnotou. Pre takéto situácie si to zaveďte do workflow. Vedzte, kedy to potrebujete.

A SES? Ak ho nepoužívate interne alebo na tie najtriviálnejšie potvrdenia, beriete zbytočné riziko. Keď sa niečo pokazí, právne krytie tam nie je.

Vyberte správnu úroveň vedome