Ko govorimo o digitalizaciji poslovanja v podjetjih, ne govorimo samo o digitalizaciji njihovih proizvodnih procesov in digitalni podpori njihovim storitvam. Pojem digitalizacija zajema tudi poslovne procese na splošno, t.j. papirni delotok podjetij.
Digitalizacija torej naslavlja med drugim tudi procese ustvarjanja in upravljanja z dokumentacijo, distribucijo, hrambo in – podpisovanje dokumentov.
Popolnoma nesmiselno je namreč, da neki dokument ustvarimo s pomočjo pisarniške programske opreme na računalniku, ga natisnemo, podpišemo, zložimo v ovojnico in pošljemo ali celo osebno dostavimo prejemniku, da ga podpiše. In ko ga podpisanega dobimo nazaj, prav tako nima smisla, da ga znova poskeniramo, sken odložimo v elektronsko odlagališče, izvirnik pa shranimo, kjer običajno shranjujemo dokumentacijo.
Elektronski podpis – splošno je v rabi tudi besedna zveza digitalni podpis – nam prihrani več korakov v zgoraj opisani logistiki pa tudi čas, da s stranko dejansko sklenemo posel. Seveda se pri tem najpogosteje vprašamo:
Ali je elektronski podpis varen?
Naj na prvem mestu razložimo pojma elektronski in digitalni podpis. Da podpisu rečemo elektronski, je dovolj že, da uporabimo neko poljubno elektronsko (podpisno) sredstvo in se podpišemo oziroma da se recimo podpišemo na običajen papir, podpis zajamemo (poskeniramo) in ga uporabimo za podpisovanje dokumentov tako, da ga prilepimo na dokument v pisarniškem programu. Tak način je sicer elektronski, vendar varen zagotovo ni.
Digitalni podpis predstavlja obliko elektronskega podpisa, ki temelji na kompleksni strukturi javnih ključev (Public Key Infrastructure ali krajše PKI). PKI za varno upravljanje podpisov ustvari zasebni in javni (kriptografski) ključ. Zasebni ključ je skrivni podatek, ki ga ima samo podpisnik, javni ključ pa je dostopen vsem, ki preverjajo e-podpis oziroma njegovo pristnost.
Ko podpisnik elektronsko podpiše dokument, za seboj pusti edinstven “prstni odtis”, tako imenovano kriptografsko zgoščeno vrednost (ali hash po angleško). To vrednost poseben kriptografski algoritem s pomočjo zasebnega ključa pošiljatelja dokumenta zakodira (šifrira), jo doda k dokumentu in pošlje prejemniku (lahko skupaj z javnim ključem pošiljatelja). Prejemnik potem s pomočjo pošiljateljevega javnega ključa (ki je javno objavljen kot del pošiljateljevega digitalnega potrdila) prejeto zgoščeno vrednost v dokumentu najprej dekodira (dešifrira) in vzporedno ustvari vrednost direktno od prejetega dokumenta (seveda z istim kriptografskim algoritmom, kot ga je uporabil pošiljatelj za izdelavo prstnega odtisa). Obe vrednosti (tisto, ki jo je dobil z dešifriranjem, in tisto, ki jo je dobil neposredno iz dokumenta) primerja in če se ujemata, potrdi pristnost podpisa in odsotnost vsakršnih posegov v dokument.
Infrastruktura javnih ključev predstavlja sicer še nekoliko kompleksnejši ustroj, saj poskrbi za to, da so javni ključi podpisnikov del digitalnih potrdil in da so podpisniki oziroma imetniki digitalnih potrdil ustrezno (osebno) preverjeni. Le tako lahko zaupamo, da javni ključ (in njegov zasebni par) pripada točno določenemu posamezniku. Tako potrdilo namreč izda overitelj, ki s svojim podpisom jamči, da je vse prav in imetnik para ključev identificiran.
Za varnostne vidike elektronskega (digitalnega) podpisovanja skrbi hkrati domača in mednarodna zakonodaja. Na mednarodni ravni za zakonsko skladnost – in posledično varnost – elektronskih podpisov v Evropski uniji skrbi predvsem Uredba eIDAS (electronic IDentification, Authentication and trust Services). Ta elektronski podpis opredeljuje kot niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje.
Uredba eIDAS ločuje tri tipe elektronskega podpisa:
elektronski podpis (electronic signature – ES) predstavlja najpogostejšo vrsto elektronskega podpisa, ker je najenostavnejši za uporabo in ne zahteva nikakršnega preverjanja identitete (recimo vaše ime in priimek, ki ju natipkate na koncu elektronskega sporočila) in uporablja zgolj osnovna orodja za e-podpisovanje;
napredni elektronski podpis (advanced electronic signature – AES) je ustvarjen na podlagi podatkov za ustvarjanje elektronskega podpisa, enolično je povezan s podpisnikom, ki jih podpisnik z visoko stopnjo zaupanja lahko uporablja izključno pod svojim nadzorom, z njim ga lahko identificiramo, opazna je vsaka naknadna sprememba podatkov;
kvalificirani elektronski podpis (qualified electronic signature – QES) temelji na kombinaciji kvalificiranega digitalnega potrdila kvalificiranega ponudnika storitev zaupanja (overitelja) in posebnega elektronskega sredstva oziroma namenske naprave za ustvarjanje podpisa, na primer pametne kartice, SIM kartice, USB-ključka ali rešitve podpisa na daljavo.
Popolnoma enako pravno veljavnost kot lastnoročni podpis na klasičnem papirnem dokumentu ima privzeto kvalificirani elektronski podpis, a se pravni učinek zopet privzeto ne odvzema nobeni od ostalih oblik elektronskih podpisov. Elektronsko lahko sicer podpisujemo skoraj vse vrste dokumentov, kot bi jih sicer lastnoročno: pogodbe, dokumente poslovodnih organov, zavarovalne police, bančne posojilne pogodbe, logistično dokumentacijo, zdravstvene kartoteke, najemne pogodbe, kadrovsko dokumentacijo, naročila, dobavnice, projektna poročila, tehnično dokumentacijo, pogodbe o nerazkritju informacij, primopredajne zapisnike ...
Seveda pa odločitev, kateri elektronski podpis uporabite, temelji na vrsti dokumentacije in poslovnem tveganju, povezanem z dokumentacijo. Za določene dokumente zakonodaja določa celo rabo kvalificiranega elektronskega podpisa, medtem ko v primeru podpisa dokumentov z nekom, s komer sodelujete redno oziroma ste ga v preteklosti že avtenticirali, najvišje stopnje zanesljivosti zagotovo ne potrebujete.
Višja kot je zahtevana zanesljivost, okornejša je uporaba. V določenih okoljih celo nepraktična za uporabo (uporaba namenskih naprav), zato so na voljo različne izpeljanke, ki so vsaj z vidika varnosti povsem enakovredne, a hkrati prijaznejše za uporabo (oddaljen podpis, lastnoročni elektronski podpis).
Storitve zaupanja, vključno s ponudniki kvalificiranih potrdil za elektronski podpis, ki so skladne z Uredbo eIDAS, so vključene v zanesljivi seznam ponudnikov kvalificiranih storitev zaupanja v EU.
V Sloveniji imamo še vzporedno zakonodajo evropski, ki sicer ureja področje varne elektronske hrambe dokumentarnega gradiva (Zakon o varstvu dokumentarnega in arhivskega gradiva in arhivih, ZVDAGA). Ta del pravnega reda nam med drugim zagotavlja podlago, da papirno gradivo pretvorimo v elektronsko in če je pretvorba verodostojna, izvirnik zavržemo, ohranimo pa zgolj elektronsko ustvarjeno različico. Na enak način lahko sproti pretvarjamo lastnoročne podpise v elektronske z namenskimi podpisnimi tablicami. Če je tak zajem podpisa izveden v varnem okolju skladno z organizacijskimi ukrepi, ki jih prepoznava ZVDAGA (in podzakonskimi akti) in varno vkomponiran v (elektronski) dokument, velja, da je povsem enakovreden, kot če bi se lastnoročno podpisali na papirni dokument (in ga nato pretvorili – le da pretvorba celotnega dokumenta ni več potrebna).
Ali lahko kdor koli ponaredi moj digitalni podpis?
Za vsakim digitalnim podpisom se, kot smo že omenili, varno shrani revizijska sled, v kateri je zajeta zgodovina celotnega podpisnega postopka in povezava osebe z e-podpisom. Pri določenih oblikah podpisa (digitalni podpis na primer) uporabljamo tudi kriptografske algoritme, ki zanesljivo šifrirajo elemente podpisa, da je tako šifriran zapis praktično nemogoče razvozlati ali razbiti. Tako zaščito uporabljajo vsi napredni elektronski podpisi, kvalificirani podpisi in tudi lastnoročni elektronski podpisi, ustvarjeni s podpisno tablico (in s pomočjo kvalificiranega podpisa oziroma žiga).
Odgovor je torej: ne. Za razliko od klasičnega ročnega podpisa s črnilom, ki se ga lahko sicer nauči posnemati vsaka malo spretnejša roka, vašega elektronskega podpisa zaradi skrbno vgrajenih nivojev varnosti, avtentikacije in napredne kriptografije ne more nihče ponarediti. Še več, nihče ne more spremeniti niti enega znaka dokumenta ne da bi to takoj opazili.
Podpisnik mora seveda za varnost uporabe elektronskih sredstev za e-podpis ustrezno poskrbeti. Svoj zasebni ključ za (kvalificirano) podpisovanje mora varno hraniti na posebnem nosilcu (in seveda varno hraniti tudi sam nosilec), pri uporabi oddaljenega podpisovanja ali podpisovanja v oblaku pa mora skrbno varovati svoje podatke za dostop. Podpisnik tako običajno najprej prejme nanj naslovljeno elektronsko sporočilo s povezavo do dokumenta, potem pa za dostop do varnega predala, kjer se dokument nahaja in kjer ga lahko v varnem okolju podpiše, še dokazati svojo identiteto. Temu je namenjenih več opcij, odvisno od vrste podpisa, uporabljene naprave za podpis (računalnik, tablica, telefon), zahtevane stopnje varnosti (nizka, srednja, visoka) itn., vedno na ustrezno varen način, da do dokumenta namesto njega ali v njegovem imenu ne more dostopati in ga podpisati nihče drug.
In kako se elektronski podpis obnese na sodišču?
Po evropski zakonodaji je praktično vsak besedni, zapisan in elektronski obojestranski dogovor zavezujoč in lastnoročni podpis ni edini pogoj za potrditev veljavnosti dogovora. V Evropski uniji je elektronski podpis pravno zavezujoč in se, če je skladen z Uredbo eIDAS, lahko na evropskih sodiščih uporablja kot dokaz.
Če ste torej elektronsko podpisali pogodbo s poslovnim partnerjem, ki pa se dogovora ne drži, je zakon na vaši strani. Kvalificiran elektronski podpis ima, kot rečeno, privzeto povsem enako pravno veljavnost kot lastnoročni, zato lahko svoje pravice po pogodbi na sodišču uveljavljate brez težav. Še več: avtentičnost podpisa zaradi revizijske sledi še lažje preverjamo.
In še en vidik varnosti elektronskega podpisovanja, varnost za vaše zdravje: verjetno ste že bili kdaj v situaciji, ko ste morali naenkrat podpisati goro papirjev. Elektronsko podpisovanje je prijazno tudi do vašega zapestja.
BetrSign® je preprosta in za uporabo prijazna storitev za e-podpisovanje, ki jo je razvilo slovensko podjetje
SETCCE
. Omogoča vam možnost oddaljenega podpisovanja z različnimi nivoji varnosti, lastnoročno elektronsko podpisovanje na prodajnem mestu s pomočjo podpisnih tablic in zaslonov ali kvalificirano podpisovanje v oblaku, z uporabo varnih nosilcev in tudi elektronske osebne izkaznice.
Preizkusite ga brezplačno in se že danes prepričajte o varnosti in zakonski skladnosti elektronskega podpisovanja na daljavo.
