Jak na digitální podpis ve firmě: Právo, praxe a rizika skenů
Proč vůbec řešit digitální podpis?
Dnes už málokdo pochybuje o digitalizaci, ale spousta firem stále funguje v režimu „vytisknout – podepsat – naskenovat“. V čem je tento proces pro firmu nejvíce škodlivý?
Jako první vás jistě napadnou časové a finanční ztráty: než dokumenty vytisknete, podepíšete a naskenujete, následně zaarchivujete jejich fyzickou i elektronickou podobu, stojí to čas a peníze. Když vše podepisujete elektronicky, výrazně ušetříte. Ale náklady nejsou to jediné, čím si taková firma škodí.
Je tu i značné bezpečnostní riziko. Proces „vytisknout - podepsat - naskenovat“ vede ke vzniku takzvaného prostého elektronického podpisu, který s sebou nese značná bezpečnostní rizika. Jeho největší slabinou je snadná zneužitelnost, protože naskenovaný obrázek podpisu lze z dokumentu jednoduše vyjmout a zkopírovat na jinou listinu, aniž by o tom podepisující osoba věděla.
Na rozdíl od zaručeného elektronického podpisu nedokáže prostý sken spolehlivě prokázat, že jej připojila oprávněná osoba, a především neposkytuje žádnou záruku integrity dokumentu, takže nelze technicky ověřit, zda nebyl obsah dokumentu po podepsání změněný.
Z právního hlediska má takový podpis v případě sporů výrazně nižší důkazní váhu a důvěryhodnost než zaručený či kvalifikovaný elektronický podpis.
Lukáš Vaněček, CEO Elektronický podpis s.r.o.
Když se řekne „elektronický podpis“, mnoho podnikatelů si představí složité šifrování nebo tokeny. Je to dnes pro běžného majitele firmy už jednodušší?
Pokud podnikatel potřebuje nejvyšší formu důvěryhodnosti, tedy kvalifikovaný elektronický podpis, vyžadovaný například pro komunikaci se státní správou, žádat o dotace, nebo komunikovat napříč členskými státy EU, stále se obvykle neobejde bez fyzického zabezpečovacího prvku, jako je USB token nebo čipová karta, které slouží k bezpečnému uložení certifikátu a splňují požadavky evropského nařízení eIDAS.
V poslední době už ale máme k dispozici i tzv. HSM modul, do něhož je certifikát generován a podepisovat kvalifikovaným podpisem prostřednictvím softwarové aplikace Signer, kterou také nabízíme. Umožňuje podepisovat jene v PC, ale také na tabletu a v mobilu.
Zásadní zjednodušení nabízíme též v procesu pořízení, který byl dříve administrativně náročný a vyžadoval návštěvy poboček certifikačních autorit. Dnes mohou smluvní partneři registrační autority (my) přijet přímo do kanceláře firmy, ověřit totožnost, vystavit certifikát a vše nastavit v počítači během jedné hodiny. Tím odpadá nutnost studovat složité návody nebo čekat ve frontách na poště.
Samotné používání podpisu je pak v nastaveném prostředí intuitivní; například v programu MS Outlook nebo v PDF editorech lze dokument podepsat několika kliknutími, systém na pozadí při tom automaticky ověří platnost certifikátu a připojí případné časové razítko, pokud jej situace vyžaduje. Ani na tohle ale nebudete sami, i práci s podpisem vás rádi naučíme.
Dokážete odhadnout, kolik času nebo peněz může průměrná malá firma ušetřit přechodem na digitální dokumenty?
Záleží na velikosti firmy, týmu, rozsahu procesů apod. Nelze to přesně říci, nicméně efektivita se pak prolíná na vícero úrovních.
Právo a bezpečnost (Co klienty pálí nejvíc)
Má digitální podpis stejnou váhu u soudu nebo na úřadech jako ten na papíře? Jsou nějaké dokumenty, které se stále „musí“ podepisovat ručně?
Ano, digitální podpis může mít u soudu i na úřadech naprosto stejnou váhu jako ten na papíře, ale zásadně záleží na tom, jakou úroveň zabezpečení použiji.
Pokud disponuji takzvaným kvalifikovaným elektronickým podpisem, má tento podpis podle evropského nařízení eIDAS právní účinek rovnocenný vlastnoručnímu podpisu. S tímto typem podpisu, který vyžaduje kvalifikovaný certifikát generovaný do bezpečného zařízení, jako USB token či čipové karty, případně do HSM modulu, mohu právně jednat a podepisovat dokumenty s nejvyšší mírou důvěryhodnosti.
Naproti tomu takzvaný prostý elektronický podpis, což může být například jen naskenovaný obrázek podpisu v e-mailu nebo podpisový „klikyhák“ na tabletu kurýra, má výrazně nižší důkazní sílu. Úřady, soudy či zdravotní pojišťovny takový podpis pro důležité úkony zpravidla neuznávají, protože je snadno zneužitelný a nedokáže spolehlivě zaručit identitu podepisujícího a ani to, že dokument nebyl po podpisu nijak změněný.
Jak je to s bezpečností? Nemůže můj podpis někdo snadno zneužít, když je „jen v počítači“?
U profesionálního řešení, zejména u kvalifikovaného elektronického podpisu, je bezpečnost na úplně jiné úrovni. Kritická data pro vytvoření podpisu totiž zpravidla nejsou uložena volně na pevném disku počítače, odkud by je mohl někdo zkopírovat, ale na speciálním externím zařízení, bezpečnostním USB tokenu nebo čipové kartě, či se generují do HSM modulu. Fyzická zařízení které musím k počítači fyzicky připojit. Tento token funguje jako digitální trezor; soukromý klíč je v něm bezpečně uzamčen, nikdy ho neopustí a nelze jej zkopírovat.
Abych mohl dokument podepsat, musím splnit dvě podmínky, podobně jako u bankomatu: musím mít fyzicky u sebe tento token (něco, co vlastním) a musím zadat správný digitální PIN, často označovaný jako DSPIN (něco, co znám).
I kdyby mi tedy někdo ukradl počítač, bez mého tokenu nic nepodepíše. A i kdyby mi ukradl samotný token, bez znalosti PINu je mu k ničemu. V případě ztráty tokenu navíc mohu certifikát okamžitě zablokovat u poskytovatele, čímž riziko zneužití eliminuji. Elektronický podpis navíc chrání i samotný dokument. Díky kryptografii mám jistotu, že pokud by někdo v souboru změnil po mém podpisu byť jen jediné písmeno, podpis se v této verzi stane neplatným a změna bude okamžitě odhalena.
Co je to vlastně ta „online identita“ a jak souvisí s tím, jak dnes jednáme s úřady nebo obchodními partnery?
Online identita na té nejvyšší úrovni je pro mě v podstatě digitální obdobou občanského průkazu, kterou se prokazuji v prostředí internetu, kde mě druhá strana fyzicky nevidí. V praxi to znamená, že místo abych ukazoval plastovou kartičku na přepážce, používám k ověření své totožnosti zabezpečené nástroje, jako je například bezpečnostní token. Ten funguje jako digitální klíč a prokazuje, že jsem to skutečně já, kdo se snaží přihlásit nebo něco podepsat.
Ověření identity jde v mnoha případech dnes i snáz, například přes BankID, které používá 5 milionů uživatelů v Česku. Tam jde ale často jen o ověření pro přístup k určitým datům. Podpisy jsou věc jiná. S BankID nic podepsat nelze.
Praktické nasazení a integrace
Pokud se firma rozhodne začít podepisovat digitálně, co k tomu reálně potřebuje? Stačí jim mobil, nebo musí kupovat speciální software?
Pokud se firma rozhodne začít podepisovat digitálně, co k tomu reálně potřebuje? Stačí jim mobil, nebo musí kupovat speciální software?
Pokud se jako firma rozhodnu přejít na plnohodnotné digitální podepisování, pouhý mobilní telefon mi zpravidla stačit nebude. Pro vytvoření právně závazného podpisu na nejvyšší úrovni, který uznávají úřady i soudy (tzv. kvalifikovaný elektronický podpis), potřebuji kombinaci tří základních prvků: kvalifikovaného certifikátu, speciálního hardwaru a softwaru.
Zde je reálný seznam toho, co k tomu budu potřebovat:
-
Kvalifikovaný certifikát a bezpečný hardware (USB token) Aby měl můj podpis právní váhu vlastnoručního podpisu podle nařízení eIDAS, musím vlastnit kvalifikovaný certifikát. Ten nelze mít jen tak uložený v mobilu nebo volně na disku počítače; musí být vygenerován a uložen na takzvaném kvalifikovaném prostředku (QSCD), což je nejčastěji USB token nebo čipová karta.
Toto zařízení vypadá jako flash disk, připojuje se k počítači a chrání můj digitální klíč před zkopírováním. Mobilní telefon sice může sloužit jako autentizační prvek pro generování kódů (např. pro přihlášení), ale pro samotné vytvoření kvalifikovaného podpisu na dokumentu v počítači je standardem právě fyzický USB token.
Nicméně existuje „bezhardwarové“ řešení v podobě aplikace Signer, která umožňuje generovat kvalifikovaný certifikát do HSM modulu. Díky tomu odpadne nutnost mít USB token nebo čipovou kartu, ale podpis bude v úrovni kvalifikovaného tedy nejvyššího. Pak lze podepisovat i na mobilu či tabletu. - Obslužný software pro token (Middleware) Aby můj počítač s USB tokenem dokázal komunikovat, musím mít nainstalovaný speciální obslužný software, například SafeNet Authentication Client. Tento program mi umožní zadávat heslo k tokenu a Digitální PIN (tzv. DSPIN) při každém podpisu a spravovat certifikáty uložené na tokenu. Bez tohoto „neviditelného“ softwaru by počítač můj token nerozpoznal.
-
Aplikace pro práci s PDF a podepisování Samotný akt podepsání dokumentu (smlouvy, faktury) provádím v konkrétní aplikaci. Nemusím nutně kupovat ten nejdražší software na trhu, ale potřebuji nástroj, který digitální podpisy podporuje.
- Pro běžnou práci s PDF a jejich podepisování mohu využít například PDF-XChange Editor, který je cenově dostupnější než Adobe Acrobat a umožňuje nejen vkládat podpisy, ale i časová razítka, editovat texty nebo vytvářet formuláře. Případně lze pro podepisování využít program Adobe Acrobat Reader DC, který je zdarma a podporuje elektronické podepisování PDF dokumentů.
- Pokud chci podepisovat e-maily, vystačím si s běžným klientem, jako je MS Outlook, kde podpis nastavím přímo v Centru zabezpečení.
Pokud bych chtěl ušetřit a vyhnout se nákupu softwaru pro PDF, existují i varianty zdarma, ale profesionální nástroje mi výrazně usnadní práci, například díky hromadnému podepisování nebo možnosti přidat k podpisu vizuální „razítko“ či logo firmy. Reálně se tedy bez počítače a USB tokenu (nebo aplikace Signer) neobejdu, pokud chci, aby mé podpisy braly vážně úřady i obchodní partneři.
V DIGITREE stavíme weby a interní systémy. Jak složité je propojit elektronické podepisování přímo s webem, e-shopem nebo firemním CRM?
Pro tyto účely je možné nasadit na míru vyvinutý podpisový modul, který zajistí možnost podepisovat dokumenty přímo v prostředí dané aplikace. Jedná se však již o větší implementaci.
Jak na digitální podpis reagují koncoví zákazníci? Není to pro starší generaci nebo konzervativnější obory bariéra?
Příliš to bariéra není, neboť samotné podepisování je na několik málo kroků a není to složité. Obvykle jsou velmi spokojení, že nemusí chodit na poštu a vyřizovat si celý proces sami, ale že za nimi přijede konzultant, vše nastaví a uživatele zaškolí. A bývají překvapeni, že podpis je opravdu snadný.
Pohled do budoucna
Bankovní identita (BankID) udělala v Česku malou revoluci. Jaký další trend v oblasti digitálních dokumentů nás v nejbližších letech čeká?
Bankovní identita (BankID) udělala v Česku malou revoluci. Jaký další trend v oblasti digitálních dokumentů nás v nejbližších letech čeká?
Je jisté, že digitalizace bude dále prosakovat do dalších oblastí podnikání a života. Čím dál více firem bude přecházet na bezpapírový oběh dokumentů, digitální úložiště a archivaci. Uzavřít smlouvu bude čím dál jednodušší. Samostatným tématem pak může být AI, která přechází z experimentální fáze do jádra firemních systémů.
Kdyby měl majitel firmy udělat zítra jednu věc pro to, aby se zbavil šanonů, co byste mu doporučili?
Pokud bych měl doporučit jednu konkrétní věc, kterou můžete udělat hned, je to objednání služby externí registrační autority, která přijede přímo za vámi a zřídí vám kvalifikovaný elektronický podpis, včetně nastavení počítače. Tento krok je pro zbavení se šanonů naprosto zásadní, protože kvalifikovaný podpis má podle nařízení eIDAS právní účinek rovnocenný vlastnoručnímu podpisu. Díky němu můžete okamžitě přestat tisknout smlouvy, faktury i dokumenty pro státní správu a začít je řešit výhradně digitálně. Případně lze samozřejmě jít ještě dál a věnovat se vnitropodnikovým procesům hlouběji, upravit oběh a archivaci dokumentů. To je však již komplexnější řešení.
