eIDAS, GDPR, NIST: mida tänapäeva meeskonnad peaksid teadma digitaalallkirja nõuetele vastavuse kohta

Digitaalallkirja nõuetele vastavus ei puuduta enam ainult suuri ettevõtteid — see kehtib iga meeskonna kohta, kes allkirjastab lepinguid, võtab kliente pardale või jagab tundlikke dokumente veebis. eIDAS, GDPR, NIST ja ESIGN Act raamistikud vastavad samale küsimusele: kas seda allkirjastatud dokumenti saab kinnitada, jälgida ja õiguslikult kaitsta?

See juhend selgitab, mida iga raamistik nõuab, kuidas need omavahel toimivad ja mida teie allkirjastamise töövoog peab tegema kõigi nelja rahuldamiseks.

eIDAS (EL määrus 910/2014) määratleb kolm allkirja taset: SES (lihtne elektrooniline allkiri), AES (täiustatud elektrooniline allkiri) ja QES (kvalifitseeritud elektrooniline allkiri). Enamiku B2B lepingute puhul on AES minimaalselt nõutav tase. QES omab käsitsi allkirjaga sama juriidilist jõudu kõigis EL liikmesriikides.

eIDAS vastavus põhineb kolmel kontrollitaval tingimusel: allkirjastaja isik, dokumendi terviklikkus (krüptograafilise hashi kaudu) ja ajatempel.

Mittetagasivõetavus: õiguspõhimõte, mille kohaselt allkirjastaja ei saa hiljem eitada dokumendi allkirjastamist. Chaindoc saavutab selle PKI (avaliku võtme infrastruktuuri), dokumendi hashi ja võltsimiskindla auditijälje kaudu.

GDPR reguleerib allkirjastatud dokumentide isikuandmete töötlemist — sealhulgas kes pääseb ligi, kuidas salvestatakse ja kui kaua hoitakse.

Digitaalallkirjade peamised GDPR põhimõtted: andmete minimeerimine, terviklikkus ja konfidentsiaalsus, läbipaistvus, vastutus ja säilitamise piirang.

Chaindoc salvestab krüptograafilise hashi ahelas (ilma isikuandmeteta) ja isiklikud identifikaatorid krüpteeritud salvestuses väljaspool ahelat. Kustutamistaotluse korral kustutatakse isikuandmed väljaspool ahelat asuvast salvestusest; ahelas olev hash jääb tehingu tõendina alles.

NIST (SP 800-63 digitaalse isiku jaoks, SP 800-171 kontrollitud teabe jaoks) pakub turvalisuse selgroogu, mis toetab kõiki teisi vastavusraamistikke. Tööpõhimõte: alati kontrolli.

NIST SP 800-63 määratleb kolm autentimise tagatise taset (AAL). B2B töövoogude jaoks on AAL2 (mitmefaktoriline autentimine) minimaalne standard — muutes 2FA vastavusnõudeks.

Chaindoc rakendab: isiku tuvastamine enne juurdepääsu, RBAC, minimaalse privileegi põhimõte, pidev sündmuste logimine ja blockchaini ankurdatud auditijälg.

ESIGN Act (2000) on USA föderaalseadus, mis annab elektroonilistele allkirjadele sama juriidilise jõu kui käsitsi kirjutatud allkirjadele. 49 osariigi poolt vastu võetud UETA täiendab seda osariigi tasandil.

ESIGN Act on tehnoloogiliselt neutraalne (ilma määratletud tasemeteta), samas kui eIDAS määratleb kolm konkreetset taset (SES/AES/QES). Kui leping hõlmab USA ja EL pooli, peab töövoog samaaegselt vastama ESIGN Act'i kavatsuse ja omistamise nõuetele ning eIDAS AES terviklikkuse nõuetele.

Digitaalallkirja nõuetele vastavus on muutunud ostja ootuseks. Ettevõtete hanketiimid, reguleeritud sektorite kliendid ja rahvusvahelised partnerid hindavad tarnijate allkirjastamise töövooge hoolsusanalüüsi osana.

Chaindoc kiirendab kinnitusi, asendades käsitsi kinnitamise taotlused automatiseeritud auditijälje juurdepääsuga, pakkudes iga allkirjastamissündmuse jaoks kontrollitud isiku omistamist ja säilitades kogu lepingu elutsükli vältel järjepidevaid dokumendistandardeid.

Nõuetele vastaval töövool on kolm asendamatut komponenti.

1. Ühtne tõeallikas: iga allkirjastatud dokument peab eksisteerima ühes kontrollitud asukohas, mis on juurdepääsetav ainult volitatud osapooltele.

2. Minimaalsed õigused (minimaalse privileegi põhimõte): juurdepääsuõigused peavad olema piiratud iga kasutaja rolli jaoks vajaliku miinimumiga.

3. Auditiks valmis väljundiga kontrollitud allkirjad: iga allkiri peab olema seotud kontrollitud isikuga, ajatempliga, seotud dokumendi hashiga ja sellega peab kaasnema võltsimiskindel auditijälg ning lõpetamissertifikaat.

Digitaalallkirja nõuetele vastavust eIDAS, GDPR, NIST ja ESIGN Act raamistikes juhib üks ühine põhimõte: iga allkirjastatud dokument peab olema tõendatavalt autentne, tõendatavalt muutmata ja tõendatavalt omistatud konkreetsele isikule konkreetsel hetkel.

Chaindoc rakendab neid kontrolle allkirjastamise töövoos nähtamatult. Kaasaegsete organisatsioonide jaoks ei ole nõuetele vastav allkirjastamise töövoog tegevuskulu — see on konkurentsieelis.