eIDAS, GDPR, NIST: цифрлық қолтаңба сәйкестігі туралы заманауи командалар білуі тиіс

Цифрлық қолтаңба сәйкестігі енді тек ірі кәсіпорындардың ғана мәселесі емес — келісімшарттарға қол қоятын, клиенттерді тіркейтін немесе құпия құжаттарды онлайн бөлісетін кез келген командаға қолданылады. eIDAS, GDPR, NIST және ESIGN Act шеңберлері бір сұраққа жауап береді: осы қол қойылған құжатты бекіте, бақылай және заңды қорғай алады ма?

Бұл нұсқаулық әр шеңбердің талаптарын, олардың өзара әрекеттесуін және қол қою жұмыс процесіңіз төртеуін де қанағаттандыру үшін не істеу керектігін түсіндіреді.

eIDAS (ЕО 910/2014 регламенті) үш қолтаңба деңгейін анықтайды: SES (қарапайым электрондық қолтаңба), AES (жетілдірілген электрондық қолтаңба) және QES (сертификатталған электрондық қолтаңба). Көптеген B2B келісімшарттары үшін AES ең төменгі талап деңгейі болып табылады. QES барлық ЕО мүше мемлекеттерінде қолжазба қолтаңбасымен бірдей заңды күшке ие.

eIDAS сәйкестігі үш тексерілетін шартқа негізделеді: қол қоюшының жеке басы, құжат тұтастығы (криптографиялық хэш арқылы) және уақыт белгісі.

Бас тарту мүмкін еместігі: қол қоюшы кейінірек құжатқа қол қойғанын жоққа шығара алмайтын заңдық принцип. Chaindoc мұны PKI (ашық кілт инфрақұрылымы), құжат хэші және бұрмалануға төзімді аудит ізі арқылы жүзеге асырады.

GDPR қол қойылған құжаттардағы жеке деректердің қалай өңделуі керектігін реттейді — кімнің қол жеткізе алатынын, қалай сақталатынын және қанша уақыт сақталатынын қоса алғанда.

Цифрлық қолтаңбаларға арналған GDPR негізгі принциптері: деректерді азайту, тұтастық және құпиялылық, ашықтық, есептілік және сақтауды шектеу.

Chaindoc криптографиялық хэшті тізбектегі (жеке деректерсіз) және жеке идентификаторларды шифрланған жадта тізбектен тыс сақтайды. Жою сұранысы болғанда, жеке деректер тізбектен тыс жадтан өшіріледі; тізбектегі хэш транзакция дәлелі ретінде қалады.

NIST (цифрлық жеке бас үшін SP 800-63, бақыланатын ақпарат үшін SP 800-171) басқа барлық сәйкестік шеңберлерін қолдайтын қауіпсіздік арқауын қамтамасыз етеді. Жұмыс принципі: әрқашан тексеру.

NIST SP 800-63 үш Аутентификатор кепілдік деңгейін (AAL) анықтайды. B2B жұмыс процестері үшін AAL2 (көп факторлы аутентификация) ең төменгі стандарт болып табылады — бұл 2FA-ны сәйкестік талабына айналдырады.

Chaindoc жүзеге асырады: қол жеткізуден бұрын жеке басты тексеру, RBAC, ең аз артықшылық принципі, үздіксіз оқиға журналдау және блокчейнге бекітілген аудит ізі.

ESIGN Act (2000) электрондық қолтаңбаларға қолжазба қолтаңбасымен бірдей заңдық күш беретін АҚШ федералдық заңы. 49 штат қабылдаған UETA штат деңгейінде толықтыру болып табылады.

ESIGN Act технологиялық жағынан бейтарап (анықталған деңгейлер жоқ), ал eIDAS үш нақты деңгейді (SES/AES/QES) анықтайды. Келісімшартқа АҚШ пен ЕО тараптары қатысқанда, жұмыс процесі ESIGN Act-тің ниет және атрибуция талаптарын және eIDAS AES тұтастық талаптарын бір мезгілде қанағаттандыруы керек.

Цифрлық қолтаңба сәйкестігі сатып алушы күтуіне айналды. Корпоративтік сатып алу командалары, реттелген салалардағы клиенттер және халықаралық серіктестер жеткізушілердің қол қою жұмыс процестерін тиісті тексерудің бір бөлігі ретінде бағалайды.

Chaindoc қол қою оқиғаларының әрқайсысы үшін тексерілген жеке бас атрибуциясын қамтамасыз ете отырып, қолмен тексеру сұранысын автоматтандырылған аудит ізіне кіруге ауыстырып, бекітулерді жеделдетеді.

Сәйкес жұмыс процесінің үш міндетті компоненті бар.

1. Бірыңғай шындық көзі: қол қойылған әр құжат тек уәкілетті тараптарға қол жетімді бір бақыланатын жерде болуы керек.

2. Ең аз рұқсаттар (Ең аз артықшылық принципі): қол жеткізу құқықтары әр пайдаланушының рөліне қажетті минимуммен шектелуі керек.

3. Аудитке дайын шығысы бар тексерілген қолтаңбалар: әр қолтаңба тексерілген жеке баспен байланысты, уақыт белгісі бар, құжат хэшімен байланысты және бұрмалануға төзімді аудит ізімен және аяқталу сертификатымен бірге болуы керек.

eIDAS, GDPR, NIST және ESIGN Act шеңберіндегі цифрлық қолтаңба сәйкестігі жалпы принциппен басқарылады: қол қойылған әр құжат дәлелді түрде шынайы, дәлелді түрде өзгертілмеген және нақты уақытта нақты адамға дәлелді түрде жатқызылған болуы керек.

Chaindoc бұл бақылауларды қол қою жұмыс процесіне байқалмастай енгізеді. Заманауи ұйымдар үшін сәйкес қол қою жұмыс процесі операциялық шығын емес — бәсекелік артықшылық.