eIDAS, GDPR, NIST: что современные команды должны знать о соответствии требованиям к цифровой подписи

Соответствие требованиям цифровой подписи больше не касается только крупных предприятий — оно применяется к любой команде, которая подписывает контракты, регистрирует клиентов или обменивается конфиденциальными документами онлайн. Системы eIDAS, GDPR, NIST и ESIGN Act отвечают на один и тот же вопрос: можно ли этот подписанный документ утвердить, отследить и защитить юридически?

В этом руководстве объясняется, что требует каждая система, как они взаимодействуют и что должен делать ваш рабочий процесс подписания, чтобы соответствовать всем четырём.

eIDAS (Регламент ЕС 910/2014) определяет три уровня подписи: SES (простая электронная подпись), AES (усовершенствованная электронная подпись) и QES (квалифицированная электронная подпись). Для большинства B2B-контрактов AES является минимально необходимым уровнем. QES имеет ту же юридическую силу, что и собственноручная подпись, во всех государствах-членах ЕС.

Соответствие eIDAS основано на трёх проверяемых условиях: личность подписавшего, целостность документа (с помощью криптографического хеша) и метка времени.

Неотказуемость: правовой принцип, согласно которому подписавший не может впоследствии отрицать факт подписания документа. Chaindoc обеспечивает её посредством PKI (инфраструктуры открытых ключей), хеша документа и защищённого от фальсификации журнала аудита.

GDPR регулирует обработку персональных данных в подписанных документах — в том числе кто может иметь к ним доступ, как они хранятся и как долго.

Ключевые принципы GDPR для цифровых подписей: минимизация данных, целостность и конфиденциальность, прозрачность, подотчётность и ограничение хранения.

Chaindoc хранит криптографический хеш on-chain (без персональных данных), а личные идентификаторы — off-chain в зашифрованном хранилище. При получении запроса на удаление персональные данные удаляются из off-chain-хранилища; хеш on-chain остаётся как подтверждение транзакции.

NIST (SP 800-63 для цифровой идентификации, SP 800-171 для контролируемой несекретной информации) обеспечивает основу безопасности для всех остальных систем соответствия. Принцип работы: всегда проверять.

NIST SP 800-63 определяет три уровня гарантии аутентификатора (AAL). Для B2B-процессов AAL2 (многофакторная аутентификация) является минимальным стандартом — что делает 2FA требованием соответствия.

Chaindoc реализует: верификацию личности перед предоставлением доступа, RBAC, принцип наименьших привилегий, непрерывное журналирование событий и журнал аудита, закреплённый в блокчейне.

ESIGN Act (2000) — федеральный закон США, предоставляющий электронным подписям ту же юридическую силу, что и собственноручным. UETA, принятый в 49 штатах, дополняет его на уровне штатов.

ESIGN Act является технологически нейтральным (без определённых уровней), тогда как eIDAS определяет три конкретных уровня (SES/AES/QES). Когда в контракте участвуют стороны из США и ЕС, рабочий процесс должен одновременно соответствовать требованиям намерения и атрибуции ESIGN Act и требованиям целостности AES eIDAS.

Соответствие требованиям цифровой подписи стало ожиданием покупателей. Корпоративные отделы закупок, клиенты из регулируемых отраслей и международные партнёры оценивают рабочие процессы подписания поставщиков в рамках комплексной проверки.

Chaindoc ускоряет согласования, заменяя запросы на ручную верификацию автоматизированным доступом к журналу аудита, обеспечивая верифицированную атрибуцию личности для каждого события подписания и поддерживая единообразные стандарты документации на протяжении всего жизненного цикла соглашения.

Соответствующий рабочий процесс имеет три обязательных компонента.

1. Единый источник истины: каждый подписанный документ должен существовать в одном контролируемом месте, доступном только для уполномоченных сторон.

2. Минимальные права (принцип наименьших привилегий): права доступа должны быть ограничены до минимально необходимого для роли каждого пользователя.

3. Верифицированные подписи с выводом, готовым к аудиту: каждая подпись должна быть привязана к верифицированной личности, иметь метку времени, быть связана с хешем документа и сопровождаться защищённым от фальсификации журналом аудита и сертификатом завершения.

Соответствие требованиям цифровой подписи в рамках eIDAS, GDPR, NIST и ESIGN Act определяется единым общим принципом: каждый подписанный документ должен быть доказуемо подлинным, доказуемо неизменённым и доказуемо приписанным конкретному лицу в конкретный момент времени.

Chaindoc реализует эти меры контроля незаметно в рабочем процессе подписания. Для современных организаций соответствующий рабочий процесс подписания — это не операционные расходы, а конкурентное преимущество.