Slik legger du til eID-signaturer med "white-label" i ditt eget produkt

Når et digitalt dokument skal signeres, kan organisasjoner og enkeltpersoner benytte seg av elektroniske signaturer.

Dette er digitale motstykker til håndskrevne signaturer og tjener et lignende formål.

Men ikke alle elektroniske signaturer er like gode.

La oss se på de tre nivåene av elektroniske signaturer som er definert av eIDAS og hvor elektronisk forsegling passer inn i bildet.

Hva er de tre typene elektroniske signaturer?

eIDAS definerer en elektronisk signatur på følgende måte:

"En elektronisk signatur er data i elektronisk form som er knyttet til eller logisk forbundet med andre data i elektronisk form, og som brukes av underskriveren til å signere, dersom underskriveren er en fysisk person."

Samtidig avhenger den juridiske vekten en elektronisk signatur har av typen signatur.

I henhold til eIDAS-regelverket kan elektroniske signaturer i tre forskjellige lag, med ulike, med ulike krav til verifisering og juridisk gyldighet.

Disse er knyttet til tre nivåer av sikkerhet i EUDI-rammeverket - lav, betydelig eller høy - som refererer til "graden av tillit til den påståtte identiteten til en person".

La oss se nærmere på de tre typene signaturer og bruksområdene for dem.

Hvis du vil vite mer om de ulike tillitsnivåene, kan du lese "eIDAS Level of Assurance in Different National eID Schemes".

De tre nivåene for elektroniske signaturer: Forklart

En rask skribling på en berøringsskjerm er teknisk sett en elektronisk signatur. Det samme er en kryptografisk verifisert signatur knyttet til en nasjonal eID.

Hva du bruker, avhenger av situasjonen og hvor sikker du ønsker å være på underskriverens identitet. De tre nivåene bygger på hverandre, og hvert nye nivå må oppfylle minimumskravene til det lavere nivået.

Nivå 1: Enkle elektroniske signaturer (SES)

Dette refererer til enhver elektronisk indikasjon på en intensjon om å signere. På dette nivået er det ingen spesifikke krav til identitetsverifisering, sertifikater eller manipuleringsdeteksjon.

Noen eksempler på enkle elektroniske signaturer:

• Liming av en skannet håndskrevet signatur i et dokument (f.eks. PDF)
• Skrive inn navnet ditt i en e-post relatert til avtaler
• Å klikke på "Jeg samtykker" i et nettbasert skjema
• Tegne en skribling på en berøringsskjerm

Enkle elektroniske signaturer er nok for de fleste dagligdagse situasjoner med lav innsats, for eksempel pakkekvitteringer, samtykkeskjemaer for ansatte og tjenestevilkår på nettet.

Men for scenarier som krever et mer robust identitetsbevis, trenger du noe sterkere.

Nivå 2: Avanserte elektroniske signaturer (AES)

Avanserte elektroniske signaturer er et betydelig steg opp fra SES og gir kryptografisk bevis på underskriverens identitet.

I henhold til eIDAS må en signatur oppfylle noen spesifikke krav for å regnes som AES:

1. Den må være entydig knyttet til og kunne identifisere underskriveren
2. Underskriveren må beholde kontrollen over signeringen
3. Enhver etterfølgende endring av den opprinnelige signaturen må kunne oppdages

I praksis innebærer dette ofte at underskriveren bruker en nasjonal eID for å autentisere seg. Dette binder signaturen kryptografisk til dokumentet, noe som betyr at enhver fremtidig manipulering er lett å oppdage.

Når noen åpner et AES-signert dokument, vil signaturpanelet vise navnet på den enkelte underskriveren. På denne måten kan mottakerne umiddelbart se hvem som har signert dokumentet, uten å måtte sjekke eksterne kilder.

Avanserte elektroniske signaturer brukes ofte til kontrakter, lånesøknader og andre avtaler som krever en validert personlig signatur.

Idura jobber med å tilby personbasert AES. Hvis du er interessert, kan du registrere deg for tidlig tilgang.

Nivå 3: Kvalifiserte elektroniske signaturer (QES)

For de aller fleste sign erte kontrakter er avanserte elektroniske signaturer tilstrekkelig.

Men i enkelte bransjer kan regelverket kreve en enda sterkere metode.

Det er her QES kommer inn i bildet. Kvalifiserte elektroniske signaturer har to tilleggskrav:

1. En QES må opprettes av en kvalifisert signaturskapingsenhet (QSCD). Dette er smartkort, SIM-kort, USB-minnepinner osv. som er i stand til å beskytte personens elektroniske signaturopprettingsdata.
2. QES må være basert på et kvalifisert sertifikat, utstedt av en leverandør som offisielt har fått status som "kvalifisert" av en nasjonal myndighet. Du finner disse leverandørene på EUs liste over pålitelige leverandører.

Et eksempel på en bransje der QES er eksplisitt påkrevd, er den norske forsyningssektoren. Her krever nylige forskrifter krever at strømleverandører samler inn QES som bevis på kundens samtykke ved bytte av leverandør.

Det som gjør dette mulig, er det faktum at Stø (selskapet som står bak norsk BankID) er på EUs tillitsliste mens danske MitID og svenske BankID ennå ikke har tilsvarende kvalifiserte standarder i ryggen.

QES er bare virkelig nødvendig når strenge regler krever det, for eksempel i forbindelse med skatteregistreringer, innleveringer til myndighetene og pasientjournaler. Den ekstra innsatsen og kompleksiteten er ikke verdt det i situasjoner der AES allerede gjør jobben.

Idura tilbyr QES i Norge. Les mer om dette: "Idura tilbyr kvalifiserte elektroniske signaturer gjennom norsk BankID"

De tre nivåene: Sammenligning side om side

Her ser vi på signaturnivåene og hvordan de står i forhold til hverandre:

Hvor passer "forsegling" inn?

Så langt har vi fokusert på elektroniske signaturer fra enkeltpersoner.

Men eIDAS har et eget "forseglingsspor" for juridiske enheter. Her er den offisielle definisjonen av et elektronisk segl (vår utheving):

"Et elektronisk segl er data i elektronisk form som er knyttet til eller logisk forbundet med andre data i elektronisk form for å sikre sistnevntes opprinnelse og integritet, der skaperen av et segl er en juridisk person (i motsetning til den elektroniske signaturen som er utstedt av en fysisk person)."

En signatur er med andre ord knyttet til en person (og uttrykker vedkommendes samtykke), mens et segl er knyttet til en organisasjon (og bekrefter et dokuments opprinnelse og integritet).

En parallell tredelt struktur for segl

Akkurat som elektroniske signaturer følger elektroniske segl et nesten identisk spor: Enkelt, avansert og kvalifisert. Kravene på hvert nivå gjenspeiler også kravene til signaturer, med noen mindre unntak.

Den viktigste forskjellen er hvilket sertifikat som vises på dokumentet.

Når du åpner et forseglet dokument i for eksempel Adobe Reader, vil "signatur"-feltet faktisk vise navnet på organisasjonen bak forseglingen i stedet for navnet på den enkelte underskriveren. Undertegnerens identitet registreres fortsatt i prosessen (f.eks. via eID), men den blir lagt inn som bevis i dokumentet i stedet for å vises direkte.

Hvorfor B2B-kunder kanskje foretrekker autentisert forsegling

Mange leverandører av signeringstjenester, inkludert Idura Signatures opererer faktisk med et forseglingsspor i stedet for et signaturspor.

Det er fordi de fleste B2B-kunder synes at forsegling er både praktisk og tilstrekkelig for deres behov. Det gjelder for eksempel, danske investeringsplattformen Tobi. De bruker Idura Signatures' produkt "authenticated sealing" for å la kundene signere med MitID, som dekker alle juridiske krav som KYC.

Slik fungerer Idura Signatures i praksis:

1. Et dekryptert dokument som skal signeres, vises til underskriveren.
2. Underskriveren autentiserer seg med sin nasjonale eID og signerer dokumentet.
3. Idura legger inn underskriverens identitet som bevis i dokumentet.
4. Idura forsegler dokumentet med sitt eget EUTL-sertifikat.
5. Den forseglede PDF-filen krypteres på nytt og lagres på sikre servere.

Resultatet er et juridisk bindende dokument med sabotasjesikring og et fullstendig revisjonsspor. Signererens identitet verifiseres i bakgrunnen, og "Signed by Idura Signature Service" vises i PDF-panelet.

Når er forsegling ikke nok?

Forsegling dekker de fleste av våre kunders forretningskrav.

Men hvis du eller dine motparter må vise identiteten til personen som har signert dokumentet (i stedet for signaturtjenesten som står bak), er det nødvendig med en signatur med et personlig sertifikat.

På denne måten kommer navnet til underskriveren tydelig frem i stedet for bare å være innebygd som bevis.

Idura jobber med å tilby personbaserte elektroniske signaturer. Hvis du er interessert, kan du registrere deg for tidlig tilgang.

Hvordan velge riktig alternativ

Hva som er riktig for din virksomhet, avhenger av hvordan du svarer på to viktige spørsmål:

1. Har du behov for å vise navnet til underskriveren på dokumentet?
2. Hvilket sikkerhetsnivå trenger du?

Det første svaret forteller deg om du trenger en elektronisk signatur eller et elektronisk segl.

Det andre svaret avgjør hvilket av de tre nivåene - enkel, avansert eller kvalifisert - du bør velge.

Slik passer Iduras nåværende produkttilbud inn i bildet:

Valg av leverandør av elektronisk signatur

Når du har bestemt deg for forsegling vs. signatur og vet hvilket nivå du er ute etter, er neste steg å velge en signaturtjeneste.

Det riktige valget avhenger ofte av om du ønsker å designe din egen flyt eller om du vil bruke en ferdigsignert plattform.

Idura Signatures gir deg white-label eID-signerings- og forseglingsløsninger.

For å prøve det selv, opprett en gratis konto og begynn å teste med noen få klikk.

Hvis du ønsker en bedre forståelse av hvordan Idura Signatures fungerer, sjekk ut dokumentasjonen vår.

Hvis du ønsker å legge til eID-baserte signaturer i produktet eller tjenesten din, har du to hovedalternativer:

1. Bruk en plattform som er klar til å signere, og som tar seg av hele signeringsflyten og grensesnittet
2. Utforme din egen flyt rundt en eID-motor som håndterer verifisering bak kulissene og dokumentsignering

Begge leverer juridisk gyldige eID-signaturer via de samme nasjonale identitetssystemene (MitID, BankID og så videre).

Den største forskjellen er strategisk eierskap: Hvem har ansvaret for brukeropplevelsen når noen signerer et dokument?

Plattformtilnærmingen behandler signaturer som en ekstern, tredjeparts opplevelse. Med egen flyt får du mer kontroll over hele signeringsarbeidsflyten.

Så hvordan bestemmer du deg for hvilken løsning du skal velge?

La oss sammenligne de to alternativene, de viktigste forskjellene mellom dem og hvordan du velger den som passer best for dine behov.

Hva er en plattform som er klar til signering?

Det er akkurat det det høres ut som: en komplett ende-til-ende-signeringstjeneste.

Leverandøren håndterer hele signeringsflyten, backend-infrastrukturen og brukergrensesnittet.

I dette scenariet overlater du brukeren til leverandørens miljø når det er på tide å signere.

Hva det betyr i praksis:

• Du integrerer med plattformens API, men brukerne blir omdirigert til plattformens signeringsside for å fullføre prosessen.
• Merkevarebyggingen din er vanligvis begrenset til logoer og fargejusteringer. (Fullstendige white label-løsninger kan tilbys i høyere prisklasser eller som tillegg).
• Du kan ofte koble deg sømløst til CRM-, HR-systemer og dokumenthåndteringsverktøy via tredjepartsplattformen.
• Dokumentarbeidsflyter og signaturdata administreres og lagres av leverandøren av signaturløsningen.
• Kort tid til markedet: Ofte dager med minimal intern utvikling eller teknisk ekspertise.

Denne modellen fungerer utmerket for organisasjoner som trenger en pålitelig signaturfunksjonalitet raskt, uten å måtte innlemme den i sitt eget produkt.

Den er best når signering er en støttefunksjon, for eksempel HR-avdelinger som behandler ansettelseskontrakter, eller innkjøpsteam som håndterer leverandøravtaler.

Hva er alternativet "Design din egen flyt"?

Denne tilnærmingen behandler eID-signaturer som komponenter som kan bygges inn i dine egne produkter.

Du kobler deg til en signaturmotor via API, men bygger ditt eget opplevelseslag på toppen av den. Brukerne dine forlater aldri applikasjonen din: Signering føles som en naturlig del av produktet ditt.

Hva dette betyr i praksis:

• Brukerne forblir i det digitale miljøet ditt gjennom hele signeringsreisen.
• Verifiseringen skjer i kulissene via relevante nasjonale eID-er.
• Du bestemmer hvordan signeringsflyten skal se ut, oppføre seg og integreres med prosessene dine.
• Du kontrollerer hvilke data du lagrer, og hvordan signeringen passer inn i arkitekturen din.
• Signering blir en integrert del av produktet ditt i stedet for et separat verktøy.

Denne modellen passer best for selskaper som ser på signering som en sentral del av produktet sitt, i stedet for en driftsoppgave som kan outsources.

Tenk på programvareselskaper som bygger inn signaturer i en kundeorientert løsning, eller organisasjoner i sensitive bransjer som offentlige myndigheter eller finanssektoren som ønsker å eie miljøet for å redusere friksjon og personvernproblemer.

En rask måte å avgjøre...

Her er en enkel tommelfingerregel som hjelper deg med å velge riktig alternativ.

Velg en signeringsplattform hvis:

• Du ønsker å komme raskt i gang med minimal innsats.
• Signaturer er en støttefunksjon snarere enn en differensierende faktor for virksomheten.
• Du ikke har noe imot å overlate brukerne til tredjepartsplattformens UX, merkevarebygging og arbeidsflyt.
• Du kan ikke allokere interne ressurser til å implementere eID-signaturflyter.

Velg din egen flyt hvis:

• Signering er en integrert del av produktet eller tjenesten du tilbyr.
• Du trenger full kontroll over merkevarebygging og brukeropplevelse.
• Du vil at signeringen skal føles helt naturlig uten forstyrrende viderekoblinger.
• Langsiktig eierskap er viktigere enn rask markedsintroduksjon.
  

Hvordan står de to alternativene seg mot hverandre?

Her er en sammenligning side om side for å hjelpe deg med å ta en informert beslutning:

En sjekkliste for praktiske beslutninger

Dette er sjelden et rent teknisk spørsmål. Avgjørelsen koker ofte ned til:

• Hvem som eier brukeropplevelsen i det øyeblikket forpliktelsen inngås
• Hvor mye kontroll du har over merkevarebygging og flyt
• Din langsiktige produktdifferensiering
• Hvor avhengig du er av en tredjeparts veikart

Her er en praktisk sjekkliste du kan bruke til å styre samtalen i din egen bedrift:

1. Merkevare og brukeropplevelse

• Ønsker vi full kontroll over signeringsopplevelsen?
• Er det viktig å få brukerne til å føle at de aldri forlater produktet eller tjenesten vår?
• Trenger vi merkevarebygging per kunde eller per leietaker?

Flere "ja" = bygg din egen flyt
Flere "nei" = velg en plattform som er klar til signering

2. Produktstrategi

• Er signering en stor del av vårt verditilbud?
• Ønsker vi at signering skal være et konkurransefortrinn?
• Vil vi tilby signering som en funksjon til klienter eller kunder?

Flere "ja" = bygg din egen flyt
Flere "nei" = velg en plattform som er klar til signering

3. Arkitektur og eierskap

• Trenger vi arkitektonisk kontroll over signeringsprosessene?
• Vil vi unngå å være avhengige av et eksternt veikart?

Mer "ja" = bygg din egen flyt
Mer "nei" = velg en plattform som er klar til signering

4. Ressurser og timing

• Har vi ressurser og kompetanse til å integrere signering på riktig måte?
• Har vi råd til å vente med å lansere signeringsflyten?
• Verdsetter vi strategisk fleksibilitet fremfor rask lansering?

Mer "ja" = bygg din egen flyt
Mer "nei" = velg en plattform som er klar til signering

Hvorfor ikke en hybrid tilnærming?

I den virkelige verden er beslutningene sjelden så svart-hvite.

Du har kanskje flere avdelinger i organisasjonen, hver med sine egne behov når det gjelder eID-signaturer. Eller du kan være under press for å lansere raskt, samtidig som du planlegger å jobbe mot en egenflytløsning lenger frem i tid.

I noen tilfeller kan det være lurt å velge en mellomløsning:

• Utform en kundeorientert flyt med en innebygd eID-signaturmotor, mens du bruker hyllevareplattformer for interne signeringsbehov.
• Start med en plattform som er klar til signering, mens du gradvis utvikler din egen flyt for å erstatte den senere.
• Velg en forutsigbar prismodell per bruker til å begynne med, men vær klar til å skifte gir hvis virksomheten skalerer.
• ...og så videre

Det trenger ikke alltid å være et enten-eller, så lenge du er bevisst på det. Identifiser hvilke deler av virksomheten som trenger hastighet og bekvemmelighet, og hvilke deler som krever mer kontroll.

Bland og match deretter deretter.

Så ... hva bør du velge?

Som du ser, handler valget til syvende og sist om hvilken rolle signaturer spiller i virksomheten din, nå og i fremtiden.

Signeringsklare plattformer er ideelle når du trenger en enkel og rask måte å lansere en signaturløsning på med et minimum av innsats. De fungerer pålitelig og kan enkelt dekke dine interne behov for signering av dokumenter.

Egne signeringsflyter er best når du trenger å innlemme signering i kjerneproduktet ditt. Selv om de ofte krever mer involvering og eierskap fra din side, gir de deg langt større kontroll og strategisk fleksibilitet, samtidig som de fungerer som et konkurransefortrinn.

Nå bør du vite nøyaktig hvor hvert alternativ passer inn i din egen virksomhet.

Behold kontrollen over signeringsflyten med Idura

Iduras eID-signaturer gjør det enkelt å designe din egen signeringsflyt.

Vi tar oss av motoren og overlater merkevarebyggingen til deg.

La brukerne signere uten å forlate produktopplevelsen din.

Lær mer om vår eID-signaturløsning.

Digitale signaturer er en hjørnestein i moderne kryptografi.

De bidrar til å sikre autentisitet, integritet og ubestridelighet i digital kommunikasjon.

Men selv om de er gode til å bevise identitet og verifisere at data ikke har blitt tuklet med, gir digitale signaturer ikke personvern.

Her er hvorfor:

Slik fungerer digitale signaturer

Digitale signaturer er utformet for å autentisere en melding og knytte den til avsenderen, omtrent som en håndskrevet signatur.

De er basert på asymmetrisk kryptografi, som innebærer to matematisk forbundne nøkler: en privat nøkkel og en offentlig nøkkel.

1. Avsenderen bruker sin private nøkkel til å signere en melding ved å kryptere en hash av meldingen. Dette skaper en digital signatur.
2. Andre kan deretter bruke avsenderens offentlige nøkkel til å dekryptere signaturen og verifisere hashen. Hvis hashen stemmer overens med en uavhengig beregnet hash fra meldingen, er signaturen gyldig, noe som bekrefter avsenderens identitet og meldingens integritet.

Denne mekanismen sikrer at meldingen ikke har blitt endret, og gir bevis på avsenderens identitet.

Prosessen innebærer imidlertid ikke at innholdet i meldingen skjules.

Ingen kryptering

Digitale signaturer opererer på klartekst eller en hash.

Dette gjør meldingen lesbar for alle som har tilgang til den. Dette er noe annet enn kryptering, som skjuler dataene for å hindre uautorisert tilgang.

Offentlig verifisering

En digital signatur kan verifiseres av hvem som helst med avsenderens offentlige nøkkel.

Dette sikrer åpenhet og tillit, men det betyr også at signaturen og den tilhørende meldingen ikke er privat.

Identiteten kan spores

Digitale signaturer knytter i seg selv signatarens identitet til meldingen gjennom nøkkelparet. Denne åpenheten er avgjørende for tilliten og oppfyller formålet med digitale signaturer.

Sikrer både personvern og integritet

Selv om digitale signaturer sikrer autentisitet og integritet, skjuler de ikke innholdet eller forhindrer sporing. For å oppnå både personvern og autentisitet kreves det ytterligere tiltak, for eksempel kryptering eller blindsignaturer. Med blindsignaturer kan en melding skjules før den signeres, slik at den kan verifiseres uten at det opprinnelige innholdet avsløres. Dette er spesielt verdifullt i personvernfokuserte applikasjoner, for eksempel anonyme stemmegivninger og digitale kontantsystemer.

Learn more about our customers

Criipto provides secure and efficient digital identity solutions for more than 400 businesses.

Learn why companies and organizations from several different industries choose Criipto for eID authentication or digital signatures.

{{cta('a4fb0556-f209-4b30-bf24-e00149f84d30')}}