Når et digitalt dokument skal signeres, kan organisasjoner og enkeltpersoner benytte seg av elektroniske signaturer.
Dette er digitale motstykker til håndskrevne signaturer og tjener et lignende formål.
Men ikke alle elektroniske signaturer er like gode.
La oss se på de tre nivåene av elektroniske signaturer som er definert av eIDAS og hvor elektronisk forsegling passer inn i bildet.
Hva er de tre typene elektroniske signaturer?
eIDAS definerer en elektronisk signatur på følgende måte:
"En elektronisk signatur er data i elektronisk form som er knyttet til eller logisk forbundet med andre data i elektronisk form, og som brukes av underskriveren til å signere, dersom underskriveren er en fysisk person."
Samtidig avhenger den juridiske vekten en elektronisk signatur har av typen signatur.
I henhold til eIDAS-regelverket kan elektroniske signaturer i tre forskjellige lag, med ulike, med ulike krav til verifisering og juridisk gyldighet.
Disse er knyttet til tre nivåer av sikkerhet i EUDI-rammeverket - lav, betydelig eller høy - som refererer til "graden av tillit til den påståtte identiteten til en person".
La oss se nærmere på de tre typene signaturer og bruksområdene for dem.
Hvis du vil vite mer om de ulike tillitsnivåene, kan du lese "eIDAS Level of Assurance in Different National eID Schemes".
De tre nivåene for elektroniske signaturer: Forklart
En rask skribling på en berøringsskjerm er teknisk sett en elektronisk signatur. Det samme er en kryptografisk verifisert signatur knyttet til en nasjonal eID.
Hva du bruker, avhenger av situasjonen og hvor sikker du ønsker å være på underskriverens identitet. De tre nivåene bygger på hverandre, og hvert nye nivå må oppfylle minimumskravene til det lavere nivået.
Nivå 1: Enkle elektroniske signaturer (SES)
Dette refererer til enhver elektronisk indikasjon på en intensjon om å signere. På dette nivået er det ingen spesifikke krav til identitetsverifisering, sertifikater eller manipuleringsdeteksjon.
Noen eksempler på enkle elektroniske signaturer:
- Liming av en skannet håndskrevet signatur i et dokument (f.eks. PDF)
- Skrive inn navnet ditt i en e-post relatert til avtaler
- Å klikke på "Jeg samtykker" i et nettbasert skjema
- Tegne en skribling på en berøringsskjerm
Enkle elektroniske signaturer er nok for de fleste dagligdagse situasjoner med lav innsats, for eksempel pakkekvitteringer, samtykkeskjemaer for ansatte og tjenestevilkår på nettet.
Men for scenarier som krever et mer robust identitetsbevis, trenger du noe sterkere.
Nivå 2: Avanserte elektroniske signaturer (AES)
Avanserte elektroniske signaturer er et betydelig steg opp fra SES og gir kryptografisk bevis på underskriverens identitet.
I henhold til eIDAS må en signatur oppfylle noen spesifikke krav for å regnes som AES:
- Den må være entydig knyttet til og kunne identifisere underskriveren
- Underskriveren må beholde kontrollen over signeringen
- Enhver etterfølgende endring av den opprinnelige signaturen må kunne oppdages
I praksis innebærer dette ofte at underskriveren bruker en nasjonal eID for å autentisere seg. Dette binder signaturen kryptografisk til dokumentet, noe som betyr at enhver fremtidig manipulering er lett å oppdage.
Når noen åpner et AES-signert dokument, vil signaturpanelet vise navnet på den enkelte underskriveren. På denne måten kan mottakerne umiddelbart se hvem som har signert dokumentet, uten å måtte sjekke eksterne kilder.
Avanserte elektroniske signaturer brukes ofte til kontrakter, lånesøknader og andre avtaler som krever en validert personlig signatur.
Idura jobber med å tilby personbasert AES. Hvis du er interessert, kan du registrere deg for tidlig tilgang.
Nivå 3: Kvalifiserte elektroniske signaturer (QES)
For de aller fleste sign erte kontrakter er avanserte elektroniske signaturer tilstrekkelig.
Men i enkelte bransjer kan regelverket kreve en enda sterkere metode.
Det er her QES kommer inn i bildet. Kvalifiserte elektroniske signaturer har to tilleggskrav:
- En QES må opprettes av en kvalifisert signaturskapingsenhet (QSCD). Dette er smartkort, SIM-kort, USB-minnepinner osv. som er i stand til å beskytte personens elektroniske signaturopprettingsdata.
- QES må være basert på et kvalifisert sertifikat, utstedt av en leverandør som offisielt har fått status som "kvalifisert" av en nasjonal myndighet. Du finner disse leverandørene på EUs liste over pålitelige leverandører.
Et eksempel på en bransje der QES er eksplisitt påkrevd, er den norske forsyningssektoren. Her krever nylige forskrifter krever at strømleverandører samler inn QES som bevis på kundens samtykke ved bytte av leverandør.
Det som gjør dette mulig, er det faktum at Stø (selskapet som står bak norsk BankID) er på EUs tillitsliste mens danske MitID og svenske BankID ennå ikke har tilsvarende kvalifiserte standarder i ryggen.
QES er bare virkelig nødvendig når strenge regler krever det, for eksempel i forbindelse med skatteregistreringer, innleveringer til myndighetene og pasientjournaler. Den ekstra innsatsen og kompleksiteten er ikke verdt det i situasjoner der AES allerede gjør jobben.
Idura tilbyr QES i Norge. Les mer om dette: "Idura tilbyr kvalifiserte elektroniske signaturer gjennom norsk BankID"
De tre nivåene: Sammenligning side om side
Her ser vi på signaturnivåene og hvordan de står i forhold til hverandre:
|
SES |
AES |
QES |
|
|
Identitetsbekreftelse |
Nei (nasjonal eID) |
Ja (nasjonal eID) |
Ja (tillitslistet eID) |
|
Deteksjon av manipulering |
Nei (nasjonal eID) |
Ja (nasjonal eID) |
Ja (nasjonal eID) Ja |
|
Juridisk vekt |
Gyldig (men kan bestrides) |
Sterk |
Tilsvarende håndskrevet signatur |
|
Krav til underskrift |
Ingen krav |
Nasjonal eID-integrasjon |
QSCD + kvalifisert sertifikat |
|
Implementeringsinnsats |
Minimal |
Moderat |
Høy |
Hvor passer "forsegling" inn?
Så langt har vi fokusert på elektroniske signaturer fra enkeltpersoner.
Men eIDAS har et eget "forseglingsspor" for juridiske enheter. Her er den offisielle definisjonen av et elektronisk segl (vår utheving):
"Et elektronisk segl er data i elektronisk form som er knyttet til eller logisk forbundet med andre data i elektronisk form for å sikre sistnevntes opprinnelse og integritet, der skaperen av et segl er en juridisk person (i motsetning til den elektroniske signaturen som er utstedt av en fysisk person)."
En signatur er med andre ord knyttet til en person (og uttrykker vedkommendes samtykke), mens et segl er knyttet til en organisasjon (og bekrefter et dokuments opprinnelse og integritet).
En parallell tredelt struktur for segl
Akkurat som elektroniske signaturer følger elektroniske segl et nesten identisk spor: Enkelt, avansert og kvalifisert. Kravene på hvert nivå gjenspeiler også kravene til signaturer, med noen mindre unntak.
Den viktigste forskjellen er hvilket sertifikat som vises på dokumentet.
Når du åpner et forseglet dokument i for eksempel Adobe Reader, vil "signatur"-feltet faktisk vise navnet på organisasjonen bak forseglingen i stedet for navnet på den enkelte underskriveren. Undertegnerens identitet registreres fortsatt i prosessen (f.eks. via eID), men den blir lagt inn som bevis i dokumentet i stedet for å vises direkte.
Hvorfor B2B-kunder kanskje foretrekker autentisert forsegling
Mange leverandører av signeringstjenester, inkludert Idura Signatures opererer faktisk med et forseglingsspor i stedet for et signaturspor.
Det er fordi de fleste B2B-kunder synes at forsegling er både praktisk og tilstrekkelig for deres behov. Det gjelder for eksempel, danske investeringsplattformen Tobi. De bruker Idura Signatures' produkt "authenticated sealing" for å la kundene signere med MitID, som dekker alle juridiske krav som KYC.
Slik fungerer Idura Signatures i praksis:
- Et dekryptert dokument som skal signeres, vises til underskriveren.
- Underskriveren autentiserer seg med sin nasjonale eID og signerer dokumentet.
- Idura legger inn underskriverens identitet som bevis i dokumentet.
- Idura forsegler dokumentet med sitt eget EUTL-sertifikat.
- Den forseglede PDF-filen krypteres på nytt og lagres på sikre servere.
Resultatet er et juridisk bindende dokument med sabotasjesikring og et fullstendig revisjonsspor. Signererens identitet verifiseres i bakgrunnen, og "Signed by Idura Signature Service" vises i PDF-panelet.
Når er forsegling ikke nok?
Forsegling dekker de fleste av våre kunders forretningskrav.
Men hvis du eller dine motparter må vise identiteten til personen som har signert dokumentet (i stedet for signaturtjenesten som står bak), er det nødvendig med en signatur med et personlig sertifikat.
På denne måten kommer navnet til underskriveren tydelig frem i stedet for bare å være innebygd som bevis.
Idura jobber med å tilby personbaserte elektroniske signaturer. Hvis du er interessert, kan du registrere deg for tidlig tilgang.
Hvordan velge riktig alternativ
Hva som er riktig for din virksomhet, avhenger av hvordan du svarer på to viktige spørsmål:
- Har du behov for å vise navnet til underskriveren på dokumentet?
- Hvilket sikkerhetsnivå trenger du?
Det første svaret forteller deg om du trenger en elektronisk signatur eller et elektronisk segl.
Det andre svaret avgjør hvilket av de tre nivåene - enkel, avansert eller kvalifisert - du bør velge.
Slik passer Iduras nåværende produkttilbud inn i bildet:
|
Signaturer |
Forsegling |
|
|
Enkel |
Tegnbar (SES) |
- |
|
Avansert |
||
|
Kvalifisert |
- |
Valg av leverandør av elektronisk signatur
Når du har bestemt deg for forsegling vs. signatur og vet hvilket nivå du er ute etter, er neste steg å velge en signaturtjeneste.
Det riktige valget avhenger ofte av om du ønsker å designe din egen flyt eller om du vil bruke en ferdigsignert plattform.
Idura Signatures gir deg white-label eID-signerings- og forseglingsløsninger.
For å prøve det selv, opprett en gratis konto og begynn å teste med noen få klikk.
Hvis du ønsker en bedre forståelse av hvordan Idura Signatures fungerer, sjekk ut dokumentasjonen vår.
Slik legger du til eID-signaturer med "white-label" i ditt eget produkt
.png)
En ferdig plattform for signering kontra din egen eID-signaturprosess: Hvordan velge riktig løsning?
