Elektroniskais paraksts ir kļuvis par neatņemamu digitālo rīku ikdienas darbā. Tā priekšrocības ir skaidras – no laika, resursu un izmaksu ietaupījuma līdz drošībai. Likumsakarīgi, ka, pieaugot pieprasījumam pēc kāda digitālā risinājuma, palielinās arī tirgū pieejamo pakalpojumu skaits. Kā neapmulst piedāvājumu klāstā un izšķirties par piemērotāko risinājumu?

Elektroniskais paraksts ir tikai viens no elementiem e-parakstīšanas procesā. Ja runājam līdzībās, tad kvalificēta elektroniskā paraksta izveides rīks ir kā unikāla, konkrētai personai izsniegta pildspalva, bet kādam ir jāparūpējas arī par pārējo – drošu digitālo platformu parakstīšanai, parakstīto dokumentu uzglabāšanu un citiem aspektiem.

Juridiski saistoši elektroniskie paraksti

Saskaņā ar Eiropas Savienības (ES) regulu Nr. 910/2014 (eIDAS regula) elektroniskajiem parakstiem ir trīs drošības līmeņi. Tikai kvalificēti elektroniskie paraksti juridiskā izpratnē ir līdzvērtīgi ar roku veiktiem parakstiem un tiek uzskatīti par pārliecinošu pierādījumu tiesā. Jāpiebilst, ka e-parakstīšanas tradīcijas un nacionālie noteikumi ES valstīs atšķiras, taču Latvija šajā ziņā ir soli priekšā – visi trīs Latvijā populārākie e-parakstīšanas rīki (personas apliecība jeb eID karte, “eParaksts mobile” un “Smart-ID”) izveido kvalificētu jeb drošu elektronisko parakstu.

Pirms e-parakstīšanas platformas izvēles svarīgi noskaidrot, vai platformas nodrošinātājs ļauj izveidot juridiski saistošus parakstus bez jebkādiem papildu nosacījumiem, piemēram, īpašiem maksājumu plāniem tikai šādiem parakstiem, ierobežotu programmatūras pieejamību, kas darbojas tikai uzņēmuma iekšējās sistēmās, un tamlīdzīgi.

________________________________________________________________________

Biznesa nepārtrauktībai ir svarīgi, lai pakalpojumu sniedzējs apņemas nodrošināt pakalpojumu infrastruktūras pastāvīgu uzraudzību un darbību

________________________________________________________________________

Aizsardzība pret viltošanu un kvalificēti laika zīmogi

Lai arī kvalificēti elektroniskie paraksti ir droši un uzticami, arī tiem ir vairākas pakāpes atkarībā no veiktajiem papildu drošības pasākumiem, kurus var īstenot parakstīšanas platforma. Viens no šādiem papildu pasākumiem ir laika zīmoga pievienošana – tā ir datu kombinācija, ko pievieno parakstīšanas procesā un kas norāda laiku līdz brīdim, kad tika izveidots paraksts. Laika zīmogs garantē, ka pēc norādītā laika ne paraksts, ne parakstītais dokuments nevar tikt mainīts, kā arī novērš iespēju parakstīt dokumentu ar atpakaļejošu datumu. Jāuzsver, ka parakstīšanas laiks nav laika zīmogs, tāpēc svarīgi pievērst uzmanību tam, vai paraksts patiešām satur laika zīmogu.

Elektroniskā paraksta derīguma termiņš

Šis ir svarīgs aspekts gadījumos, ja īstermiņā vai ilgtermiņā būtu jāpierāda dokumenta parakstu derīgums un juridiskais spēks vai ja atbilstoši tiesību aktiem dokumenti jāuzglabā noteiktu laiku. Elektronisko parakstu derīguma termiņš atšķiras atkarībā no veiktajiem papildu drošības pasākumiem. Nedrīkst arī aizmirst, ka elektroniski parakstīti dokumenti jāglabā elektroniskā formātā, citādi tie zaudē juridisko spēku, tāpēc pareiza uzglabāšana iet roku rokā ar ilgtermiņa derīgumu.

Lai izvairītos no nepatīkamiem pārsteigumiem nākotnē, svarīgi noskaidrot, vai pakalpojuma sniedzējs parūpēsies par elektroniskā paraksta ilgtermiņa derīgumu vai arī par to jāparūpējas pašam. Būtu jāuzdod šādi jautājumi:

  • Vai parakstam tiek pievienots kvalificēts laika zīmogs?
  • Vai tiek pievienoti paraksta sertifikāta atsaukšanas dati?
  • Vai pakalpojuma sniedzējs pastāvīgi uzrauga situāciju un informē klientus par Eiropas Savienības Kiberdrošības aģentūras izziņotajām izmaiņām elektroniskā paraksta kriptogrāfiskajā algoritmā?
  • Kurš parūpēsies par dokumentu arhivēšanu, ja algoritms kļūs vājš?

Elektronisko parakstu validēšana

Darbā ar elektroniskajiem dokumentiem svarīga ir ne tikai droša parakstīšana, bet arī uzticama elektronisko parakstu validēšana jeb derīguma pārbaude.

Validēšana var tikt piedāvāta kā papildu pakalpojums, bet ērtāks risinājums būs tāds, kurā validēšanas funkcija ir integrēta platformā. Noteikti jāpārliecinās, vai izvēlētais pakalpojumu sniedzējs uzņemas juridisku un finansiālu atbildību par validēšanas procesu un tā rezultātiem. Tā kā elektronisko parakstu un zīmogu validēšana ir regulēta joma, ieteicams izvēlieties eIDAS sertificētu kvalificētu pakalpojumu, jo tikai tad iespējams uzticēties, ka nebūs papildu nosacījumu. Šādam pakalpojumu sniedzējam ir pienākums pārbaudīt visu Eiropas Komisijas (EK) sarakstā iekļauto pakalpojumu sniedzēju sertifikātus (tātad visus ES reģistrētos kvalificētos elektroniskos parakstus), un šāds validēšanas ziņojums ir juridiski saistošs un var tikt iesniegts kā pierādījums tiesā.

Visi kvalificētie pakalpojumu sniedzēji, kas sertificēti atbilstoši eIDAS regulas prasībām, ir atrodami EK uzticamības pakalpojumu sniedzēju reģistrā. Reģistrā var pārbaudīt arī to, par kādiem pakalpojumiem sertifikāts ir saņemts.

Citi svarīgi aspekti

Izvēloties savam biznesam atbilstošāko elektroniskās parakstīšanas risinājumu, jāņem vērā arī šādi aspekti:

  • pakalpojumu pieejamība.

Biznesa nepārtrauktībai ir svarīgi, lai pakalpojumu sniedzējs apņemas nodrošināt pakalpojumu infrastruktūras pastāvīgu uzraudzību un darbību. Noteikti jāpievērš uzmanība, cik detalizēta ir pakalpojumu pieejamības informācija un kāda ir pieejamības datu vēsture, kā arī jāizvērtē pakalpojuma sniedzēja atbildība – kāda rīcība un kompensācijas gaidāmas, ja pakalpojums nedarbosies.

  • informācijas drošības pārvaldība;

Vēl viens nozīmīgs kritērijs ir kvalitatīvi informācijas drošības pasākumi, lai nodrošinātu datu pilnvērtīgu aizsardzību. Svarīgi izvēlēties e-parakstīšanas nodrošinātāju ar ieviestu iekšējo informācijas drošības pārvaldības sistēmu, kuru auditē un sertificē neatkarīgi, akreditēti auditori. Jābūt īpaši vērīgiem, ja pakalpojumu sniedzējs izmanto sertificētus un drošus datu centra pakalpojumus, jo šī sertifikācija nekādā veidā neapliecina paša pakalpojumu sniedzēja informācijas drošības pārvaldības prakses atbilstību standartiem – par to jāpārliecinās atsevišķi.

  • dokumentu formātu dažādība;

Ir gan starptautiski atzītie, gan nacionālie elektronisko dokumentu formāti. Lietotājam ērtāka būs tāda platforma, kur var parakstīt dažādus formātus – gan parastos, piemēram, starptautiski atzītos “PDF” failus, gan arī konteinera formāta failus.

Konteinera dokumentu formāts ir ZIP fails. Tas ir ērts, ja ir vairāki pielikumi vai dažādu formātu faili, piemēram, fotogrāfijas, kas jāparaksta kopā ar galveno dokumentu. Konteinera dokumentu starptautiskais standarts ES ir AsiCe formāts, savukārt Baltijas valstu nacionālie konteinerformāti ir EDoc Latvijā, ADoc Lietuvā un Bdoc Igaunijā.

  • e-identifikācijas rīku dažādība.

Pirmkārt, jāuzsver, ka ir labi, ja ikvienam ir aktivizēti vismaz divi e-paraksta rīki, lai neparedzētu problēmu gadījumā būtu alternatīvs parakstīšanas risinājums.

________________________________________________________________________

Pirms e-parakstīšanas platformas izvēles svarīgi noskaidrot, vai platformas nodrošinātājs ļauj izveidot juridiski saistošus parakstus bez jebkādiem papildu nosacījumiem

________________________________________________________________________

Otrkārt, jāpārliecinās, ka izvēlētais pakalpojumu sniedzējs atbalsta parakstīšanu ar dažādiem e-identifikācijas rīkiem. Piemēram, ja nedarbojas “eParaksts mobile”, bet lietotājam ir arī “Smart-ID”, tad parakstīties joprojām būs iespējams, ja attiecīgā parakstīšanas platforma atbalsta abus šos rīkus. Plašs atbalstīto e-identifikācijas rīku klāsts ir svarīgs arī situācijās, kad jāparaksta dokumenti ar starptautiskajiem partneriem.

  • pārredzamība;

Pārredzamība ir uzticamība. Svarīgi izvērtēt, cik daudz un kāda informācija par pakalpojuma sniedzēja atbilstību pieejama publiskajā telpā. Liela uzmanība jāpievērš arī trešo pušu sertifikātiem, sertifikācijas apjomiem, audita ziņojumiem, datu pārvaldības politikai un citiem juridiskiem dokumentiem. Jo pārredzamāka ir pieejamā informācija, jo augstāka uzticamība.

  • pozitīva lietotāju pieredze.

Vai platforma ir lietotājam draudzīga un vai tā darbojas dažādās operētājsistēmās un ierīcēs? Par šiem jautājumiem nedrīkst aizmirst, jo īpaši tad, ja platforma tiks izmantota arī dokumentu parakstīšanai ar klientiem.

  • atbilstība uzņēmuma vajadzībām;

Lai cik drošs un nosacījumiem atbilstošs būtu pakalpojumu sniedzēja piedāvātais risinājums, jāpārliecinās, vai tas ir piemērots individuālajām uzņēmuma vajadzībām. Tās var būt saistītas gan ar konkrēto sistēmas integrācijas risinājumu, gan ar tādu funkciju pieejamību kā darbplūsmu iestatīšana, parakstīšanas termiņi un atgādinājumi, izskata pielāgošana uzņēmuma zīmolam un citu funkciju pieejamību.

  • uzņēmuma reputācija.

Lai gan visi minētie kritēriji pierāda pakalpojumu sniedzēja uzticamību, ne mazāk svarīgi ir pārliecināties par uzņēmuma reputāciju. Uzņēmuma klienti un atsauksmes par pakalpojumu var palīdzēt pieņemt pārdomātu lēmumu.