Säkerheten av digitala signaturer – det digitala fotspåret ljuger inte
Digital signaturer är inte bara ett modernt utan också ett säkert sätt att underteckna kontrakt och dokument. Särskilt bland företag är digitala signaturer på väg att bli det ledande sättet att samla in signaturer snabbare och mer kostnadseffektivt.
Men hur vet du att ett digitalt signerat dokument är äkta? Och vad bygger de digitala signaturernas giltighet, legitimitet och spårbarhet på?
I denna artikel fördjupar vi oss i hörnstenarna för säkerheten av digitala signaturer och berättar hur du kan garantera säkerheten i en digital signaturtjänst – som till exempel Visma Sign.
Lagstiftning som grund för digitala signaturer
Digitala signaturer har varit lagliga länge – de fick en rättslig grund 1999 när det första EU-direktivet trädde i kraft. I Sverige har digitala signaturer godkänts i lagen sedan 2000.
Mer specifikt utgörs grunden för digitala signaturer av eIDAS-förordningen och lagen om stark autentisering och betrodda elektroniska tjänster, som tillsammans ger digitala signaturer juridisk giltighet.
eIDAS-förordningen, Electronic Identification and Trust Services Regulation, är en enskild EU-förordning som tillämpas i alla EU-länder.
Enligt artikel 25 i eIDAS-förordningen ska elektroniska underskrifter och certifikat erkännas som bevis för juridiska handlingar såsom kontrakt och fullmakter. Förordningen ger således digitala signaturer samma juridiska giltighet som handskrivna signaturer.
Lika i hela Europa
Förordningen gör det möjligt att underteckna juridiskt giltiga avtal i Sverige och förutsätter att digitala signaturer erkänns som juridiskt bindande signaturer i hela Europeiska unionen.
Genom eIDAS-förordningen har digitala signaturer blivit likvärdiga över internationella gränser, vilket gör det möjligt för företag att upprätta rättshandlingar både inom hemlandet och i hela Europa.
På det hela taget har den enhetliga lagstiftningen om digitala signaturer ökat förtroendet och minskat förekomsten av tråkiga risker till exempel vid transaktioner mellan företag.
Spårbarheten av digitala signaturer
Digitala signaturer är klart säkrare än handskrivna signaturer i och med att de lämnar ett omfattande digitalt spår, en audit trail, efter sig. Äktheten och integriteten av ett dokument som signerats med audit trail kan obestridligen verifieras i efterhand.
Från audit trail ska avsändaren av inbjudan kunna se nyckelinformation om dokumentet: undertecknarnas IP-adresser och tidsstämplarna för signeringshändelserna.
I Visma Sign kopplas signaturerna till dokumentet i samband med signeringen och varje sida av dokumentet stämplas med informationen från audit trail samt den unika identifieraren för dokumentet. Med hjälp av denna identifierare kan dokumentet verifieras i efterhand.
Verifiering av undertecknarnas identitet
Verifieringen av undertecknarnas identitet är också en del av den digitala signaturens rättsliga giltighet. I Visma Sign beror verifieringen av undertecknarna på vilken form av digital identifiering som valts.
Stark identifiering, eller tvåfaktorsautentisering, innebär att man verifierar sin identitet med en extern aktör, oftast med BankID eller Freja eID. I det undertecknade dokumentet visas namnen på undertecknarna, tidsstämplar och uppgift om vilket lands identifieringsmetod som använts vid signeringen.
Tidsstämpel för enkel identifiering
Alla signeringssituationer – såsom organisationens interna processer – kräver dock inte alltid stark identifiering. Då kan identifieringen ske utan starka identifieringsmetoder.
Till exempel i Visma Sign kan man förutom stark identifiering även använda så kallad enkel identifiering eller en digital underskrift. Liksom med stark identifiering kan ett dokument som undertecknats med enkel identifiering verifieras i efterhand.
I det undertecknade dokumentet visas undertecknarens digitala namnteckning, namnförtydligande, e-postadress och IP-adress.
Verifiering av dokument
Ett digitalt signerat dokument kan verifieras av vem som helst. Dokumentets integritet och ursprung granskas genom att man kontrollerar vem som har signerat dokumentet samt var och när detta har skett. Dessutom kan man med hjälp av dokumentverifiering kontrollera att dokumentet inte har ändrats efter signeringen.
Ett PDF-dokument kan verifieras antingen direkt i Visma Sign med den verifieringskod som finns i dokumentet eller med PDF-läsaren i Adobe Reader.