Q&A – webinar Digital personsignatur som tåler den juridiske vektskålen
Her finner du svar på de fleste av spørsmålene som ble stilt underveis i webinaret. Ta kontakt så utdyper vi gjerne.
Finnes det fallback til andre mekanismer hvis mottaker ikke innehar en elektronisk signatur? f.eks. ved inngåelse av avtaler i andre land enn de dere viste?
Utfordringen er godkjente ID-mekanismer for autentisering av personen som skal signerer. Se spm 2.
Signant formidler elektronisk signaturer på tillitsnivå betydelig eller høyt og vil bygge ut støtte for flere land der slike eID løsninger er tilgjengelig.
En praktisk omgåelse av problemet kan være å innhente enkel signatur (skannet dokument) fra personer som ikke har en støttet eID, for deretter å sende dette dokumentet til elektronisk signering av de øvrige (om det var flere som skulle signere dokumentet)
Er det mulig å sende et dokument til signering utenfor Europa? Hvordan vil det i såfall fungere?
Ja, det er mulig. Utfordringen blir å autentisere brukeren. Hvis den som skal signere har en elektronisk ID utstedt her i Norden, så kan den benyttes. Hvis den som skal signere ikke har en europeisk ID vi kan benytte til autentisering, så får vi ikke til signeringen
Kan signering plasseres i forhåndsdefinert signaturfelt i dokumenter som i gammeldagse papirskjema?
Det er flere utfordringer med fri plassering av signaturemblemer som ville komplisere brukeropplevelsen både for avsender og mottaker. Vi har derfor landet på en enklere løsning som stort sett passer de fleste ved at man får velge startplassering og hvilken retning påfølgende emblemer skal fordeles.
Dersom man har gammeldagse papirskjemaer med felter for dato og signatur, kan en praktisk måte være å forhåndsutfylle maskinelt med for eksempel «Navn / elektronisk signert»
Ser Bank ID er et alternativ. Hvorfor bruke Buypass i stedet for Bank ID?
Vi anbefaler sluttbrukeren å benytte den eID de har, og de kan selv bestemme så lenge eID er støttet av Buypass og på nivå gitt type signatur som skal gjennomføres. Kvalifisert elektronisk signatur vil helt i starten kun være tilgjengelig for de som har Buypass ID. Støtte for BankID kommer.
Er det mulig å sende til signering til flere samtidig, og hvis det er mulig, hvor mange?
Ja, det er mulig å sende til flere samtidig. Det er ingen begrensning på antall.
Finnes det løsninger for kunder som ikke har nevnte e-ID?
Nei, ikke før Buypass har lagt inn støtte for den eID som ønskes benyttet.
Er det mulig å implementere dette regimet uten å gi fra seg dokumentene til tredjepart?
Dokumentet deles ikke med Buypass, men må sendes inn til signeringsleverandøren (Maestro/Signant)
Carl sier dokumenter som skal signeres sendes til Signant. Er det hele dokumentet som sendes, eller har lager virksomhetssystemet en hash eller lignende?
Ja, det er hele dokumentet sendes til Signant, men det lagres ikke. Mellom Signant og Buypass sendes det kun en hash av dokumentet, så Buypass ser ikke noe innhold. En annen fordel med at det er kun hash som sendes, er at det går raskt å signere også for brukere i farta, samt at det ikke er noen begrensning på dokumentstørrelse.
I tilfelle instant signerings tjeneste, lages det en forsendelse som går ut om 10-15 minutter. Så dokumentet og forsendelsen vil slettes fra Signant uansett om det har blitt signert eller ikke etter at den har gått ut. Antatt at man ikke har kjøpt og valgt arkiveringstjeneste hos Signant for LTV vedlikehold av dokumenter. Brukeren velger selv om den skal slettes eller arkiveres.
Vad är det för giltighetstid på tidstämplingscertifikaten och hur fungerar omstämplingen?Dette kan variere litt avhengig av policyen som er tilknyttet tidsstemplingstjenesten og tidsstemplingssertifikatet. For tiden benytter vi en tidsstemplingstjeneste fra Asseco Data Systems der sertifikatet er gyldig fra 2017 til 2028.
Resigneringen gjøres automatisk fra arkivet i Signant ved at dokumentet (hash-verdien) sendes til ny signering av tidsstemplingstjenesten) innen utløpsdato for den sist påførte signaturen i dokumentet.
Hvorfor, og hva innebærer det at den som signerer må inngå en "abonnementsavtale" med Buypass? Hvem er partene i denne avtalen, og hva innebærer det? Virker som et noe forvirrende ekstrasteg for et tilfeldig signerende individ?
Personen som skal signere må godkjenne kundeavtale (subscriber agreement) knyttet tilidentitetsatributtene vi bruker når signeringssertifikatet (kortlevd) genereres. Vi får attributtene fra IPSP som er delegert rollenfått basert på ID brukt ved autentisering. Som del av dette godkjenner vedkommende at Buypass bruker de identitetsattributtene som vises i skjermbildet og som er hentet fra eID brukt ved autentisering ved generering av signeringssertifikatet. I tillegg autoriserer vedkommende selve signeringen.
Hva med Passord beskyttet dokument? kan man signere det også ved å legge passord i deres løsningen eller må passord fjernes før det sendes til signering?
Dokumenter kan ikke være passordbeskyttet. Dette fordi dokumenter som følger PDF/A standarden (PDF variant tilrettelagt for langtids oppbevaring) ikke skal kunne krypteres ifølge standarden (dette ville forhindre langsiktig tilgjengelighet).
Flere underliggende eID leverandører støtter heller ikke signering av passordbeskyttede dokumenter eller ren hash-signering.
Signant og SIgnant-tjenesten er helt sentral i signeringsopplegget. Hvor sikkert er det for brukerne, hva gjør dere for å sikre tjeneste og tjenesteleverandør?
Maestro Soft arbeider både organisatorisk og teknisk for å sikre tjenesten. Maestro Soft er ISO 27001 sertifisert og foretar jevnlig penetrasjonstesing av løsningen for å nevne noen momenter.
Er det mulig å verifisere signaturen dersom PDF'ene migreres over til nye fagsystem eller dersom det tas uttrekk av systemet som sendes for langtidsbevaring i et arkivdepot? Er dette noe en virksomhet må sikre at blir ivaretatt eller er det en automatikk i dette?
Ja, elektronisk signerte PDF dokumenter kan valideres helt frittstående selv om man tar de ut og legger de over i annet fagsystem.
I praksis vil et dokument kunne valideres og være gyldig også etter utløpsdato for tidsstempel. Men om man er avhengig av streng teknisk gyldighet over lang tid, må dokumentet LTV-vedlikeholdes av en arkivtjeneste.
Kan man välja var man placerar signaturfältet "dynamiskt" eller göra en "hide" på dessa? Ja, man kan velge å ikke ha synlig signaturemblem og bare se signaturene i Signaturpanelet. Når det kommer til dynamisk- har vi valgt å gjøre enkelt og brukeren velger fra predefinerte plasseringer og predefinerte retninger de andre signaturene skal plasseres på.
Dette kan Signaturleverandøren (SCASP) bestemme i sin løsning. Maestro har valgt å bruke forhåndsdefinerte plasseringer for å ha kontroll på hvor signaturen plasseres.
Vad är det för PDF conformance på PDF dok efter signering, är det PDF/A-2B?
PDF 1.5 og nyere støtter PAdES-signering og PDF/A er anbefalt for oppbevaring over lang tid siden denne varianten er 100% «self-contained» for eksempel med metadata knyttet til fonter benyttet i dokumentet.
Signant konverterer ikke dokumenter til signering eller arkivering, slik at eventuelle formkrav må ivaretas av det integrerte virksomhetssystemet eller brukeren av systemet.
Hva skjer med signerte, juridisk bindende dokumenter om Signant eller Buypass blir borte?
Dokumenter i arkivet vil kunne overføres til eier eller til annet arkiv. Man er ikke avhengig av hverken Signant eller Buypass for å vise eller validere dokumentene.
Vil dere demonstrere hvordan dette også gjøres via mobil?
Ikke i dagens demo, men i menyen for autentisering kan du f.eks velge Buypass ID i mobil og bruke den til å signere
Carl viser frem en slide der det står «Tillitsnivå høy». Dette gjelder sertifikatet, og ikke signaturen?
Det er riktig. Tillitsnivået er knyttet til det personlige sertifikatet benyttet under signering. Slik at når du foretar en signering med et personlig sertifikat på tillitsnivå høy, så følger det med i signaturen.
Er QES - Quantum Computing sikker?
Ja, selve signaturfremstillingen skjer i en lukket enhet (QSCD) og kan ikke påvirkes av eksterne.
Kan du även berätta mera om den kvalificerade tidstämplingen, som underlättar omcertifiering av arkiverade dokument - ny tidstämpling?
For tiden benytter vi en tidsstemplingstjeneste fra Asseco Data Systems (Certum QTST 2017). Resigneringen gjøres automatisk fra arkivet i Signant ved at dokumentet (hash-verdien) sendes til ny signering av tidsstemplingstjenesten) innen utløpsdato for den sist påførte signaturen i dokumentet.
Fra et beredskapssynspunkt (strømmen er borte, serveren virker ikke o.likn.) Hva da? har signeringen også kraft på papirversjoner av dokumenter?
En papirutskrift kan dessverre ikke valideres, men signaturemblemene blir med på utskriften og fungerer som en visuell indikasjon på at det finnes en elektronisk gjenpart som kan valideres når strømmen kommer tilbake.
Hvordan er løsningen for å bruke en elektronisk signatur privat vs en elektronisk signatur bedrift (en jeg har fått utstedt til meg via bedrift). Løsningen for å bruke og signere med de 2 forskjellige signaturene i privat eller offisiell (bedrift) løsning.
Sett fra et teknisk ståsted vil en personlig signatur arte seg likt uavhengig av om den er firma-personlig eller privat.
Har dere også en definisjon av hva en signatur er eller betyr, uten at det snakk om en elektronisk signatur?
Ikke vi, men kan henvise til en generell beskrivelse på Wikipedia En signatur (latin signare, «tegn»), navnetrekk eller autograf er et håndskrevet navn, kallenavn eller eventuelt også symbol som for eksempel «X», mye brukt av analfabeter. Dette skrives for å få et identitetsbevis, vanligvis som et samtykke eller godkjenning til et dokument. et identitetsbevis, vanligvis som et samtykke eller godkjenning til et dokument.
Ofte stilte spørsmål knyttet til Buypass sin løsning for Digital personsignatur
Spørsmål | Svar |
Er kvalifisert elektronisk signatur juridisk bindene i hele EU | Ja, fordi kvalifisert elektronisk signatur er det eneste signatur nivået som av EU er likestilt med håndskreven signatur, som er juridisk bindene. |
Hvordan er det egentlig mulig å signere med en ID-nøkkel som kun er ment for autentisering? | For alle som er vant til smartkort, så husker dere kanskje det utstedes 2 sertifikater – ett til signering og ett til autentisering. Buypass ID-nøkkel (Fido2) er en autentikator på eIDAS Høyt og benyttes i vår signeringstjeneste til å autentisere sluttbrukeren. Et signeringssertifikat blir utstedt til sluttbrukeren basert på denne autentiseringen og dette sertifikatet benyttes til signeringen. Dermed kan en sluttbruker kunne signere ved å bruke sin Buypass ID-nøkkel |
Hva er forskjellen på avansert og kvalifisert elektronisk signatur? | For en sluttbruker er det ikke lett å se differansen, men det er noen vesentlige forskjeller som gjør at sikkerhetsnivået er høyere på kvalifisert:
|
Hvorfor er det så viktig at Buypass er på Adobe AATL eller EU trusted list? | For at Adobe skal kunne bekrefte at signaturen er gyldig, må sertifikatene som er benyttet, være utstedt av en sertifikatutsteder (Buypass) som er notert på Adobe AATL eller EU trusted list? |
Kan dere signere annet enn dokumenter | Ja, Buypass mottar kun hashverdien av det som skal signeres og vet ikke om dette er word dokument, PDF eller en XML-melding |
Jeg trenger en løsning for å signere en PDF | Dette kan gjøres vha smartkort fra Buypass eller dere kan ta kontakt med Signant eller en av våre andre partere som Tieto; Signicat eller eID Easy |
Du nevnte digitalt stempel eller signering med virksomhetssertifikat (eSeal) – hva er forskjellen på det og det som vi har sett i dag | Med et eSeal (virksomhetssertifikat) forsegles dokumentet for å sikre opphavet og innholdet. Dokumentet blir ikke signert, så man kan ikke hevde at dette er juridisk bindene |
Jeg trenger en kvalifisert elektronisk signatur NÅ ifm et anbud som skal leveres inn i Frankrike | Ta kontakt med Carl hos Maestro |
Vi har avtale med Adobe Sign eller Docusign. Har dere støtte for de | Nei, Buypass har ingen integrasjon mot de på plass i dag |
Vi er partner av dere på signering og benytter Buypass Nett for autentisering og signering – vil vi kunne fortsette å bruke Buypass nett? | Så fint at dere bruker Buypass nett. Vi håper at dere finner ut at BCSS er en enda bedre tjeneste fra oss på signering og at dere velger å migrere over. På sikt vil vi nok slutte å tilby signering via Buypass Nett. |
Kan jeg lage en kvalifisert elektronisk signatur fra mobilen min? | Ja, så lenge du kan autentisere deg med en eID på eIDAS Høyt |
Hvordan kan jeg få støtte for kvalifisert elektronisk signatur inn i EPJ løsningen vi bruker | Vi tar gjerne møte sammen med dere og din EPJ leverandører for å se på mulighetene for integrasjon direkte eller via en av våre partnere |