Cyfryzacja procesów biznesowych wymaga wiarygodnego elektronicznego odpowiednika odręcznych podpisów do realizacji umów i porozumień. W związku z tym, że osoby i organizacje zaczęły wdrażać elektroniczne metody pracy, w ostatnich latach nastąpił gwałtowny wzrost popularności podpisów cyfrowych.
Jednak legalność i akceptacja różnych standardów podpisu cyfrowego znacznie się różni w zależności od regionu. Ten obszerny przewodnik sprawdza ważność PKIoparte na przepisach i regulacjach dotyczących podpisów cyfrowych na głównych rynkach światowych.
United States
Zakładka Podgląd
W Stanach Zjednoczonych podpisy cyfrowe cieszą się pełną ważnością prawną i wykonalnością na poziomie federalnym i stanowym.
Opona Podpisy elektroniczne w ustawie o handlu globalnym i krajowym (ESIGN)uchwalona przez Kongres w 2000 r. oficjalnie przyznaje umowom elektronicznym i podpisom cyfrowym taki sam status prawny jak tradycyjnym dokumentom papierowym i podpisom odręcznym. Ustawa ta zapewnia podstawowe ramy dla prawnie ważnych podpisów elektronicznych w USA.
Ponadto prawie wszystkie stany przyjęły przepisy uznające legalność podpisów cyfrowych w transakcjach biznesowych i rządowych podlegających ich jurysdykcji. Każdy PKIMetoda podpisu cyfrowego oparta na tej technologii może być prawnie ważna w USA, o ile spełnia określone kryteria uwierzytelniania i bezpieczeństwa określone w ESIGN.
Standardy podpisu cyfrowego
Najpopularniejszym standardem stosowanym w podpisach cyfrowych w USA jest:
Zatwierdzona lista zaufania Adobe (AATL): AATL zapewnia wytyczne branżowe i specyfikacje techniczne dotyczące wydawania certyfikatów cyfrowych i podpisów. Większość urzędów certyfikacji przestrzega reguł AATL, dzięki czemu ich certyfikaty bezproblemowo współpracują z produktami Adobe i procesami podpisywania na komputerach stacjonarnych.
Podpisy złożone przy użyciu certyfikatów zgodnych z AATL i produktów Adobe, takich jak Acrobat, są uważane za bezpieczne i wykonalne prawnie w ramach ESIGN zarówno na poziomie stanowym, jak i federalnym.
Wszystkie certyfikaty podpisu cyfrowego SSL.com są od razu zgodne ze strukturą zaufania Adobe. Umowy, porozumienia i inne dokumenty podpisane przy użyciu naszych certyfikatów cieszą się zaufaniem oprogramowania Adobe i zyskują moc prawną zgodnie z prawem Stanów Zjednoczonych. Usługa podpisywania w chmurze eSigner firmy SSL.com również natywnie integruje się z usługą Adobe Sign.
Należy pamiętać, że chociaż SSL.com certyfikaty są zgodne z AATL i w pełni zgodne z kryteriami ESIGN, SSL.comZ usługi podpisywania w chmurze eSigner można korzystać w połączeniu z dowolnym certyfikatem podpisywania dokumentów wystawionym przez inny zaufany urząd certyfikacji, który spełnia inne uznane standardy, takie jak europejski standard eIDAS. Dzięki temu organizacje mogą korzystać z szerokiego spektrum rozwiązań w zakresie podpisu cyfrowego z gwarancją ważności prawnej.
Europie
Zakładka Podgląd
Legalność podpisów elektronicznych i umów cyfrowych jest ujednolicona w całym kraju Unii Europejskiej w ramach eIDAS – Elektroniczna Identyfikacja, Uwierzytelnianie i Usługi Zaufania.
Rozporządzenie eIDAS, przyjęte przez parlament UE w 2014 roku, określa standardy dotyczące metod identyfikacji elektronicznej, usług zaufania i transakcji elektronicznych, które muszą przyjąć wszystkie państwa członkowskie. Gwarantuje transgraniczną ważność prawną niektórych rodzajów bezpiecznych podpisów cyfrowych na całym jednolitym rynku.
Standardy podpisu cyfrowego
eIDAS definiuje konkret PKI standardy zaawansowanych i kwalifikowanych podpisów cyfrowych. Oto typy podpisów uznawane na mocy prawa UE:
Zaawansowane podpisy elektroniczne (AES): AES odnosi się do wszystkich podpisów cyfrowych, które spełniają wymagania techniczne dotyczące uwierzytelniania osoby podpisującej i integralności dokumentu. Dają pewność, że podpis należy do osoby podpisującej i że dokument nie uległ zmianie od czasu podpisania.
Kwalifikowane podpisy elektroniczne (QES): QES odnosi się do zaawansowanych podpisów cyfrowych, które są tworzone przy użyciu Certyfikatu podpisu kwalifikowanego wydanego przez akredytowanego i kontrolowanego dostawcę usług zaufania. Ze względu na wysoki poziom bezpieczeństwa i wymaganej weryfikacji tożsamości, QES cieszą się pełną równoważnością prawną z podpisami odręcznymi na mocy prawa UE.
QES jest dostępny w trzech standardowych formatach uznawanych w całej UE w celu ułatwienia transgranicznych wielostronnych transakcji cyfrowych:
PAdES: QES dla dokumentów PDF
XAdES: QES dla dokumentów XML
CAdES: ulepszony standard CMS do zaawansowanego podpisywania
Zatem każdy podpis cyfrowy złożony zgodnie z tymi specyfikacjami przy użyciu kwalifikowanego certyfikatu podpisu ma identyczną ważność jak podpis mokry w UE.
Ściśle współpracujemy z partnerami europejskimi, aby zapewnić płynne podpisywanie usług w chmurze w całej UE. Chociaż nasze certyfikaty są zaprojektowane tak, aby były zgodne ze standardem PAdES dotyczącym podpisów cyfrowych w Europie, nie jesteśmy obecnie kontrolowani pod kątem zgodności z eIDAS. Jednakże usługi podpisywania w chmurze eSigner można używać z certyfikatami do podpisywania dokumentów wystawionymi przez dowolny inny urząd certyfikacji, w tym z certyfikatami zgodnymi z europejskimi standardami podpisu cyfrowego.
Wielka Brytania
Po Brexicie przepisy dotyczące podpisów elektronicznych w Wielkiej Brytanii nieznacznie odbiegają od przepisów UE, zachowując jednocześnie wysokie standardy bezpieczeństwa i wykonalności.
Zaawansowane (AES) i kwalifikowane podpisy cyfrowe (QES) spełniające specyfikacje techniczne eIDAS zachowują ważność w Wielkiej Brytanii, nawet jeśli użyte klucze do podpisu znajdują się w UE.
Region Azji i Pacyfiku
W regionie Azji i Pacyfiku legalność podpisów cyfrowych jest bardzo zróżnicowana w poszczególnych krajach. Oto przegląd wymagań na kluczowych rynkach regionu APAC:
Chiny
Chiny niezależnie opracowały algorytmy szyfrowania i PKI standardów odmiennych od reszty świata. Obejmują one:
Algorytm szyfrowania SM2
GM/T 0013 – standardy podpisów elektronicznych wykorzystujących kryptografię z kluczem publicznym/prywatnym SM2.
W Chinach podpisy cyfrowe stosowane przy użyciu certyfikatów urzędu certyfikacji z algorytmem SM2 są prawnie ważne i wykonalne na mocy obowiązującego w tym kraju prawa dotyczącego podpisu elektronicznego. Zagraniczni goście mogą potrzebować uzyskać certyfikaty COMPATIBLE CA, aby uzyskać ważność prawną.
Indie
Indie wprowadziły jedno z pierwszych ogólnokrajowych przepisów regulujących podpisy cyfrowe już w 2000 r Ustawa o technologii informacyjnej, 2000. To przyznaje ważność prawną podpisom cyfrowym przy użyciu licencjonowanych indyjskich urzędów certyfikacji.
Aktualizacja prawa z 2008 roku dodatkowo uznała za ważne podpisy elektroniczne spełniające określone kryteria techniczne. Jednak tylko podpisy cyfrowe wystawione przez kontrolera instytucji certyfikującej licencjonowanego przez indyjskie Ministerstwo Informatyki mają pełną zdolność prawną w kraju.
Japonia
Japonia była także wczesnym pionierem w zakresie prawa dotyczącego podpisów cyfrowych. Artykuł 3 Japońska ustawa o podpisach elektronicznych uchwalona w 2001 r., przyznaje zaawansowanym podpisom elektronicznym generowanym przy użyciu kryptografii klucza publicznego taką samą moc prawną jak podpisy odręczne.
Dlatego podpisy cyfrowe stosowane przez licencjonowane japońskie urzędy certyfikacji, które spełniają specyfikacje bezpieczeństwa dotyczące uwierzytelniania osoby podpisującej, są uważane za w pełni prawnie wiążące w tym kraju.
Singapur
Zgodnie z Singapurska ustawa o transakcjach elektronicznych z 2010 r, podpisy cyfrowe mają identyczną moc prawną jak podpisy mokrym tuszem, pod warunkiem że są generowane przy użyciu certyfikatów wydanych przez licencjonowane urzędy certyfikacji.
Kraj wyznaczył standardy w różnych branżach, określając wymagania techniczne, jakie muszą spełniać podpisy cyfrowe, aby uzyskać ważność prawną w tym sektorze lub typie transakcji. Te ramy specyficzne dla sektora działają zgodnie z nadrzędną ustawą o transakcjach elektronicznych.
Ameryka Łacińska
Wiele krajów Ameryki Łacińskiej przyjęło przepisy dotyczące transakcji elektronicznych, które przyznają podpisom cyfrowym identyczną ważność jak podpisy ręczne:
Meksyk
Meksyk zaktualizował meksykański kodeks handlowy w 2003 r., wyraźnie zezwalając zarówno osobom fizycznym, jak i korporacjom na używanie podpisów elektronicznych i certyfikatów cyfrowych do cyfrowego podpisywania wszelkiego rodzaju umów handlowych, kontraktów i transakcji.
Zaawansowane lub niezawodne podpisy cyfrowe – zgodnie z art. 89 kodeksu handlowego – są w pełni równoważne pod względem prawnym z podpisami odręcznymi, jeśli zostaną spełnione określone kontrole techniczne i bezpieczeństwo, w tym:
Wyjątkowość dla podpisującego
Zdolność do niezależnej weryfikacji
Wykrywanie kolejnych zmian
Peru
Normy prawne dotyczące certyfikatów cyfrowych i podpisów elektronicznych zostały ustanowione w Peru w 2000 roku. Dekret Najwyższy nr 019-2002-JUS określa kryteria techniczne, jakie podpisy cyfrowe generowane przy użyciu licencjonowanych peruwiańskich organów certyfikacji muszą spełnić, aby uzyskać pełną ważność prawną.
Prawo wymaga, aby podpisy korzystały ze standardu kryptografii klucza publicznego/prywatnego X.509 w wersji 3 i funkcji skrótu SHA-1. Kwalifikowane podpisy cyfrowe, które mogą wykazać tożsamość, autentyczność i integralność podpisującego, cieszą się taką samą ważnością jak podpisy ręczne.
Kolumbia
W Kolumbii ustawa nr 527 uchwalona w 1999 r. wyraźnie stanowi, że zarówno osoby fizyczne, jak i prawne mogą zawierać wiążące umowy prawne za pomocą podpisów cyfrowych, gwarantujących identyczną ważność jak podpisy rękopisowe.
Rząd Kolumbii ustanowił również Krajowy System Certyfikacji Elektronicznej, aby regulować organy wydające, które mogą generować cyfrowe identyfikatory i certyfikaty używane w prawnie ważnych podpisach cyfrowych w kraju.
Argentyna
Argentyńska ustawa 25,506 dotycząca podpisu cyfrowego została uchwalona w 2001 roku. Ustanawia ramy prawne regulujące licencjonowane Urzędy Certyfikacji uprawnione do wydawania certyfikatów podpisu cyfrowego w kraju.
Podpisy cyfrowe lub elektroniczne złożone przy użyciu takich regulowanych certyfikatów i spełniające określone standardy techniczne cieszą się pełną równoważnością prawną z umowami papierowymi podpisywanymi zgodnie z tradycyjnymi przepisami dotyczącymi podpisów.
Podsumowanie
Istnieje wyraźna ogólnoświatowa tendencja w kierunku uznawania podpisów elektronicznych za prawnie ważne zarówno w krajach rozwiniętych, jak i rozwijających się.
Chociaż szczegóły różnią się w zależności od kraju, PKI standardy, takie jak certyfikaty cyfrowe, kryptografia kluczy publicznych/prywatnych, funkcje skrótu, weryfikacja zaufanej tożsamości i dowody manipulacji, stanowią szkielet techniczny umożliwiający uzyskanie ważności prawnej w większości jurysdykcji.
< p class=”md-end-block md-p”>Wybierając odpowiedni certyfikat do podpisywania dokumentów z zaufanych urzędów certyfikacji, takich jak SSL.com, i wdrażając odpowiednią metodę stosowania podpisów cyfrowych przy użyciu tego certyfikatu, na przykład usługi podpisywania w chmurze, takie jak eSigner, organizacje mogą bezpiecznie wdrażać elektroniczny przepływ pracy na całym świecie i stosować podpisy cyfrowe za pomocą taką samą legalność jak mokre podpisy na dużą skalę.