Digitaliseringen av affärsprocesser kräver en pålitlig elektronisk motsvarighet till handskrivna signaturer för att kunna genomföra kontrakt och avtal. Med individer och organisationer som anammat papperslösa arbetsflöden har antagandet av digitala signaturer exploderat de senaste åren.
Lagligheten och acceptansen av olika digitala signaturstandarder varierar dock mycket mellan regioner. Denna omfattande guide undersöker giltigheten av PKI-baserade lagar och regler för digital signatur på stora globala marknader.
USA
Översikt
I USA har digitala signaturer full juridisk giltighet och verkställbarhet på federal och statlig nivå.
, som antogs av kongressen 2000, ger officiellt elektroniska kontrakt och digitala signaturer samma juridiska status som traditionella pappersdokument och handskrivna signaturer. Denna lag tillhandahåller den grundläggande ramen för juridiskt giltiga elektroniska signaturer i USA.
Dessutom har nästan alla stater antagit lagstiftning som erkänner lagligheten av digitala signaturer för affärs- och statliga transaktioner inom deras jurisdiktion. Några PKI-baserad digital signaturmetod kan vara juridiskt giltig i USA så länge den uppfyller specifika autentiserings- och säkerhetskriterier som beskrivs i ESIGN.
Digitala signaturstandarder
Den vanligaste standarden som används för digitala signaturer i USA är:
: AATL tillhandahåller branschriktlinjer och tekniska specifikationer för utfärdande av digitala certifikat och signaturer. De flesta certifikatutfärdare följer AATL-reglerna så att deras certifikat fungerar sömlöst med Adobe-produkter och arbetsflöden för skrivbordssignering.
Signaturer som tillämpas med AATL-kompatibla certifikat och Adobe-produkter som Acrobat anses säkra och juridiskt verkställbara under ESIGN på både statlig och federal nivå.
Alla SSL.com digitala signeringscertifikat är kompatibla med Adobes förtroenderamverk direkt från förpackningen. Kontrakt, avtal och andra dokument som undertecknas med hjälp av våra certifikat är betrodda av Adobes programvara och får juridisk giltighet enligt amerikansk lag. SSL.coms molnsigneringstjänst eSigner integreras också med Adobe Sign.
Det är viktigt att notera att medan SSL.com certifikat är AATL-kompatibla och är helt kompatibla med ESIGN-kriterier, SSL.coms molnsigneringstjänst eSigner kan användas med vilket dokumentsigneringscertifikat som helst från vilken annan betrodd certifikatmyndighet som helst som följer andra erkända standarder som den europeiska eIDAS-standarden. Detta säkerställer att organisationer kan använda ett brett spektrum av digitala signaturlösningar med försäkran om rättslig giltighet.
Europa
Översikt
Lagligheten av elektroniska signaturer och digitala kontrakt är enhetlig över hela
eIDAS-förordningen, som antogs av EU-parlamentet 2014, definierar standarder för elektroniska identifieringsmetoder, förtroendetjänster och elektroniska transaktioner som alla medlemsländer måste anta. Det garanterar den gränsöverskridande rättsliga giltigheten för vissa typer av säkra digitala signaturer på den inre marknaden.
Digitala signaturstandarder
eIDAS definierar specifika PKI standarder för avancerade och kvalificerade digitala signaturer. Här är de signaturtyper som erkänns enligt EU:s lagstiftning:
Avancerade elektroniska signaturer (AES): AES hänvisar till alla digitala signaturer som uppfyller tekniska krav kring signerautentisering och dokumentintegritet. De försäkrar att signaturen tillhör personen som undertecknar och att dokumentet inte har ändrats sedan undertecknandet.
Kvalificerade elektroniska signaturer (QES): QES avser avancerade digitala signaturer som skapas med hjälp av ett kvalificerat signaturcertifikat utfärdat av en ackrediterad och granskad leverantör av förtroendetjänster. På grund av den höga nivån av säkerhet och identitetsverifiering som krävs, åtnjuter QES full juridisk likvärdighet med handskrivna signaturer enligt EU-lagstiftningen.
QES kommer i tre standardformat erkända över hela EU för att underlätta gränsöverskridande digitala transaktioner med flera parter:
PADES: QES för PDF-dokument
XAdES: QES för XML-dokument
CAdES: en förbättrad CMS-standard för avancerad signering
Så alla digitala signaturer som tillämpas i enlighet med dessa specifikationer med ett kvalificerat signeringscertifikat har identisk giltighet som en våtsignatur inom EU.
Vi arbetar nära med europeiska partners för att säkerställa att molnsignering är sömlös i hela EU. Även om våra certifikat är designade för att vara kompatibla med PAdES-standarden för digitala signaturer i Europa, granskas vi för närvarande inte för eIDAS-efterlevnad. Däremot kan eSigners molnsigneringstjänst användas med dokumentsigneringscertifikat från vilken annan certifikatmyndighet som helst, inklusive de som överensstämmer med europeiska digitala signaturstandarder.
Storbritannien
Efter Brexit har reglerna för elektroniska signaturer i Storbritannien avvikit något från EU, samtidigt som höga standarder för säkerhet och verkställbarhet upprätthålls.
Avancerade (AES) och kvalificerade digitala signaturer (QES) som uppfyller eIDAS tekniska specifikationer fortsätter att vara giltiga i Storbritannien även om de signeringsnycklar som används finns i EU.
Asien och Stillahavsområdet
I Asien och Stillahavsområdet varierar lagligheten av digitala signaturer mycket mellan olika länder. Här är en översikt över krav på viktiga APAC-marknader:
Kina
Kina har självständigt utvecklat krypteringsalgoritmer och PKI standarder som skiljer sig från resten av världen. Dessa inkluderar:
SM2-krypteringsalgoritm
GM/T 0013 – standarder för elektroniska signaturer som använder SM2 offentlig/privat nyckelkrypto.
I Kina är digitala signaturer som tillämpas med certifikat från certifikatutfärdare med SM2-algoritm juridiskt giltiga och verkställbara enligt landets lag om elektroniska signaturer. Utländska besökare kan behöva skaffa KOMPATIBLA CA-certifikat för juridisk giltighet.
Indien
Indien antog en av de första rikstäckande lagarna som reglerar digitala signaturer redan år 2000 med , 2000. Detta ger laglig giltighet till digitala signaturer som använder licensierade indiska certifikatutfärdare.
En uppdatering av lagen 2008 erkände dessutom elektroniska signaturer som uppfyller vissa tekniska kriterier som juridiskt giltiga. Endast digitala signaturer som utfärdats av en kontrollant av certifieringsmyndighet licensierad av Indiens IT-ministerium har dock full juridisk ställning i landet.
Japan
Japan var också en tidig pionjär inom lagar om digitala signaturer. Artikel 3 i godkänd 2001 ger avancerade elektroniska signaturer som genererats med kryptografi med offentlig nyckel samma juridiska giltighet som handskrivna signaturer.
Så digitala signaturer som tillämpas med licensierade japanska utfärdande certifikatutfärdare som uppfyller säkerhetsspecifikationerna kring signerautentisering anses vara helt juridiskt bindande i landet.
Singapore
Enligt , digitala signaturer har samma juridiska status som bläcksignaturer så länge de genereras med certifikat utfärdade av licensierade certifikatutfärdare.
Landet har utsett standarder för olika vertikaler som anger de tekniska kraven som digitala signaturer måste uppfylla för att få rättslig giltighet i den sektorn eller transaktionstypen. Dessa sektorsspecifika ramverk fungerar i linje med den övergripande lagen om elektroniska transaktioner.
Latinamerika
Många latinamerikanska länder har antagit lagar om elektroniska transaktioner som ger digitala signaturer identisk giltighet till manuella signaturer:
Mexico
Mexiko uppdaterade den mexikanska handelskoden 2003 och tillät uttryckligen både individer och företag att använda elektroniska signaturer och digitala certifikat för att digitalt signera alla typer av kommersiella avtal, kontrakt och transaktioner.
Avancerade eller tillförlitliga digitala signaturer – enligt artikel 89 i handelskoden – har full juridisk likvärdighet med bläcksignaturer om vissa tekniska kontroller och säkerhetskontroller uppfylls, inklusive:
Unikhet för undertecknaren
Kapacitet att verifieras oberoende
Detektering av efterföljande ändringar
Peru
Lagstiftade standarder för digitala certifieringar och elektroniska signaturer etablerades i Peru redan år 2000. Högsta dekret nr 019-2002-JUS anger tekniska kriterier som digitala signaturer som genereras med licensierade peruanska CA måste uppfylla för att få full juridisk giltighet.
Lagen kräver att signaturer använder offentlig/privat nyckelkryptografistandard X.509 version 3 och hashfunktion SHA-1. Kvalificerade digitala signaturer som kan demonstrera undertecknarens identitet, autenticitet och integritet åtnjuter identisk giltighet som manuella signaturer.
Colombia
I Colombia anger lag 527 som antogs 1999 uttryckligen att både individer och juridiska personer kan verkställa bindande juridiska avtal genom att använda digitala signaturer, vilket garanterar identisk giltighet som manuskriptsignaturer.
Den colombianska regeringen har också inrättat ett nationellt system för elektronisk certifiering för att reglera utfärdande myndigheter som får generera digitala ID och certifikat som används för lagligt giltiga digitala signaturer i landet.
Argentina
antogs 2001. Den upprättar en rättslig ram som styr licensierade certifikatutfärdare som får utfärda certifikat för digital signering i landet.
Digitala eller elektroniska signaturer som tillämpas med hjälp av sådana reglerade certifikat och som uppfyller föreskrivna tekniska standarder åtnjuter full juridisk likvärdighet med papperskontrakt undertecknade enligt traditionella signaturlagar.
Slutsats
Det finns en tydlig global trend mot att erkänna elektroniska signaturer som juridiskt giltiga i både utvecklade länder och utvecklingsländer.
Även om detaljerna varierar mellan länder, PKI standarder som digitala certifikat, offentlig/privat nyckelkryptering, hashfunktioner, betrodd identitetsverifiering och manipuleringsbevis utgör den tekniska ryggraden för att få juridisk giltighet i de flesta jurisdiktioner.
< p class="md-end-block md-p">
