AES углавном функционише применом криптографских метода које осигуравају везу између потписника и документа. Најчешће се користи тзв. асиметрична криптографија, где потписник користи приватни кључ за потписивање документа, а прималац (други потписник) користи јавни кључ за проверу аутентичности потписа. Асиметрична криптографија се, дакле, заснива на употреби пара кључева – приватног кључа (којим потписник потписује) и јавног кључа (којим прималац проверава потпис). Овај модел се користи и у системима дигиталних сертификата заснованих на PKI (Public Key Infrastructure). Такав систем омогућава постизање три основна циља AES-а:
- потврду идентитета потписника (аутентичност),
- интегритет садржаја (спречавање неовлашћених измена),
- доказивање времена и места потписивања (временски жигови).
Напредни електронски потпис, дакле, обезбеђује јасно повезивање са потписником, верификацију идентитета и заштиту потписа од накнадних измена. Многе комерцијалне платформе омогућавају израду таквог потписа у складу са законским и техничким стандардима, посебно са регулативом eIDASу ЕУ. AES је посебно погодан за потписивање уговора између компанија (Б2Б), интерну документацију фирми, е-комерц трансакције, дигитализацију административних процедура итд.
Иако му је недостатак чињеница да није по аутоматизму изједначен са својеручним потписом, AES ипак обезбеђује висок степен поверења у садржај документа и релативно лако се доказује у судском поступку.
Савремене платформе за електронско потписивање обично подржавају читав спектар функционалности, од једноставних електронских потписа (SES), преко напредних (AES), па све до квалификованих (QES), у зависности од нивоа идентификације потписника и примењених сигурносних мера. Иако поједине од њих омогућавају и издавање QES-а у сарадњи са квалификованим пружаоцима поверљивих услуга (QTSP), њихов примарни значај у пракси огледа се у примени напредног електронског потписа (AES).
Ево неколико најзаступљенијих решења, односно платформи које подржавају AES:
I DocuSign
Чест је избор за потписивање уговора у пословном сектору, јер омогућава audit trail и повезивање потписа са конкретним корисником.
DocuSign омогућава између осталог:
- потписивање докумената коришћењем AES-а;
- вишефакторску аутентификацију потписника (имејл, СМС, ИД верификација);
- audit trail (временске и техничке записе о потписивању);
- интеграцију са другим софтверским решењима (Сејлсфорс, Гугл, Мајкрософт 365 итд.).
У неким јурисдикцијама унутар ЕУ, DocuSign такође пружа решења која омогућавају издавање потписа у форми QES-а, при чему пружа подршку за квалификоване сертификате и сарадњу са квалификованим пружаоцима услуга поверења (QTSP).
Иако DocuSign не издаје квалификоване потписе за територију Републике Србије, по српском закону, он користи технологије које могу испунити услове за напредни електронски потпис (AES), а доказна снага тако потписаног документа зависи и од начина коришћења, аутентификације потписника и конкретних околности случаја.
Поступак потписивања у DocuSign-у:
- Припрема документа
Након што је креирао налог на платформи, Корисник (нпр. уговорна страна или администратор) учитава документ на DocuSign платформу, у ПДФ-у или другом подржаном формату. Документ се може означити пољима за потпис, датум, иницијале и друге елементе које потписник треба да унесе. По потреби, у систем се може додати више потписника са различитим редоследом потписивања.
- Позивање потписника (invitation)
Потписник добија позив путем имејла који садржи безбедан линк ка документу, а у зависности од подешавања, може се захтевати вишефакторска аутентификација — нпр. потврда путем СМС кода, верификација личног документа (ID Verification) или биометријска провера.
- Верификација идентитета (аутентификација)
Пре отварања документа, систем проверава идентитет потписника кроз изабрани метод (имејл верификација, СМС код, или аплоуд личног документа).
- Сам чин потписивања
Потписник приступа документу путем сигурног веб-интерфејса и може унети потпис на унапред означено место. Потпис може бити: нацртан на екрану, одабран из генерисаних стилова потписа, или замењен унапред верификованим дигиталним сертификатом (ако постоји). Потпис се затим криптографски повезује са документом, чиме се спречава накнадна измена садржаја.
- Audit trail и временско обележавање (timestamp)
DocuSign аутоматски генерише audit trail – детаљан запис о свакој радњи (ко је потписао, када, са које ИП адресе, којим уређајем, којим методом аутентификације итд.). Систем такође може додати временски жиг (timestamp), који потврђује тачан тренутак потписивања и доприноси доказној снази документа.
- Завршетак и архивирање
Након што сви потписници заврше процес, платформа аутоматски креира финални ПДФ документ са интегрисаним дигиталним печатом DocuSign-а и audit trail-ом. Свака страна добија копију документа путем имејла, а оригинал се може безбедно чувати у DocuSignсистему или интерном архиву корисника.
II Adobe Acrobat Sign
Платформа омогућава како напредне тако и квалификоване потписе, уз подршку за вишефакторску аутентификацију и временско обележавање. Adobe такође сарађује са великим бројем QTSP-а (Qualified Trust Service Providers).
III Signicat
Специјализовано решење за тржиште ЕУ, које подржава интеграцију са националним електронским идентитетима (BankID, NemID, итд.). Пружа и AES и QES, уз висок ниво контроле над процесом идентификације. Користе га банке, телекомуникационе компаније, па чак и јавна управа, на пример, у Скандинавији и Немачкој.
IV Namirial (Italija)
Акредитовани QTSP из Италије, уједно и комерцијална платформа за AES/QES. Користи се у правном промету међу приватним субјектима, али и у јавном сектору и здравству. Креиран је у складу са свим захтевима eIDAS уредбе.
V Dropbox Sign (бивши HelloSign)
Подржава напредне функционалности попут временског жига, ИП логова и потврде приступа линку, а може се интегрисати са Дропкбоксом, Џимејлом и другим сервисима, што га чини погодним за предузетнике и мале фирме. У пракси се често користи за потписивање интерних аката и Б2Б уговора.
____________________
Поменуте комерцијалне платформе омогућавају организацијама да, у оквиру својих пословних процеса, имплементирају AES решења у складу са захтевима eIDAS уредбе, чиме се обезбеђује баланс између сигурности, правне ваљаности и ефикасности електронског потписивања. Напредни електронски потпис се, дакле, намеће као равнотежа између безбедности и практичности, нарочито у комерцијалним трансакцијама, где није увек неопходан квалификовани потпис, али је пожељна већа сигурност од обичног, нпр. скенираног потписа.
