AES uglavnom funkcioniše primenom kriptografskih metoda koje osiguravaju vezu između potpisnika i dokumenta. Najčešće se koristi tzv. asimetrična kriptografija, gde potpisnik koristi privatni ključ za potpisivanje dokumenta, a primalac (drugi potpisnik) koristi javni ključ za proveru autentičnosti potpisa. Asimetrična kriptografija se, dakle, zasniva na upotrebi para ključeva – privatnog ključa (kojim potpisnik potpisuje) i javnog ključa (kojim primalac proverava potpis). Ovaj model se koristi i u sistemima digitalnih sertifikata zasnovanih na PKI (Public Key Infrastructure). Takav sistem omogućava postizanje tri osnovna cilja AES-a:
- potvrdu identiteta potpisnika (autentičnost),
- integritet sadržaja (sprečavanje neovlašćenih izmena),
- dokazivanje vremena i mesta potpisivanja (vremenski žigovi).
Napredni elektronski potpis, dakle, obezbeđuje jasno povezivanje sa potpisnikom, verifikaciju identiteta i zaštitu potpisa od naknadnih izmena. Mnoge komercijalne platforme omogućavaju izradu takvog potpisa u skladu sa zakonskim i tehničkim standardima, posebno sa regulativom eIDASu EU. AES je posebno pogodan za potpisivanje ugovora između kompanija (B2B), internu dokumentaciju firmi, e-komerc transakcije, digitalizaciju administrativnih procedura itd.
Iako mu je nedostatak činjenica da nije po automatizmu izjednačen sa svojeručnim potpisom, AES ipak obezbeđuje visok stepen poverenja u sadržaj dokumenta i relativno lako se dokazuje u sudskom postupku.
Savremene platforme za elektronsko potpisivanje obično podržavaju čitav spektar funkcionalnosti, od jednostavnih elektronskih potpisa (SES), preko naprednih (AES), pa sve do kvalifikovanih (QES), u zavisnosti od nivoa identifikacije potpisnika i primenjenih sigurnosnih mera. Iako pojedine od njih omogućavaju i izdavanje QES-a u saradnji sa kvalifikovanim pružaocima poverljivih usluga (QTSP), njihov primarni značaj u praksi ogleda se u primeni naprednog elektronskog potpisa (AES).
Evo nekoliko najzastupljenijih rešenja, odnosno platformi koje podržavaju AES:
I DocuSign
Čest je izbor za potpisivanje ugovora u poslovnom sektoru, jer omogućava audit trail i povezivanje potpisa sa konkretnim korisnikom.
DocuSign omogućava između ostalog:
- potpisivanje dokumenata korišćenjem AES-a;
- višefaktorsku autentifikaciju potpisnika (imejl, SMS, ID verifikacija);
- audit trail (vremenske i tehničke zapise o potpisivanju);
- integraciju sa drugim softverskim rešenjima (Sejlsfors, Gugl, Majkrosoft 365 itd.).
U nekim jurisdikcijama unutar EU, DocuSign takođe pruža rešenja koja omogućavaju izdavanje potpisa u formi QES-a, pri čemu pruža podršku za kvalifikovane sertifikate i saradnju sa kvalifikovanim pružaocima usluga poverenja (QTSP).
Iako DocuSign ne izdaje kvalifikovane potpise za teritoriju Republike Srbije, po srpskom zakonu, on koristi tehnologije koje mogu ispuniti uslove za napredni elektronski potpis (AES), a dokazna snaga tako potpisanog dokumenta zavisi i od načina korišćenja, autentifikacije potpisnika i konkretnih okolnosti slučaja.
Postupak potpisivanja u DocuSign-u:
- Priprema dokumenta
Nakon što je kreirao nalog na platformi, Korisnik (npr. ugovorna strana ili administrator) učitava dokument na DocuSign platformu, u PDF-u ili drugom podržanom formatu. Dokument se može označiti poljima za potpis, datum, inicijale i druge elemente koje potpisnik treba da unese. Po potrebi, u sistem se može dodati više potpisnika sa različitim redosledom potpisivanja.
- Pozivanje potpisnika (invitation)
Potpisnik dobija poziv putem imejla koji sadrži bezbedan link ka dokumentu, a u zavisnosti od podešavanja, može se zahtevati višefaktorska autentifikacija — npr. potvrda putem SMS koda, verifikacija ličnog dokumenta (ID Verification) ili biometrijska provera.
- Verifikacija identiteta (autentifikacija)
Pre otvaranja dokumenta, sistem proverava identitet potpisnika kroz izabrani metod (imejl verifikacija, SMS kod, ili aploud ličnog dokumenta).
- Sam čin potpisivanja
Potpisnik pristupa dokumentu putem sigurnog veb-interfejsa i može uneti potpis na unapred označeno mesto. Potpis može biti: nacrtan na ekranu, odabran iz generisanih stilova potpisa, ili zamenjen unapred verifikovanim digitalnim sertifikatom (ako postoji). Potpis se zatim kriptografski povezuje sa dokumentom, čime se sprečava naknadna izmena sadržaja.
- Audit trail i vremensko obeležavanje (timestamp)
DocuSign automatski generiše audit trail – detaljan zapis o svakoj radnji (ko je potpisao, kada, sa koje IP adrese, kojim uređajem, kojim metodom autentifikacije itd.). Sistem takođe može dodati vremenski žig (timestamp), koji potvrđuje tačan trenutak potpisivanja i doprinosi dokaznoj snazi dokumenta.
- Završetak i arhiviranje
Nakon što svi potpisnici završe proces, platforma automatski kreira finalni PDF dokument sa integrisanim digitalnim pečatom DocuSign-a i audit trail-om. Svaka strana dobija kopiju dokumenta putem imejla, a original se može bezbedno čuvati u DocuSignsistemu ili internom arhivu korisnika.
II Adobe Acrobat Sign
Platforma omogućava kako napredne tako i kvalifikovane potpise, uz podršku za višefaktorsku autentifikaciju i vremensko obeležavanje. Adobe takođe sarađuje sa velikim brojem QTSP-a (Qualified Trust Service Providers).
III Signicat
Specijalizovano rešenje za tržište EU, koje podržava integraciju sa nacionalnim elektronskim identitetima (BankID, NemID, itd.). Pruža i AES i QES, uz visok nivo kontrole nad procesom identifikacije. Koriste ga banke, telekomunikacione kompanije, pa čak i javna uprava, na primer, u Skandinaviji i Nemačkoj.
IV Namirial (Italija)
Akreditovani QTSP iz Italije, ujedno i komercijalna platforma za AES/QES. Koristi se u pravnom prometu među privatnim subjektima, ali i u javnom sektoru i zdravstvu. Kreiran je u skladu sa svim zahtevima eIDAS uredbe.
V Dropbox Sign (bivši HelloSign)
Podržava napredne funkcionalnosti poput vremenskog žiga, IP logova i potvrde pristupa linku, a može se integrisati sa Dropkboksom, Džimejlom i drugim servisima, što ga čini pogodnim za preduzetnike i male firme. U praksi se često koristi za potpisivanje internih akata i B2B ugovora.
____________________
Pomenute komercijalne platforme omogućavaju organizacijama da, u okviru svojih poslovnih procesa, implementiraju AES rešenja u skladu sa zahtevima eIDAS uredbe, čime se obezbeđuje balans između sigurnosti, pravne valjanosti i efikasnosti elektronskog potpisivanja. Napredni elektronski potpis se, dakle, nameće kao ravnoteža između bezbednosti i praktičnosti, naročito u komercijalnim transakcijama, gde nije uvek neophodan kvalifikovani potpis, ali je poželjna veća sigurnost od običnog, npr. skeniranog potpisa.
