Podjetjem so za popolno digitalizacijo poslovanja na voljo zakonski okviri ter različnih načini digitalnega podpisovanja, ki jih lahko uporabijo v tako rekoč vseh notranjih in zunanjih poslovnih procesih.

Zaupanja vredno in zakonsko skladno digitalno poslovanje je tesno povezano z digitalnimi identitetami. Slednje v Evropski uniji in posledično v Sloveniji opredeljuje uredba EIDAS 2.0, ki vzpostavlja tudi čezmejno priznavanje e-identitet. Hkrati digitalno podpisovanje že dve desetletji podpira pravni okvir, ki ga sestavljata tako Zakon o elektronskem podpisu in elektronskem poslovanju kot tudi Zakon o varstvu dokumentarnega in arhivskega gradiva in arhivih, poleg tega pa tudi različna področna zakonodaja.

Uredba prepoznava več načinov elektronske identifikacije, ki ustanovam, podjetjem in potrošnikom omogočajo varno, zaupanja vredno in učinkovito poslovanje na ravni EU:

• digitalni ali elektronski podpis (e-podpis), ki potrjuje, da se oseba strinja z vsebino dokumenta ali niza podatkov. Digitalni podpisi se lahko uporabljajo tudi za dostop do digitalnih storitev. Z vidika zakonodaje je pomembno, da imajo samo kvalificirani digitalni podpisi enak pravni učinek kot lastnoročni podpisi.
• digitalni žig ali elektronski žig (e-pečat) je namenjen zagotavljanju izvora in celovitosti digitalnega dokumenta – podobno kot žig na papirju;
• digitalni ali elektronski časovni žig, ki je namenjen dokazovanju obstoja določenega digitalnega dokumenta ali datoteke v danem času;
• elektronska potrdila digitalne storitve, na primer potrdilo o avtentikaciji spletne strani za dokazovanje zaupanja v digitalne storitve kot so spletne trgovine;
• elektronska storitev registrirane dostave ali e-dostava, ki zagotavlja dokazilo o pošiljanju in dostavi digitalnega dokumenta.

Kateri digitalni podpisi so vam na voljo pri poslovanju?

Za elektronski podpis velja vsako elektronsko podpisno sredstvo, na primer natipkano ime podpisnika v dokumentu, vdelana slika lastnoročnega podpisa … Vendar za varno digitalno poslovanje pridejo v poštev le digitalni ali elektronski podpisi, ki temeljijo na uporabi digitalnih potrdil. Zakonodaja za določene dokumente sicer celo izrecno zahteva uporabo kvalificiranih digitalnih potrdil. Ne glede na to se ostalim digitalnim potrdilom, na primer naprednim ali strežniškim, ne odvzema veljavnosti, še posebej, če digitalno podpisani dokumenti nastopajo v kontekstu z drugimi poslovnimi dogodki.

Kvalificirana digitalna potrdila

Za najvišjo raven zaupanja se uporablja kvalificirana digitalna potrdila na USB-ključku, pametni kartici ali v oblaku. Posebnost kvalificiranih digitalnih potrdil je, da se hranijo na ločenih namenskih napravah, ki istočasno varno hranijo zasebni ključ in kreirajo digitalni podpis, pri čemer je dostop do podpisa dodatno varovan z geslom oziroma PIN-om. Uporabnikom bančnih storitev so že dobro znani podpisni USB-ključki ter pametne kartice s čitalniki. Slednje se uporabljajo tudi v organizacijah, ki so uvedle politiko ničelnega zaupanja. Prednost kvalificiranega digitalnega potrdila je tudi ta, da lahko recimo ključek uporabljamo na različnih računalniških napravah, seveda če imajo nameščene ustrezne gonilnike oziroma programsko opremo za podpisovanje.

V poslovno uporabo vse bolj prodirajo kvalificirana potrdila v oblaku. Ta je možno uporabljati tako rekoč vedno in povsod, v nasprotju s ključki in karticami, ki omogočajo samo uporabo na osebnih računalnikih ne pa tudi na mobilnih napravah.

Napredna digitalna potrdila

Za digitalno podpisovanje so na voljo še napredna digitalna potrdila. Ta se shranijo programsko v operacijski sistem računalniške naprave, ki tudi izvede generiranje digitalnega podpisa v aplikaciji. Za razliko od kvalificiranih digitalnih potrdil se napredna digitalna potrdila nahajajo na isti računalniški napravi kot delujejo aplikacije, ki jih uporabljajo, na primer spletni brskalnik ali bralnik PDF.

Napredni digitalni podpis se lahko uporablja z geslom ali brez gesla. V nasprotju s kvalificiranim digitalnim potrdilom je možno napredno digitalno potrdilo skupaj z zasebnim ključem izvažati in prenašati med napravami. To pomeni, da lahko z istim naprednim potrdilom vstopamo do digitalnih storitev na osebnem računalniku v službi in doma pa tudi z mobilnim telefonom ali tablico, se pravi s katere koli naprave, kjer smo ga namestili. Ker tovrstni digitalni podpisi niso tako varni oziroma ne zagotavljajo tako močnega zaupanja kot kvalificirana digitalna potrdila, se jih običajno uporablja bolj za dostopanje do digitalnih storitev in podpisovanje manj kritičnih dokumentov.

Strežniška digitalna potrdila

V podjetjih, kjer množično izdajajo digitalne dokumente, recimo v zavarovalnicah, najpogosteje uporabljajo oddaljeno podpisovanje s strežniškimi kvalificiranimi ali naprednimi digitalnimi potrdili. Razlika je v tem, da se kvalificirana digitalna potrdila shranjujejo na posebnih strojnih varnostnih modulih, napredna pa na strežnikih. V obeh primerih se najprej izvede overjanje podpisnika, tipično z več faktorskim overjanjem, sam podpis dokumenta pa izvede podpisni strežnik. Prednost takšnega načina je, da uporabniku ni treba imeti digitalnega podpisa, več faktorsko overjanje pa je tudi priročno, saj običajno poteka kar preko žetona, ki ga uporabnik prejme po SMS-sporočilu v mobilni telefon.

Ko vemo, katera digitalna potrdila so primerna za naše poslovanje?

Pri obravnavi digitalnih podpisov se je tudi pri poslovni rabi v gospodarstvu smiselno nasloniti na ravni zaupanja, ki jo je vzpostavila uredba EIDAS. Izhodišče za izbiro digitalnega podpisovanja je ocena tveganja, s katero podjetje odkrije in določi, kakšne ravni zaupanja potrebuje posamezen digitaliziran proces. V splošnem velja, da se z višanjem stopnje zaupanja povečuje zapletenost digitalnega podpisovanja – varnost in zaupanje pač terjata svoj davek.

Vsekakor je pri zunanjem poslovanju treba vzeti v zakup uporabniško izkušnjo. Če ta ne bo uporabniku prijazna, se bodo stranke in poslovni partnerji digitalnemu podpisovanju izogibali, kar za podjetje pomeni dodatne neposredne stroške in porabo delovnega časa.

Če svoje kupce in dobavitelje poznate oziroma ste jih že predhodno fizično spoznali in če sprejmejo »lažjo« izvedbo digitalnega podpisovanja, je smiselno izvesti podpisovanje z naprednim digitalnim potrdilom ali z oddaljenim strežniškim podpisovanjem. Na primer, če želite, da vam stranke v čim krajšem času podpišejo aneks k pogodbi, je smiselno uporabiti oddaljeno strežniško podpisovanje, saj se mora podpisnik za dostop do dokumenta in pridobitev strežniškega podpisa samo ustrezno identificirati. Takšen pristop uporabite tudi za podpisovanje dokumentov v notranjih procesih, od potrjevanja prejetih in izdanih računov do naročilnic in ponudb pa tudi recimo za prevzemanje kadrovskih dokumentov.

Po drugi strani je za vodstvene dokumente, kadrovske pogodbe, zdravstveno dokumentacijo in podpisovanje dokumentov pri poslih visokih vrednosti ustrezneje zahtevati kvalificirane digitalne podpise. Če želite izvesti digitalno podpisovanje za pogodbo za milijonski projekt, potem boste opravilu zagotovo namenili nekaj več truda – enako vaš pogodbeni partner. Takšno pogodbo lahko v primeru uporabe podpisnega ključka ali kartice podpišete z uporabo bralnika PDF ali pa z eno od komercialnih storitev za oddaljeno kvalificirano digitalno podpisovanje. Prednost storitev za oddaljeno e-podpisovanje je predvsem stalna dostopnost s katerekoli naprave ter možnost potrjene elektronske dostave digitalno podpisanega dokumenta. Je pa takšen način podpisovanja pogojen s pridobitvijo kvalificiranega digitalnega potrdila, ki temelji na fizičnem overjanju podpisnika s strani izdajatelja potrdila.

Sodobne poslovne informacijske rešitve, kot so dokumentni sistemi, ERP, CRM in HRM-sistemi že podpirajo digitalno podpisovanje. Vendar v številnih podjetjih ni časa, denarja niti potrebe, da bi imeli zaposleni službene digitalne podpise. Zato je za splošno uporabo digitalnih podpisov pri poslovanju vse bolj aktualno oddaljeno strežniško podpisovanje, pri čemer pa je za ključne podpisnike le treba priskrbeti kvalificirana digitalna potrdila in orodja za njihovo uporabo.