Что такое электронная подпись? Полный гайд для новичков

Если вы подписали договор аренды в электронном виде, устроились на работу через интернет или согласились с условиями цифрового договора, скорее всего, вы использовали электронную подпись. Такие подписи позволяют людям удалённо заполнять юридически обязывающие соглашения без необходимости распечатывать или сканировать документы, что делает их полезным инструментом для бизнеса, юридических сделок и оформления государственных документов.

В этой инструкции мы расскажем, что такое электронная подпись, как она работает и какой у неё юридический статус. Вы также узнаете, где используется электронная подпись, как выбрать инструмент для работы с электронной подписью и основные преимущества применения электронной подписи в личной и профессиональной жизни.

Что такое электронная подпись?

Электронная подпись — это действие на электронном устройстве, которое подтверждает согласие человека с содержимым документа. Это действие может быть вводом имени, написанием подписи, нажатием на кнопку или проставлением галочки. В американском законе о цифровых подписях в мировой и национальной торговле (Electronic Signatures in Global and National Commerce Act — E-Sign Act) дано следующее определение цифровой подписи: электронный звук, символ или процесс, связанный с договором или записью, и использованный для его подписания.

Современные платформы для работы с электронной подписью генерируют подробные атрибуты для аудита, в том числе временные метки, адреса электронной почты и данные об IP-адресе, которые позволяют доказать личность и действия лица, подписавшего документ.

Разница между электронной подписью и цифровой подписью

Люди часто путают электронную подпись с цифровой подписью, однако это не одно и то же. Электронная подпись — это более широкий термин, который относится к любому цифровому действию, подтверждающему согласие. С другой стороны, цифровая подпись — это особый вид цифровой подписи, который использует шифрование и сертификаты для подтверждения личности и защиты документа от изменений.

При использовании цифровой подписи, программа создаёт уникальный отпечаток файла. Изменение даже одного символа в таком документе приведёт к нарушению отпечатка. Цифровые подписи также привязаны к выданному вам сертификату, который можно сравнить с цифровым паспортом.

В строго регулируемых сферах, в том числе в финансах, здравоохранении и юридических сделках, цифровая подпись является более надёжным доказательством, чем базовая электронная подпись, например, ввод имени или проставление галочки. Это связано с тем, что цифровая подпись привязывает личность человека, владеющего подписью, к криптографическому сертификату и защищает документ, поэтому любые изменения после подписания можно легко обнаружить.

DocuSign, Adobe Sign и другие подобные платформы встраивают цифровой сертификат подписавшего документ лица в финальную версию документа, что подтверждает личность подписавшего документ лица и позволяет обнаруживать любые изменения.

Электронная подпись должна выглядеть также, как и моя обычная подпись?

Не всегда. Она может быть такой же, но это необязательно. Если вы вводите имя, ставите галочку или рисуете нечто, едва похожее на вашу подпись, это всё равно считается за электронное подписание.

Как работает электронная подпись?

Электронная подпись может иметь разные уровни безопасности. Стандартная электронная подпись должна быть простой в использовании и выполняется с минимальным количеством шагов, что позволяет использовать её для больших объёмов документов с низким уровнем риска. Цифровые подписи используют дополнительные криптографические средства, которые подтверждают личность владельца подписи и неизменность документа.

Стандартная технология электронной подписи

В случае со стандартной электронной подписью, основная задача платформы состоит в том, чтобы быстро зафиксировать намерение подписывающего документ лица. Документ, обычно в формате PDF или HTML, отображается в веб-интерфейсе или приложении. Пользователь должен ввести своё имя, написать его при помощи мыши или сенсорного экрана или поставить галочку напротив строки, например, с текстом "Я согласен".

В это время, система генерирует атрибуты для аудита и записывает время подписания документа, адрес электронной почты, IP-адрес и иногда используемое устройство пользователя. Некоторые платформы добавляют дополнительные шаги, например подтверждение по электронной почте или коду из SMS. Это помогает подтвердить личность человека, но не создаёт криптографической связи между подписью и документом. Если такой связи нет, вы не сможете автоматически узнать об изменениях в документе после его подписания.

Технология цифровой подписи

Цифровая подпись — это разновидность электронной подписи, которая использует криптографию для привязки личности владельца подписи к документу. Она использует инфраструктуру открытых ключей (PKI — Public Key Infrastructure), в которой у владельца подписи есть два ключа: приватный ключ, доступ к которому есть только у владельца, и открытый ключ, который другие люди могут использовать для подтверждения подписи пользователя.

Ключи привязаны к цифровому сертификату, выданному признанным удостоверяющим центром (CA — certificate authority), который подтверждает личность пользователя. Данный принцип похож на использование подтверждённых открытых ключей шифрования для защиты электронных писем в программе Pretty Good Privacy (PGP).

Когда владелец подписи выполняет действие, платформа сначала проверяет документ через алгоритм хеширования, например SHA-256 (Secure Hash Algorithm 256-bit) и создаёт уникальный код установленной длины для содержимого файла. После этого, данный код, который называется хеш, подписывается приватным ключом владельца подписи. Так появляется цифровая подпись. Если после этого документ будет изменён — даже на один символ — новый хеш не будет совпадать с исходным.

Чтобы проверить подлинность, система получателя использует публичный ключ из сертификата владельца подписи для расшифрования подписи и раскрытия оригинального хеша. После этого, он создаёт новый хеш из полученного документа и сравнивает их. Если значения совпадают, значит документ не был изменён и подпись является подлинной.

Данный процесс также используется для обеспечения безопасности в других областях, например для ввода кода подтверждения при помощи YubiKey, чтобы убедиться в отсутствии изменений в программе перед её публикацией. Весь процесс зависит от надёжности и доверия к удостоверяющим центрам.

Как происходит электронное подписание документа

Вот как обычно работает электронная подпись:

1. Загрузка файла: отправитель загружает документ (PDF, Word или другой поддерживаемый формат) на платформу для подписания документов.
2. Добавление получателей и отправка: отправитель добавляет получателей, добавляет поля для подписи, устанавливает порядок подписания (при необходимости) и отправляет документ на подписание.
3. Применение подписи: все получатели добавляют свою подпись путём ввода имени, рисования подписи или загрузки изображения подписи. Платформа сохраняет атрибуты для аудита, в том числе события и временные метки, а в некоторых случаях адрес электронной почты и IP-адрес подписавшего документ лица.
4. Защита файла: при использовании подписей с сертификатом, платформа добавляет цифровой сертификат и криптографическое доказательство, чтобы получатель мог подтвердить личность и целостность документа.
5. Блокировка и завершающий этап: после применения цифровой подписи, любые изменения после подписания приведут к сбою при подтверждении документа, поскольку значения хеша будут различаться.
6. Отправка копий: все участники получают финальную версию документа, обычно вместе с сертификатом.

Электронные подписи безопасны?

Это зависит от того, как платформа осуществляет подписание, и от её уровня безопасности. Базовая электронная подпись может просто подтверждать факт подписания документа, при этом продвинутые цифровые подписи используют шифрование, хеширование и PKI для предотвращения изменения документов и подтверждения личности.

Проверка личности может осуществляться как отправкой обычного кода на электронную почту, так и проверкой биометрии или цифрового сертификата, в зависимости от требований безопасности процесса.

В случае с чувствительными документами, безопасные платформы обычно шифруют сохраняемые файлы и соблюдают различные стандарты, например стандарт Международной Организации Стандартизации (ISO) 27001, который является международным образцом обеспечения информационной безопасности. Подобные практики можно совмещать и с другими принципами кибербезопасности, которые обеспечивают защиту данных от утечек и взломов.

Виды электронной подписи

Электронные подписи разделяются на три уровня в зависимости от надёжности привязки подписи к личности человека, подписывающего документ, а также в зависимости от уровня защиты документа от изменений.

Низкий уровень подтверждения

Простая электронная подпись (ПЭП) — это базовая подпись для информации с низким уровнем риска. К таким подписям относятся ввод имени, вставка изображения подписи или начертание на сенсорном экране. Они не подтверждают личность подписывающего лица и не имеют никаких встроенных функций безопасности. ПЭП может иметь юридическую значимость при явном намерении и согласии, но обычно она является слабым доказательством в спорах, и её легко подвергнуть сомнению по сравнению с более высокими уровнями подтверждения.

Высокий уровень подтверждения

Усиленная электронная подпись (УЭП) использует проверку личности и защиту от изменения. Пользователь авторизуется (часто при помощи цифрового сертификата, данных учётной записи или одноразового кода), и подпись защищается криптографическим хешем. Если после подписания документ будет изменён, он не сможет пройти проверку подлинности. Обычно AES используется в бизнесе, финансах и юридических документах, в которых важен контроль ответственности.

Регулируемый высокий уровень подтверждения

Квалифицированная электронная подпись (КЭП) соответствует строгим юридическим требованиям, в том числе регламенту ЕС в отношении Сервисов электронной идентификации, авторизации и удостоверения личности (eIDAS — Electronic Identification and Trust Services). Личность лица, подписывающего документ, подтверждается формальной проверкой. Такая проверка может проходить при личной встрече или удалённо через безопасный процесс идентификации по видеосвязи, во время которого обычно необходимо показать паспорт или удостоверение государственного образца.

После этого, авторизованный центр выпускает сертификат, который хранится на защищённом устройстве, например на смарт-карте или аппаратном ключе. КЭП является более надёжным юридическим доказательством и необходима для определённых документов, в том числе для подписания некоторых финансовых и юридических договоров.

Электронные подписи накладывают юридические обязательства?

В большинстве юрисдикций — да. Электронные подписи признаны юридически значимыми в США, ЕС и многих других странах, при соблюдении некоторых важных условий. Такие законы, как E-Sign Act и Uniform Electronic Transactions Act (UETA) в США и регламент eIDAS в ЕС открыто указывают, что подпись не может считаться юридически ничтожной, только из-за того, что она электронная.

Какая электронная подпись считается юридически значимой

Точные требования различаются в зависимости от юрисдикции, однако большинство законов об электронных подписях (в том числе американские E-Sign Act и UETA и Регламент ЕС eIDAS) устанавливают следующие основные признаки:

• Намерение подписания: человек должен осознанно выполнить действие, указывающее на согласие.
• Согласие на электронное подписание: обе стороны должны согласиться на использование электронной подписи. Во многих регионах, такое согласие должно быть явным.
• Привязка подписи к документу: подпись должна быть добавлена в файл или привязана к нему так, чтобы доказать их принадлежность друг к другу. Если подпись находится в другой системе (например, в электронной почте или внешнем журнале), доказать её связь с определённой версией документа будет сложнее.
• Хранение и доступ: все подписавшие документ пользователи должны иметь возможность скачать копию финальной версии документа — именно той, которую они подписывали. Если платформа не обеспечивает это условие, или если кто-то впоследствии заявит, что он никогда не подписывал файл, это ослабляет юридическую силу подписи.
• Доказательство целостности: документ должен подтверждать, что в нём ничего не менялось с момента подписи. Обычно для этого используются уведомления об изменении, цифровые печати или хеш файла.

Можно ли использовать электронную подпись в суде?

Да, и их часто там используют. Суды часто хотят видеть прямые подтверждения личности подписывающего документ лица, а также доказательства их намерения поставить подпись и отсутствия изменений в документе. Электронные подписи с высоким уровнем подтверждения могут являться более серьёзным доказательством, чем подпись на бумаге, поскольку в них есть атрибуты для аудита, возможность подтверждения личности и печать об отсутствии изменений, которые сложно подделать или оспорить.

Среди подобных доказательств можно отметить:

• Данные об авторизации: Это может быть вход по электронной почте, IP-адрес, код двухфакторной аутентификации или цифровой сертификат, привязанный к лицу, подписавшему документ. Чем более точен и безопасен способ, тем лучше.
• Свидетельство намерения: действие с временной меткой, например нажатие на "Я согласен" или "Подписать договор", указывает на наличие намерения. Некоторые платформы также показывают, что подписавшее документ лицо просматривало его перед подписанием.
• Журнал аудита: содержит подробную историю каждого этапа, в том числе время открытия документа, данные о пользователе, используемом устройстве и время проставления подписи.
• Маркеры целостности файла: Это может быть панель подписи PDF, которая показывает, что документ не изменялся с момента подписания, или значение хеша, подтверждающее содержимое документа.

Где используется цифровая подпись?

В наше время, цифровые подписи являются повседневным инструментом во многих сферах жизни. Ниже приведены некоторые примеры использования электронной подписи.

Финансы и банки

Банки и страховые компании используют цифровые подписи для открытия счёта, подписания договоров займа, одобрения ипотеки, выдачи кредитных карт и изменения политики обслуживания. Клиенты могут безопасно просматривать и подписывать документы онлайн без посещения офиса банка.

Платформы для электронного подписания помогают финансовым организациям выполнять требования регуляторов, защищать чувствительные данные шифрованием и ограничением доступа, а также автоматизировать рабочие процессы, что ускоряет работу и при этом обеспечивает соблюдение требований и поддержание безопасности.

Управление сотрудниками и найм на работу

При найме сотрудников отдел кадров отправляет предложения, налоговые формы, соглашения о конфиденциальности и прочие документы зачастую ещё до начала работы сотрудника. Электронные подписи позволяют выполнить данный процесс без печати каких-либо документов. Также это упрощает отслеживание подписавших и не подписавших документ сотрудников.

В случае изменения политики или смены должности, подобные инструменты также можно использовать для подтверждения и одобрения записей. Многие подобные данные являются чувствительными, поэтому здесь часто используются инструменты управления доступом или ограничения скачивания.

Государственные и юридические услуги

Государство использует электронные подписи для предоставления услуг населению, например для заполнения налоговых форм, разрешений и подачи заявлений на пособия. Многие суды также принимают документы, подписанные электронной подписью, например аффидавиты или заявления, при условии соответствия электронной подписи требованиям суда.

В юридической практике, компании используют электронные подписи для договоров, получения согласий от клиента и урегулирования споров. Некоторые документы всё же требуют подписания на бумаге или нотариального заверения, однако большинство деловых документов в наше время обрабатываются в электронном виде. Атрибуты для аудита особенно полезны при разрешении споров.

Управление продажами и контрактами

Время играет критически важную роль в продажах. Возможность отправить договор в день соглашения о сделке и получить подписанную копию без необходимости личной встречи значительно упрощает работу. Отделы продаж зачастую привязывают инструменты электронного подписания к CRM-системе клиента, и когда сделка готова к подписанию, система может отправить документ и сохранять его копию после подписания.

Что касается контрактов, компании используют подобные инструменты для отправки договоров продавцам или обновления условий работы с партнёрами. Никому не нужно бегать за подписями — все участники просто получают уведомления после подписания договора всеми сторонами. Все действия сохраняются в системе, в том числе финальная версия документа.

Как выбрать инструмент электронной подписи

На рынке есть множество инструментов электронного подписания документов. Вот как выбрать инструмент под ваши требования.

Защита и соблюдение требований

Убедитесь, что сервис шифрует ваши данные, защищает документы от изменения и соответствует юридическим стандартам в стране вашего проживания или работы. Если вы работаете в регулируемой отрасли, учитывайте соответствие действующим законам и стандартам, например регламенту ЕС eIDAS и ISO 27001 для обеспечения информационной безопасности.

Способы аутентификации

Базовые инструменты позволяют подтвердить личность по электронной почте. Более продвинутые инструменты предлагают дополнительные шаги, например подтверждение кодом из SMS, PIN-кодом или проверкой удостоверения личности государственного образца, которая проходит при личной встрече или по защищённой видеосвязи. Используйте способ, соответствующий уровню чувствительности отправляемых документов. Проверка паспорта не нужна для заказа обеда, но при заключении юридических сделок важно использовать более серьёзные меры безопасности.

Особенности документооборота

Если вы постоянно отправляете одну и ту же форму, сохранение шаблона может сэкономить вам время. У вас должна быть возможность заполнить доступные для заполнения поля, установить порядок подписания (последовательность, при которой получателя просят поставить подпись), отправлять уведомления и отслеживать проставление подписи получателями. Некоторые инструменты также позволяют подписывающему документ лицу передать право подписи другому человеку. Выбирайте функции, которые могут вам пригодиться, но не добавляют лишние ненужные шаги.

Интеграция и совместимость

Ваш инструмент должен работать с файлами нужных вам форматов, а лучше всего, если его можно подключить к вашему ПО, например к электронной почте, CRM или облачному хранилищу. Если инструмент нельзя интегрировать в вашу существующую систему, это замедлит работу и потребует от вас дополнительных действий.

Простота использования

Лучшие платформы для электронного подписания делают процесс простым как для отправителя, так и для получателя. У получателя, проставляющего подпись, должна быть возможность открыть документ, заполнить необходимые поля и подписать документ за минимальное количество действий. Понятные инструкции на экране и возможность входа через мобильные устройства помогут исключить задержки, особенно если подпись требуется от нескольких человек.

Цена и масштабируемость

На некоторых платформах есть бесплатные предложения, но обычно они очень ограничены по количеству отправляемых документов и предлагаемых функций. Тарифы для бизнеса станут более подходящим решением для регулярного использования и обычно стоят около 15-40 долларов США за пользователя в месяц. Обращайте внимание на лимиты по количеству документов и дополнительные сборы, например за доставку SMS или подтверждение личности получателя.

Если вы хотите интегрировать сервис в ваше собственное приложение, проверьте лимит на обращения к API. Обращение к API — это любой запрос, который отправляет система к платформе электронной подписи, например отправка документа на подписание или получение статуса. Некоторые сервисы берут дополнительную плату за превышение ежемесячного лимита на обращения. Если вы масштабируете бизнес, используйте пробную версию, чтобы оценить соответствие цен и лимитов вашим рабочим процессам.

Основные преимущества использования электронной подписи

Переход на электронную подпись предлагает множество преимуществ:

Ускорение документооборота

Вы отправляете документ, кто-то его подписывает на своём телефоне или ноутбуке, и всё готово. Электронная подпись устраняет лишние действия при совершении сделки, найме сотрудника, получении подтверждения и в других подобных ситуациях, что позволяет быстрее переходить от принятия решения к действию.

Экономия

Подпись на бумажных документах требует различных расходов: на принтеры, чернила, почтовые отправления, курьерские сборы и большое количество времени на управление этим процессом. Электронная подпись устраняет практически все эти расходы. А сэкономленное время можно потратить на более важную работу. И хотя программы для электронной подписи стоят денег, для большинства компаний они более выгодны, если при расчёте учитывать время и ресурсы.

Соответствие стандартам и атрибуты для аудита

Электронные подписи упрощают отслеживание, поскольку все действия сохраняются автоматически. Это большой плюс в регулируемых сферах, таких как здравоохранение и финансы. Некоторые платформы предлагают обязательные поля для заполнения, печать для защиты от изменений и автоматические уведомления для полного соответствия требованиям. Если вам когда-либо потребуется проверить, кто и что подписывал, вы сможете сделать это при помощи журнала аудита.

Экологичность бизнес-процессов

Меньше печати — меньше отходов. Электронные подписи позволяют уменьшить расход бумаги, упаковки и выбросов от транспортировки. Это отличная возможность для компаний, которые стремятся к устойчивому ответственному развитию. Некоторые платформы даже показывают, сколько листов бумаги и выбросов углерода сэкономлено, и вы можете предоставить эту информацию своим клиентам. Такое небольшое изменение приводит к созданию более экологичной рабочей среды.