Jak v digitálním světě bezpečně identifikovat smluvní strany?

I přesto, že myšlenka digitalizace dokumentů a jejich elektronického podepisování není zdaleka nová, v jistém ohledu přinášíme do firem a jejich léta zaběhnutých procesů zásadní změny. A každá změna s sebou nese také obavy, odpor a nejrůznější výmluvy typu: Je to opravdu skvělé, jistě za pár měsíců (až let) budeme všichni uzavírat smlouvy elektronicky, ale teď to pro nás ještě není. Za těch bezmála 6 měsíců jsme slyšeli mnoho různých názorů, výmluv a doporučení, tolik, že by to vydalo na samostatný článek.

Dnes se tedy zaměříme na vaše obavy, které můžeme rozdělit do 2 skupin.

  1. Jak zabezpečíte, že mé dokumenty tady budou ještě za 10 let?
  2. Co když druhá strana řekne – já jsem to nepodepsal?

První skupina se týká dlouhodobého uložení a přístupnosti vašich dat. To je technologicky a procesně dobře řešitelné a tato problematika je detailně popsána a zakotvena v našich i evropských zákonech. Možná jste už slyšeli anglický termín „durable medium”, který definuje, jakým způsobem musí být doručeny a uchovávány informace, aby byla zajištěna jejich dostupnost v čase a zejména i nezměnitelnost. Jedním z formátů, který bezpochyby vyhovuje definici durable medium je formát PDF, který využíváme pro ukládání všech elektronických dokumentů. Více se o tomto tématu rozepíšeme v jednom z dalších článků.

Obavu „Já jsem to nepodepsal“ bychom mohli ještě rozdělit na dvě varianty, které mohou nastat.

První je, že protistrana nijak nezpochybňuje, že s vámi uzavřela smlouvu nebo že s vámi má obchodní vztah a na smlouvě je její elektronický podpis. Zpochybňuje ale obsah dokumentu a fakt, že tento text rozhodně nepodepsala. V tomto případě, vás mohu ubezpečit, že Signi je navržena tak, aby nebylo sebemenších pochyb o tom, kdo jaký dokument podepsal, jaký byl obsah dokumentu, který obdržela druhá smluvní strana a který následně podepsala, a byl vám doručen zpět. Říká se tomu „chain” nebo také „integrita dokumentu” a věřte, že jsme věnovali skutečně mnoho hodin tomu, abychom si touto oblastí byli naprosto jisti.

Ano souhlasím, že v digitálním světě platí rozšířený názor, že ten, kdo má Admin přístup, vyhrává a může téměř vše. V praxi to ale tak není. Zejména proto, že každý takový zásah, pokud je vůbec možný, nese obrovské náklady.

Pokud byste chtěli změnit minulost v prostředí blockchain a vrátit čas o několik minut nebo hodin zpátky, musíte vynaložit tolik energie, že si dobře rozmyslíte, zda se vám to vyplatí. Vrátit čas a zrušit nebo změnit transakci, která se stala včera je v podstatě nemožné. Pokud bychom chtěli vrátit čas v Signi, museli bychom popřít několik emailů a SMS zpráv, rozšifrovat, pozměnit a znovu zašifrovat půl databáze a v případě, že daný klient používá časová razítka, tak ještě hacknout server vydavatele časových razítek. Neříkáme, že nic z toho není možné, ale ty náklady jsou opravdu enormní. Věřte; padělat podpis na papíře je oproti tomu jednodušší a levnější.

Je potřeba si ale také uvědomit jaké jsou vedlejší náklady takového zásahu. Pokud se tak stane, jedna strana bude mluvit pravdu a jedna bude zákonitě lhát. Už jen samotný fakt, že někdo pochybuje, je pro službu vytvářející důvěru kam Signi patří likvidační. Ztracené renomé nikdy zpět nezískáte a už se budete do konce vašeho účinkování jen omlouvat a vysvětlovat.

Druhá varianta je, že protistrana zpochybňuje fakt, že on / ona nikdy žádnou smlouvu neuzavřeli a že to musel být někdo jiný. Souhlas, tohle je problém. Ale není to problém samotného elektronického podpisu, stejný problém máte s papírovými smlouvami, jen u těch elektronických se o tom více mluví. Navíc tento problém se týká jednoznačného určení identity vás a druhé smluvní strany.

V tuto chvíli opravdu není možné bez předchozí osobní identifikace s jistotou určit, zda osoba na druhé straně je opravdu ta osoba, za kterou se vydává. Ať vám kdokoliv bude tvrdit cokoliv.

Existují služby, které o vás ví opravdu hodně, znají dopodrobna váš denní program, jak máte rádi vás steak nebo kam jedete na víkend. Ale neví, kolik je vám let, kde opravdu bydlíte, jak opravdu vypadáte a to podstatné, zda celou tu dobu za vás nevystupuje váš virtuální dvojník. Takový, který je jako vy, chová se jako vy, ale bohužel nemá oprávnění za vás podepisovat smlouvy.

A přitom řešení je relativně snadné… Oproti ostatním problémům ohledně integrity, zabezpečení, dostupnosti se zdá jako triviální. V životě každého z nás jistě nastala chvíle, kdy slyšel dotaz: Půjčte mi prosím občanský průkaz. A to je přesně ten moment, kdy už nejste anonymní, virtuální postava bez jednoznačné identity. V tento moment jste to VY. Tak proč tuto skutečnost nezaznamenat, nezakotvit v čase, nevystavit vám o tom potvrzení a neočíslovat vás a toto číslo nezpřístupnit ostatním a pak na tom nevydělávat? A kdo vás v minulosti nejméně jednou takto identifikoval? Ano správně, vaše banka.

A máme tu bankovní identitu

Nadšeně jsem si domluvil schůzku s pěti bankami a v jejich nablýskaných zasedačkách jsem jim vyprávěl, jak pomocí bankovní identity budeme bezpečně podepisovat dokumenty. Zdálo se, že mě nechápou, tak jsem to pro jistotu ještě několikrát zopakoval: Vy máte identifikované klienty, my máme partnery, kteří chtějí uzavírat desítky tisíc smluv bez toho, aby se museli s vašimi klienty scházet a za to jsou ochotni zaplatit. Odpověď byla přibližně taková:

To je skvělé, ale my vám takovou službu nemůžeme poskytnout, dokonce bychom jí neměli poskytnout nikomu, to že to sem tam děláme je umožněno mezerou v dnešních zákonech a pohybujeme se v šedé zóně.

Neradi prohráváme, dokonce bychom řekli, že nesnášíme prohry, proto jsme se nevzdali a ptali se dál:

Proč nám takovou službu nemůžete poskytnout? Nadiktujte si podmínky, které jako firma i jako služba musíme splnit, vyžadujte certifikaci, audit, dosaďte si k nám svého člověka, který bude vše dozorovat.

O to ani tak nejde, vy nejste osoba povinná AML (pozn. zkratka AML znamená boj proti praní špinavých peněz), bankovní identitu nyní smíme poskytnout pouze tomu, kdo je ze zákona povinný dle AML. 

Skvělé, to je velké množství firem, které uzavírají velké množství dokumentů. Investiční poradci, finanční poradci, realitní makléři a další. Můžeme tedy pro ně tuto službu poskytovat?

To bohužel nejde, protože my musíme předat tu identitu přímo osobě / firmě povinné dle AML. Vy jako Signi nesmíte v celém vztahu: my a váš klient figurovat.

A kdyby se Signi stala osobou povinnou dle AML, můžete nám bankovní identitu klienta poskytnout?

Ano můžeme.

Skvělé, my tedy klienta ověříme, informace si bezpečně uložíme a jakmile náš partner bude chtít tohoto klienta identifikovat a uzavřít s ním smlouvu tak u nás již bude ověřený a vše bude jednoduché. 

Tak to by nešlo…. Za prvé byste nám brali business a za druhé by se jednalo o řetězení identit a vámi poskytnutá identita vašemu partnerovi již není platná dle AML.

Aha, takže Signi, resp. Digital factory s.r.o., která tuto službu provozuje, nesmí nijak figurovat ve vztahu banka – partner. Náš partner bude mít smlouvu přímo s bankami, my mu dodáme pouze licenci aplikace. 

Ano, takto by to bylo možné.

To ale znamená, že v Signi nesmíme takovou identitu uložit, tzn. každá identifikace = nový požadavek na API banky, což při ceně “vyšší jednotky EUR až nižší desítky EUR” v podstatě vylučuje rozumný business model vyjma online sázení a hazardu.

Ano je to přesně tak. A ještě musíte zabezpečit, aby se k API banky dostala jen osoba povinná dle AML a žádný další váš partner. A pak také bychom chtěli upozornit, že tento způsob není vyzkoušený a je možné, že když to naimplementujete, tak to neprojde přes naše risk a compliance oddělení. A pak bychom vás rádi informovali, že za rok takto poskytovaná služba pravděpodobně skončí.

Tudy zkrátka cesta nevede. I kdybych zavřel oči nad vysokými náklady na vývoj a úpravu aplikace, kdyby klienti akceptovali vysokou cenu za jednu takto uzavřenou smlouvu, risk a compliance bank by tuto službu schválil, než to všechno proběhne je léto, spíše podzim 2020. Ale hlavně, proč bychom poskytovali službu, kdy přes nás, bez nás uzavírají naši partneři smlouvy?

Zrodilo se Bank ID

Na každé z těch schůzek, ale zazněla zmínka a připravovaném projektu, který by přesně splňoval to, co bychom si jako Signi přáli. Tedy že banka, nám poskytne ověřenou bankovní identitu klienta, kterou my přijmeme a bezpečně u nás uložíme.

Zároveň poskytne možnost přihlašování do Signi pomocí stejných přihlašovacích údajů jako používá pro internetové bankovnictví. My tak můžeme uživatele Signi nejen identifikovat a našim partnerům garantovat, že uživatel je skutečně ten, za kterého se vydává, ale hlavně svou bankovní identitou, tedy BankID bude moci podepisovat dokumenty. Už nebudou třeba žádné osobní certifikáty na USB discích, žádné klíčenky ani HW klíče, pro vše bude stačit jedna uznávaná, kvalifikovaná identita.

Psal se říjen 2019…

Od té doby jsme v této oblasti ušli velký kus cesty, aktivně spolupracuje s několika bankami, abychom vám přinesli nejlepší možnou službu jak na identifikaci prostřednictvím BankID tak zejména podepisování dokumentů přes Signi. První reálné výstupy budeme mít v 1Q/2020 tak se těším, až se s vámi podělím o novinky a zkušenosti. BankID je realitou nejdříve v roce 2021, tak věříme, že vše dopadne.

Závěrem bych chtěl zopakovat, že problém identifikace není problémem elektronického podpisu a nijak nesnižuje jeho platnost a účinnost. A tak jak bych vám nedoporučil bez jakékoliv identifikace uzavřít papírovou smlouvu, nedoporučuji vám to ani v případě té elektronické. Pokud ale znáte např. email nebo telefonní číslo, ze kterého jste s druhou smluvní stranou komunikovali, myslím, že máte na 95 % vyhráno.

Líbil se vám článek? Sdílejte ho
s přáteli

Share on linkedin
Sdílet
Share on facebook
Sdílet
Share on twitter
Tweet

Nebo si Signi vyzkoušejte.
3 podpisy máte zdarma

Podpora

Enterprise

Neomezený přístup k naší podpoře a nápovědě, Monitoring práce aplikace, Správa všech operací v online prostředí formou VIP help desku, Jakýkoliv váš požadavek na aplikaci budeme řešit do 4 hodin, Naléhavé případy v aplikaci budeme řešit do 2 hodin, Přednostní podpora v rámci zákaznické péče.

Ceny jsou uvedeny vč. DPH

Podpora

Prémiová

Neomezený přístup k naší podpoře a nápovědě, Monitoring práce aplikace, Správa všech operací v online prostředí formou VIP help desku, Jakýkoliv váš požadavek na aplikaci budeme řešit do 8 hodin, Naléhavé případy v aplikaci budeme řešit do 4 hodin.

Ceny jsou uvedeny vč. DPH

Typické použití

Sektor

Návrh objednávky

obchod

Objednávka

obchod

Dohoda o hmotné odpovědnosti

HR

Rezervační smlouva

reality

Smlouva o pronájmu

reality

Souhlas se zpracováním os. údajů

školství

Více o možnostech použití se dozvíte v naší sekci Řešení v horním menu.

Dokument obsahuje

Jednoduše

Podpis dle nařízení eIDAS

do 10 podpisů

2FA ověření

SMS a e-mail

Uložení dokumentu

po dobu 6 měsíců

Elektronická pečeť

Časové razítko

Počet uživatelů

neomezený

Řešení může obsahovat

Enterprise

Počet workspaces

neomezený

Integrace

CRM, ERP, DMS

Schvalovací workflow

Reporting práce uživatelů

Branding

Dokument obsahuje

Měsíčně

Podpis dle nařízení eIDAS

do 100 podpisů

2FA ověření

SMS a e-mail

Uložení dokumentu

po dobu 6 měsíců

Elektronická pečeť

Časové razítko

Počet uživatelů

neomezený

První 3 kredity

zdarma

1 kredit

49 Kč
49 Kč/kredit

10 kreditů

450 Kč
45 Kč/kredit

20 kreditů

840 Kč
42 Kč/kredit

50 kreditů

2 000 Kč
40 Kč/kredit

100 kreditů

3 500 Kč
35 Kč/kredit

200 kreditů

6 000 Kč
30 Kč/kredit

400 kreditů

10 000 Kč
25 Kč/kredit

Ceny jsou uvedeny vč. DPH