Часто задаваемые вопросы по электронным подписям

Имеют ли электронные подписи юридическую силу в США?

Да. Да. Сегодня, спустя более чем 15 лет после подписания Закона ESIGN, уже не стоит вопроса о том, являются ли электронные подписи законными и имеют ли они юридическую силу. Законы на федеральном уровне и на уровне штатов наделяют электронные подписи таким же правовым статусом, как и подписи, сделанные от руки. Сорок семь штатов США, Округ Колумбия, Пуэрто-Рико и Виргинские острова приняли Закон об электронных сделках (Uniform Electronic Transactions Act, сокращенно — UETA). Кроме того, согласно федеральному закону Electronic Signatures in Global and National Commerce Act (ESIGN), электронные подписи имеют юридическую силу для торговых операций внутри штата, а также в тех штатах, где не принят закон UETA.


Подробнее о законодательстве в сфере электронных подписей и юридических практиках вы можете узнать из этой веб-трансляции: "E-SIGN и не только: подтверждения электронных подписей и транзакций"

Имеют ли электронные подписи юридическую силу в Канаде?

Да. Согласно Stikeman Elliott LLP, "все регионы и территории имеют свои правовые акты в отношении электронной коммерции, основанные на типовых законах, опубликованных ООН и Канадской конференцией по единообразному законодательству. Например, в Онтарио Закон об электронной коммерции 2000 г. регламентирует использование электронных документов в коммерческих сделках.

Хотя существуют некоторые вариации, региональные нормы в сфере электронной коммерции указывают, что подписи, документы и оригиналы не могут признаваться недействительными или незаконными только по причине того, что они имеют электронную форму". Подробнее см. в полной версии документа от Stikeman Elliott под названием Electronic Signatures in Canadian Law (Электронные подписи в канадском законодательстве).
 

Имеют ли электронные подписи юридическую силу в Европе?

Директива 1999/93/EC Европейского парламента и Совета 1999 г. по соглашению об электронных подписях (также известная как Европейская директива 1999) устанавливает критерии легальности электронных подписей. Описаны три вида электронных подписей (простые, расширенные и квалифицированные). Согласно Директиве, расширенная электронная подпись, основанная на квалифицированном сертификате, удовлетворяет требованиям к подписи в отношении данных в электронной форме так же, как рукописная подпись удовлетворяет этим требованиям в отношении бумажных носителей информации.

Подробнее см. полную версию документа от Лорны Бразелл из Osborne Clarke LLP под названием eIDAS and E-Signature: A Legal Perspective (eIDAS и электронные подписи: правовые аспекты).

Если вам нужна консультация относительно правового статуса электронных подписей в той или иной стране ЕС или местных требований в отношении хранения данных, обратитесь к своему юристу.

 

Что такое Закон ESIGN?

Закон США "Об электронных подписях в международном и национальном коммерческом обороте" (ESIGN) — это федеральный закон США, вступивший в силу в 2000 г., который регламентирует использование электронных записей и подписей в коммерческих транзакциях. Oн разрешает организациям использовать единый процесс электронных подписей во всех 50 штатах и гарантирует, что документы не будут признаны судом недействительными только лишь по причине их заверения электронной подписью.

В тексте закона не говорится о какой-либо определенной технологии или решении. Организация сама вправе решать, как она будет обеспечивать соблюдение требований Закона ESIGN в отношении аутентификации данных и подписантов.
 

Отличаются ли юридические требования в разных штатах США?

И да, и нет. Федеральный закон США "Об электронных подписях в международном и национальном коммерческом обороте" (ESIGN) и Закон об электронных сделках (UETA) похожи по существу и вместе узаконивают использование электронных подписей в США.

Однако могут существовать дополнительные нормативно-правовые требования в отношении определенных процессов, таких как раскрытие информации о кредитах или обеспечение конфиденциальности медицинских записей. Однако эти требования существуют как для бумажных документов, так и для электронных.

Принимаются ли документы, подписанные электронной подписью, в суде?

Да, существуют прецеденты рассмотрения в суде документов, подписанных электронной подписью, и количество таких случаев растет. Примеры судебных процессов:

Хотя существует несколько судебных прецедентов по контрактным делам с вовлечением электронных подписей и электронных документов, большинство из них касается не электронных подписей самих по себе. В основном они касаются обстоятельств, связанных с процессом подписания, например надлежащим ли образом выражено намерение и соблюдены ли процессы и правила доказывания. В некоторых случаях электронные документы рассматривались в качестве доказательств, и транзакция, которая была предметом разбирательства, признавалась законной.

В других случаях суд не принимал или по крайней мере подвергал критике электронные документы в качестве доказательства. Подробнее о судебной практике в отношении электронных документов и подписей см. в статье  ESIGN Is Not Enough: How to reduce legal and compliance risk with electronic evidence white paper (Не только ESIGN: как снизить правовые и комплаенс-риски с помощью электронных доказательств).

Требует ли закон минимального уровня аутентификации пользователя?

Нет. Федеральный закон ESIGN не указывает конкретный метод аутентификации пользователей при использовании электронных подписей. Определение электронной подписи в законе ESIGN содержит упоминание аутентификации пользователей во фразе "договор или другой документ, . . утвержденный человеком"; однако не указано, как подписант должен "утвердить" договор или документ.

В идеале при выборе метода аутентификации пользователя нужно руководствоваться профилем риска организации и процессами, которые нужно автоматизировать. Например, смарт-карты с цифровыми сертификатами имеет смысл применять при подписании строго конфиденциальных военных документов, однако для потребителей, оформляющих заявку на кредит, такие меры применять не обязательно.
 

Какие выводы можно сделать из недавних судебных решений?

В знаковом постановлении по применению электронной информации судья США Пол В. Гримм привел примеры важнейших элементов процесса заключения договоров электронными средствами: "создание, безопасное хранение и извлечение журнала аудита для всего процесса управления электронной информацией, от проверки личности людей, подписавших документы, до проставления электронных подписей и безопасного архивирования и извлечения электронных договоров". По сути, судья Гримм составил 100-страничное руководство по аутентификации и допустимости доказательств, хранящихся в электронной форме.
 

Как сделать так, чтобы внешним и внутренним аудиторам было удобно проверять наши электронные документы и журналы?

Когда поднадзорные компании проходят аудиторскую проверку, их часто просят привести доказательства соблюдения определенных бизнес-процессов, в частности при взаимодействии с клиентами и выполнении внутренних операций. В рамках этой процедуры аудиторы ищут записи о каждой операции с документами: кто, когда и как ее совершал.

OneSpan Sign предлагает журналы аудита документов и процессов, позволяющие продемонстрировать, как в организации соблюдаются требования. Чтобы упростить обмен данными с внутренними и внешними аудиторами, журнал можно экспортировать из базы данных OneSpan Sign в виде отдельного файла и импортировать его в ECM или систему управления записями. Кроме того, экраны журнала аудита можно преобразовать в формат PDF или распечатать и отправить аудиторам, чтобы они могли изучить его в режиме офлайн.

Имеют ли электронные подписи юридическую силу по всему миру?

Многие страны признают электронные подписи, цифровые подписи и приняли законы в сфере электронной коммерции:

  • Китай (Electronic Signature Law 2004)
  • Индия (Information Technology Act 2000)
  • Россия (Федеральный закон "Об электронной подписи" 2011 г.)
  • Австралия (раздел 10 Electronic Transactions Act 1999)
  • Япония (Law Concerning Electronic Signatures and Certification Services)
  • Мексика (E-Commerce Act 2000)

Подробнее см.:

Если вам нужна консультация относительно правового статуса электронных подписей в той или иной стране или местных требований в отношении хранения данных, обратитесь к своему юристу.
 

Существуют ли особые требования к раскрытию правовой информации в Интернете?

Как и в случае с бумажными транзакциями, организация должна доказать, что она раскрывает информацию в соответствии с государственными требованиями в необходимом формате и в требуемые сроки. Кроме того, организация должна быть способна продемонстрировать, что потребитель согласился принимать раскрываемую информацию в электронной форме и что он/она может получать к ней доступ в электронном формате.

Предоставление информации через ваш сайт не сводится лишь к публикации контента на веб-странице. Все аспекты предоставления информации, в том числе то, как отображается информация в браузере пользователя и какие действия он выполнял, должны быть отражены в журнале аудита. Подробнее см. в нашей статье Secure Electronic Delivery of Consumer Disclosures (Безопасное предоставление информации в электронной форме).
 

 

К кому обратиться за помощью в интеграции?

Участники нашего сообщества разработчиков способны помочь вам быстро интегрировать API и SDK OneSpan Sign.

Существуют ли краткие руководства с примерами, которые я могу использовать?

Да. Существует четыре способа начать работу с OneSpan Sign:

  • пользовательский интерфейс;
  • Java SDK
  • .NET SDK
  • REST API.

Инструкции по работе с ними см. в нашем блоге.
 

Как автоматически добавить поля формы в OneSpan Sign?

Подробнее о том, как использовать функцию извлечения документа, чтобы автоматически добавлять поля формы в OneSpan Sign, см. в этой записи в блоге:  
OneSpan Sign How To: Document Extraction (.NET SDK)
 

Как работает OneSpan Sign?

OneSpan Sign Professional — это веб-сервис электронных подписей. Вы можете отправлять и подписывать документы с помощью веб-браузера. Это просто.

Вот как это работает:

  1. Загрузите свои документы
  2. Добавьте получателей
  3. Определите, где получатели будут ставить подпись, просто перетащив блок подписи в нужное место в документе
  4. Выберите метод аутентификации (имя пользователя, пароль, секретный вопрос и ответ на него, одноразовый пароль, сторонние сервисы аутентификации)
  5. Нажмите "Отправить"

Всем, кто должен поставить подпись, будет отправлено электронное письмо с предложением подписать документы электронной подписью. Если человек, который должен поставить подпись, находится рядом с вами, вы можете предложить ему воспользоваться вашим компьютером или мобильным устройством. Процесс подписания включает несколько этапов. Когда документы будут подписаны, их можно будет скачать. Подписанные электронной подписью документы можно хранить в OneSpan Sign или скачать, чтобы сохранить в вашей системе учета и удалить из OneSpan Sign.

Подписанные электронной подписью документы представляют собой файлы PDF, которые можно просматривать в Adobe Reader и других программах для чтения PDF.

Нужен ли мне Adobe Reader?

Adobe Reader не требуется для подготовки и подписания документов. Эта программа нужна только для того, чтобы открывать и просматривать подписанные документы и электронные подписи. При просмотре документа с помощью Adobe Reader вы можете проверить, не нарушена ли целостность документа и подписей в нем.

Другие программы для просмотра PDF не всегда отображают подпись. Для просмотра документов с электронной подписью вам потребуется Adobe Reader версии 5 или более поздней.

Нужно ли мне особое оборудование или программное обеспечение, чтобы подписывать документы электронной подписью?

Нет. Достаточно веб-браузера. Если вам нужно попросить клиентов подписать документы через Интернет, лучше предложить им сделать это с помощью веб-браузера и не просить их скачивать какое-либо программное обеспечение. Это исключит риск того, что клиент отменит процесс из-за неудобств, связанных с работой программного обеспечения.

Подписывать документы с помощью OneSpan Sign очень просто. Для подписания документов электронной подписью даже не нужно создавать аккаунт. Человек получает электронное письмо со ссылкой на защищенный сайт. Затем ему нужно ввести имя пользователя и пароль, чтобы получить доступ к процессу подписания через браузер.

Кроме того, функция Mobile Signature Capture в OneSpan Sign преобразует любое устройство с сенсорным экраном и подключением к сети в планшет для рисования подписи, что исключает необходимость в каком-либо дополнительном оборудовании. Эта функция идеально подходит для удаленного открытия счета и оформления услуг в тех случаях, когда есть необходимость в рукописных подписях, а проверка документов выполняется на компьютере или ноутбуке.

Какие браузеры поддерживает OneSpan Sign?

  • Internet Explorer 11
  • Edge
  • Safari
  • Firefox
  • Google Chrome
  • Opera

Какие мобильные устройства могут использовать мои клиенты, чтобы подписывать документы электронной подписью? Какие устройства поддерживаются?

OneSpan Sign позволяет подписывать документы в любом месте, в любое время, с любого устройства, подключенного к сети, в том числе со смартфонов, планшетов и ноутбуков.

Какой вариант развертывания подойдет для меня?

OneSpan Sign можно развернуть:

  • в публичном облаке (самый выгодный вариант с точки зрения скорости внедрения и стоимости);
  • в частном облаке (при повышенных требованиях к безопасности и необходимости в более строгом контроле того, где и как хранятся данные);
  • локально за межсетевым экраном компании (этот вариант выбирают организации, которым нужен полный контроль над серверами и данными).

Независимо от варианта развертывания вы получите тот же продукт, ту же базу кода и те же преимущества в плане удобства, безопасности и функциональности.

Наша платформа SaaS позволяет начать разработку с помощью REST API and SDKs, а затем выполнить развертывание так, как угодно. Если со временем ваши потребности изменятся, вы сможете перейти с одного варианта развертывания на другой, а также интегрировать OneSpan Sign в виде сервиса. Это позволит обеспечить доступ к функциям этого решения в рамках всей компании.

Где можно узнать цены?

Цены см. здесь.

Являются ли электронные подписи защищенными?

Да. Безопасность — это всегда приоритет "номер один" для организаций, подписывающих документы онлайн с клиентами, партнерами и поставщиками. OneSpan Sign обеспечивает три уровня безопасности.

  • Аутентификация пользователя: OneSpan Sign предлагает несколько способов проверки личности подписанта, в том числе традиционные логин/пароль, секретный вопрос и ответ на него, одноразовый пароль, сторонние сервисы аутентификации (например, Equifax), поддержку смарт-карт CAC/PIV и так далее. Подробнее см. в этой статье.
  • Аутентификация документа: Когда документ подписан с помощью OneSpan Sign, он блокируется с помощью цифровой подписи (обычно защищенной печатью). В отличие от бумажных договоров и подписей, которые требуют внимания к мельчайшим деталям, в договорах с электронными подписями любые ошибки или изменения могут быть выявлены автоматически. Поэтому любая попытка изменить содержание документа будет приводить к тому, что он будет считаться недействительным. Кроме того, подпись невозможно скопировать, поскольку OneSpan Sign обеспечивает защиту блоков подписи с помощью цифровой подписи. При всем при этом проверить подлинность документа и подписей можно буквально в один клик.
  • Журналы аудита OneSpan Sign регистрирует все действия, которые люди выполняют в ходе создания подписей. Эти действия регистрируются в журналах двух типов: в статичном журнале аудита (можно посмотреть, что подписал человек) и в запатентованном визуальном журнале аудита (можно посмотреть, как человек ставил подпись). Эти журналы аудита позволяют узнать, когда и как происходила транзакция. При работе с бумажными документами это невозможно.
     

Какими функциями обеспечения безопасности должно обладать решение для электронных подписей?

Обеспечение безопасности требует определенного сочетания человеческих ресурсов, процессов и технологий. Многосторонний подход к защите электронных подписей в облаке обеспечивает обработку и управление вашими записями (и записями ваших клиентов) надлежащим образом. Это позволяет защитить репутацию организации и конфиденциальность клиентов. Поэтому мы рекомендуем более внимательно относиться к вопросам безопасности электронных подписей. Вот на что следует обращать внимание:

  • Возможность выбрать уровень аутентификации для каждого процесса (внутренние процессы требуют менее строгой аутентификации, в то время как процессы фронт-офиса требуют большей строгости).
  • Защита электронных подписей и документов от взлома.
  • Удобство проверки электронных записей независимо от поставщика (это позволяет убедиться в том, что с момента подписания документа в него не вносилось никаких изменений).
  • Обеспечение надежного долговременного хранения электронных записей независимо от поставщика.
  • Выбор поставщика с большим и успешным опытом работы в сфере защиты данных клиентов.

Подробнее см. наш контрольный список по обеспечению безопасности электронных подписей.
 

Какой самый лучший метод аутентификации подписантов онлайн?

Это зависит от типа транзакции и связанных с ним рисков. Например, изменение сроков ипотечного кредита онлайн — это транзакция с человеком, у которого, скорее всего, есть учетные данные системы ДБО. В этом случае клиент может войти на банковский портал со своими учетными данными, открыть договор об изменении сроков и подписать его электронной подписью.

Но если участник транзакции является "неизвестным клиентом", банк должен проверить документы, подтверждающие личность человека. Это может быть документ, подтверждающий адрес проживания, паспорт, водительское удостоверение, удостоверение государственного образца или другие удостоверяющие личность документы.

Существует два метода проверки личности:

  • В присутствии клиента. Клиент должен предоставить сотруднику банка физическую копию документа, удостоверяющего личность. Сотрудник должен проверить, является ли документ подлинным, и одобрить транзакцию.
     
  • Цифровая проверка. Новые технологии и законы, такие как MOBILE Act в США, позволяют организациям использовать цифровые методы проверки личности. Банки могут принять отсканированную копию документа клиента, чтобы проверить его подлинность, и попросить клиента прикрепить свое фото, чтобы сравнить его с фото на документе.

Подробнее см. в этой статье.
 

Могу ли я выбрать место, где будут храниться мои данные?

Да. Хранение данных является ключевым приоритетом для организаций. Помимо инфраструктуры в США и Канаде мы предлагаем клиентам по всему миру доступ к публичному и частному облаку OneSpan Sign в Австралии, Великобритании, Германии, Японии, Сингапуре и Бразилии. Например, многие клиенты из Канады уже обрабатывают свои документы с электронной подписью через ЦОД в Торонто и Монреале.

То же самое относится к интеграциям. Например, наше приложение для Salesforce позволяет организациям подключаться к любому глобальному экземпляру OneSpan Sign, будь то в США, Канаде или в любых шести странах, перечисленных выше. Контракты, соглашения о неразглашении и документы, отправляемые вашим клиентам и партнерам на подпись через Salesforce, сохраняются там, где это предписано вашими ИТ-политиками. OneSpan Sign — это единственная платформа электронных подписей, обеспечивающая такой уровень гибкости. Подробнее см. в нашем блоге.
 

Какие сертификаты безопасности имеет OneSpan Sign?

Организации, которые заботятся о безопасности, хотят быть уверены, что поставщики, с которыми они работают, соблюдают необходимые требования к безопасности. Хотя у нас существует ряд программ обеспечения соответствия на уровне ЦОД (например, HIPAA, SOC 1/SSAE 16, SOC 2, SOC 3, PCI DSS Level 1, ISO 27001 и др.), а также имеются физические инструменты защиты военного класса, мы решили не останавливаться на этом. OneSpan Sign отвечает дополнительным требованиям в отношении контроля и соблюдения требований, включая следующие:

  • ISO/IEC 27001:2013. ISO/IEC 27001 — это стандарт управления безопасностью, который содержит рекомендации по управлению безопасностью и инструменты контроля на основе рекомендаций ISO/IEC 27002. Для получения этой сертификации необходимо разработать и внедрить надежную программу обеспечения безопасности, включающую разработку и интеграцию системы управления информационной безопасностью (ISMS), которая определяет, как именно OneSpan Sign управляет безопасностью.

    Подробнее

  • ISO/IEC 27017:2015. OneSpan реализует структурированный подход к обеспечению безопасности в облаке посредством внедрения ряда рекомендаций по соблюдению требований ISO/IEC 27017 в отношении облачной безопасности. Цель стандарта ISO/IEC 27017 — помочь организациям, которые используют облако, интегрировать эффективные инструменты контроля. Это относится не только к организациям, которые хранят информацию в облаке, но также к поставщикам, предлагающим облачные сервисы другим компаниям, у которых может быть конфиденциальная информация.

    Подробнее

  • ISO/IEC 27018:2019. OneSpan имеет сертификат ISO/IEC 27018, что подтверждает наше соответствие стандарту защиты данных клиентов в облаке. Стандарт ISO/IEC 27018 — это свод правил по защите персональных данных в облаке. Стандарт ISO/IEC 27018 — это свод правил по защите и обеспечению конфиденциальности персональных данных в облаке. Он основан на стандарте ISO/IEC 27002 и содержит рекомендации по хранению информации, позволяющей установить личность, в публичном облаке. Кроме того, в нем описаны дополнительные инструменты контроля, не охваченные стандартом ISO/IEC 27002.

    Подробнее

  • SOC 2 Type II. По результатам аудита KPMG технологии и процессы защиты данных OneSpan Sign были признаны соответствующими стандарту SOC 2.
  • FedRAMP. OneSpan Sign позволяет госучреждениям безопасно использовать электронные подписи в облаке, экономить средства и эффективно обслуживать граждан.

    Подробнее

  • Skyhigh. Корпоративные облачные сервисы Skyhigh полностью соответствуют самым строгим требованиям в части защиты данных, проверки личности, безопасности обслуживания, ответственного ведения бизнеса и правовой защиты.

    Подробнее

  • Закон о мобильности и подотчетности медицинского страхования 1996 года (HIPAA). Платформа OneSpan Sign соответствует требованиям Закона о мобильности и подотчетности медицинского страхования 1996 года в индустрии здравоохранения США. Этот закон описывает требования к управлению, хранению и передаче защищенных данных о здоровье людей как в физической, так и в цифровой форме.

    Подробнее

Мы также соответствуем стандартам сертификации в сфере госбезопасности следующих организаций:

  • Национальный институт стандартов и технологий (NIST).
     
  • Объединенная группа проверки взаимодействия систем (JITC). OneSpan Sign имеет 13 сертификатов JITC — больше, чем какой-либо другой поставщик решений для работы с электронными подписями.
     
  • Национальное информационное партнерство (NIAP) Агентства национальной безопасности через поддержку FIPS PUB 140-2, стандарта компьютерной безопасности, используемого для аккредитации криптографических модулей.
     
  • OneSpan Sign также поддерживает новейшие стандарты шифрования SHA.

Подробнее см. здесь.
 

Наш опыт — к вашим услугам!

Повысьте эффективность и укрепите безопасность, не жертвуя качеством обслуживания.