Radíte svým podřízeným, aby do archivů zakládali dokumenty, na nichž není podpis ani razítko? Nebo byste jim spíš řekli, že je to zbytečné, protože takové lejstro stejně nepoužijete v důkazním řízení ani je nemůžete předložit kontrole? Je až zarážející, kolik firem ukládá do svých elektronických archivů elektronické dokumenty, které jsou obdobně nedostatečné. Mimochodem, dokážete vy sami rozeznat správný elektronický originál od nesprávného?
Kdo ponese odpovědnost za omyl
V mnoha podnicích mají tendenci odsouvat otázku pravosti elektronických dokumentů na úsek IT. To se však může dramaticky vymstít. Pokud se později ukáže, že dokument má přece jen vadu, která brání jeho použití, kdo bude ten, kdo ponese odpovědnost za vzniklou ztrátu? Navíc nekorektní dokument můžete dostat i od partnera, kterému důvěřujete a který „jen“ zanedbal nějakou technickou záležitost.
Zkrátka, schopnost rozpoznat „pravý“ elektronický dokument od „nepravého“ (v jazyce právníků se nepravým dokumentem myslí dokument, jehož původ nelze spolehlivě ověřit, nikoliv dokument zfalšovaný) začíná patřit k nutné výbavě každého finančního ředitele, a vlastně každého manažera odpovědného za administrativní úkony v organizaci.
Co je a co není elektronický podpis
Jak tedy při ověřování postupovat? Jen pro úplnost stručně připomeneme, že elektronický podpis není obrázek podpisu ani biometrická záležitost, která snímá dynamiku pohybu ruky. Jedná se o kontrolní otisk dokumentu (tzv. hash), jenž je k dokumentu připojen a který umožňuje nezpochybnitelně určit, že v dokumentu nebyla provedena změna (dokument a jeho kontrolní otisk jsou shodné). Kromě toho je možné nezpochybnitelně určit, kterým certifikátem byl otisk vytvořen a kdo je majitelem tohoto certifikátu.
Pokud pomineme převod do listinné podoby na Czech POINT, existují v zásadě dvě cesty ověření platnosti elektronického podpisu. Využít připravené online služby nebo vše nastavit a zkontrolovat manuálně.
Kontrola dokumentu online
Jediná online služba, která ověřuje pravost dokumentů z České republiky, je k dispozici na portále www.SecuStamp.com provozovaném firmou Software602. Pro dokumenty ze zahraničí existuje voleb více (naopak zahraniční elektronické podpisy lze ověřovat i na SecuStampu). Ověření pak spočívá v tom, že je dokument vložen do elektronického formuláře a během řádově vteřiny se získá ověřovací doložka. Pro SecuStamp hovoří i to, že pracuje se stejným procesním postupem i stejnou technologií jako síť Czech POINT, což posiluje jistotu, že co uzná za pravé SecuStamp, to uznají za pravé i úřady.
Pokud ovšem máte dost času a zajímá vás, jak věci fungují, můžete zvolit následující postup:
* Zkontrolujte, zda je kontrolní otisk neporušený (v dokumentu nebyly provedeny změny). To vám ukáže například Adobe Reader, pokud kliknete na ikonku s obrázkem plnícího pera.
* Zjistěte, kdo vydal certifikát, kterým byl kontrolní otisk vytvořen. To zjistíte poklepem na stejnou ikonku.
* Zkontrolujte, zda se jedná o kvalifikovanou certifikační autoritu, tedy zda platnost podpisu bude uznána i státem. V České republice působí tři kvalifikované certifikační autority (PostSignum, I.CA a eIdentity), úřady ovšem mají povinnost uznávat elektronické podpisy ze všech zemí unie.
* Ověřte si, zda se opravdu jedná o certifikát vydaný touto registrační autoritou a zda je certifikát platný. K tomu potřebujete importovat do svého počítače kořenový certifikát této autority a správně nastavit prohlížeč dokumentů (Adobe Reader). Právě nastavení prohlížeče je zapotřebí věnovat velkou pozornost.
* Zkontrolovat, zda certifikát není na listině certifikátů s pozastavenou platností. Tento seznam najdete na internetové stránce certifikační autority.
* Zjistit, zda je k dokumentu připojeno časové razítko. Pokud k němu připojeno je, může se jednat o pravý dokument, i když je certifikát momentálně vypršelý nebo zneplatněný. Časové razítko totiž může ukázat, že podpis byl připojen v době, kdy byl certifikát platný. Naopak, pokud je dokument korektní a časové razítko na něm chybí, nemůžete jej pokládat za dlouhodobě spolehlivý.
Veškeré tyto úkony mohou být automatizovány tak, aby systém samočinně vyřadil nekorektní dokumenty již při příchodu do firmy. V praxi je ovšem vytváření tohoto „automatu“ tak obtížné, že mnohé organizace jdou cestou integrace svých systémů s již zmíněnou službou SecuStamp.
Zdroj: Software602