Sikkerhed og Legalitet ved digitale underskrifterDin sikkerhed og tillid er for os vores højeste prioritet. I nedenstående afsnit vil vi derfor fortælle hvad vi aktivt gør, for at sikre dig som kunde men også for at give dig indsigt i sikkerheden ved digitale underskrifter.
Bruger- og tilladelsesstyring
Med Visma Addo er det muligt at kontrollere tilladelser, der er knyttet til de brugerprofiler, der er knyttet til din konto. Hver bruger modtager et brugernavn og en adgangskode, der skal bruges, når de logger ind. Som administrator kan du tildele tilladelser til forskellige brugerprofiler alt efter den adgang, brugeren har brug for.
Du logges automatisk ud, hvis du er inaktiv
Hvis du er inaktiv i 15 minutter, logges du automatisk ud af Visma Addo. Dette er for at sikre, at ingen andre end brugerne har adgang til deres Visma Addo-konto, hvis de har glemt at logge af.
Opbevaring af dokumenter
Visma Addo er en transaktionsbaseret løsning, derfor gemmer Visma Addo kun dokumenter op til 10 dage efter, at transaktionen er indstillet til at udløbe, hvorefter dokumenterne slettes.
Det er meget vigtigt, at du sørger for at gemme en kopi af de underskrevne dokumenter eller gemme dem direkte i dit digitale arkiv.
Krypteret transmission af data og industristandarder
Visma Addo benytter sikker kryptering af vores system, sådan at al kommunikation og adgangskoder krypteres og transmitteres via https. Denne kryptering sikrer, at de forskellige parter kun kan få adgang til deres egne data og ikke har mulighed for at se data som ikke er tilegnet dem, hvilket sikrer sikkerheden af følsomme personlige oplysninger. Kun administratoren af Visma Addo-kontoen får adgang til de dokumenter, som brugerne sender via Visma Addo.
For at etablere sikker kommunikation bruger Visma Addo en lang række industristandarder. Du kan læse mere om kryptering i denne artikel om TLS her.
Gyldigheden af underskriften
En elektronisk signatur, der er teknisk implementeret i et dokument, der er baseret på PAdES-standarden, kaldes en AES (Advanced Electronic Signature). Dette betyder, at signaturen opfylder kravene i eIDAS-forordningen for en AES og derfor ikke kan nægtes dens gyldighed af nogen organisation i et europæisk land. En elektronisk signatur, der overholder PAdES-standarden, kan derfor bruges som bevis for ægthed på grund af den sikre underskrivers identitet ved hjælp af et eID, der er brugt til at underskrive eller identificere sig med. Det er også underskriveren samt modtageren af dokumentets sikkerhed, at der ikke er foretaget ændringer, efter at underskriften er lavet, og at vist at underskriveren havde til hensigt at underskrive dokumentet.
Der er derfor nogle krav, der gælder for en elektronisk signatur for at være gyldig:
- Underskriften er direkte knyttet til underskriveren, da underskriften er unik og kan spores tilbage til underskriveren.
- Det er muligt at identificere underskriveren, da underskriveren har enekontrol over de data, der er brugt til at lave den elektroniske signatur.
- Det er muligt at identificere den mindste ændring i dokumentet, efter at det er underskrevet og dokumentet synes derfor ugyldigt såfremt der er foretaget en ændring.
- Dokumentet har vedhæftet et certifikat for den elektroniske signatur. Dette stempel er bevis på underskriverens identitet og forbinder de validerede data for den elektroniske signatur til underskriveren.
Visma Addo overholder derfor alle krav for digitale signaturer og kan garantere underskriftens gyldighed.
Teknisk sikkerhed omkring signaturen i Visma Addo
For at en signatur skal være gyldig, enten digital eller fysisk, skal signaturen opfylde følgende tre grundlæggende krav:
- identifikation af underskriver
- integritet
- Underskriften ikke bliver afvist
Disse tre grundlæggende krav vil blive beskrevet nedenfor og vi vil derfor også forklare, hvordan Visma Addo opfylder disse krav med digital signatur.
Identifikation af underskriver
Dette krav forudsætter, at vi har sikkerhed for underskriverens identitet. Visma Addo leverer forskellige godkendelsesmetoder, dvs. NemID, SMS-kode, BankID eller SITHS for at godkende underskriverens identitet og demonstrere bevis for signering.
For yderligere at øge sikkerheden, når du bruger Nemid, er den unikke PID (Personal Identifier) også trykt på dokumentet, hvilket sikrer, at underskriverens certifikat er kryptografisk bundet til dokumentet.
Desuden vil det underskrevne dokument altid være låst for ændringer uanset signeringsmetoden, dokumentet har et tidsstempel med et certifikat fra en betroet tredjepart. Alle kryptografisk signaturbeviser er indlejret i PDF-filen, hvis det skulle bruges til at validere signaturen i fremtiden.
I Norge og Sverige er BankID den mest anvendte løsning, og i Danmark er NemID den sikreste måde at vedhæfte en digital signatur til en fysisk person. Disse signeringsmetoder understøttes alle af Visma Addo.
Integritet
Visma Addo er designet til at beskytte dine dokumenter og forhindre manipulation af dokumenterne. Når et dokument underskrives med Visma Addo, udskrives et unikt Visma Addo-identifikationsnummer på dokumentet. Der oprettes også en "kontrolsum" baseret på dokumentindholdet inklusive det unikke identifikationsnummer. Visma Addo fungerer som en slags notar på det underskrevne dokument. Hvert trin fanges i et sikret revisionsspor og gør det ekstremt let at kontrollere, om det underskrevne dokument er blevet ændret, siden det blev underskrevet. Hvis dokumentet ændres efter underskrift, annulleres den digitale signatur.
Underskriften ikke bliver afvist
At underskriften ikke bliver afvist er vigtig for Visma Addo. I dette afsnit forklares det, hvordan non-repudiation opnås ved hjælp af Visma Addo.
Ikke-afvisning kan opnås ved hjælp af en af de officielle offentlige underskrifter (Nemid, BankID osv.) - enten underskrive direkte med en offentlig signatur eller i kombination med andre former for signatur i Visma Addo. Dette er da underskrifter med en eID, som er godkendt af eIDAS forordringen, bekræfter dens validitet og at dette ikke gøre det muligt at afvist dets ægthed i forhold til en digital signatur.
