Din sikkerhet og tillit er vår høyeste prioritet. I avsnittet nedenfor vil vi derfor forklare hva vi aktivt gjør for å sikre deg som kunde, men også for å gi deg innsikt i sikkerheten til digitale signaturer.

1. Bruker- og tillatelsesadministrasjon
2. Du blir automatisk logget ut hvis du er inaktiv 
3. Oppbevaring av dokumenter
4. Kryptert overføring av data og industristandarder 
5. Gyldigheten av signaturen
6. Teknisk sikkerhed omkring signaturen i Addo Sign
7. Identifikasjon av underskriveren
8. Integritet
9. At signaturen ikke avvises.

Bruker- og tillatelsesadministrasjon

Med Addo Sign er det mulig å sjekke tillatelser knyttet til brukerprofilene knyttet til kontoen din. Hver bruker får et brukernavn og passord som skal brukes ved pålogging. Som administrator kan du tildele tillatelser til forskjellige brukerprofiler i henhold til tilgangen brukeren trenger.

Du blir automatisk logget ut hvis du er inaktiv

Hvis du er inaktiv i 15 minutter, logges du automatisk ut av Addo Sign. Dette for å sikre at ingen andre enn brukerne har tilgang til sin Addo Sign-konto dersom de har glemt å logge ut.

Oppbevaring av dokumenter

Addo Sign er en transaksjonsbasert løsning, derfor lagrer Addo Sign kun dokumenter inntil 10 dager etter at transaksjonen er satt til å utløpe, hvoretter dokumentene slettes.
Det er svært viktig at du lagrer en kopi av de signerte dokumentene eller lagrer dem direkte i ditt digitale arkiv.

Kryptert overføring av data og industristandarder

Addo Sign bruker sikker kryptering av systemet vårt, slik at all kommunikasjon og passord krypteres og overføres via https. Denne krypteringen sikrer at de ulike partene kun kan få tilgang til sine egne data og ikke kan se data som ikke er tilegnet dem, noe som sikrer sikkerheten til sensitive personopplysninger. Kun administratoren av Addo Sign-kontoen har tilgang til dokumentene som brukere sender via Addo Sign.
For å etablere sikker kommunikasjon bruker Addo Sign et bredt spekter av industristandarder. Du kan lese mer om kryptering i denne artikkelen om TLS her.

Gyldigheten av signaturen

En elektronisk signatur som er teknisk implementert i et dokument basert på PAdES-standarden kalles en AES (Advanced Electronic Signature). Dette betyr at signaturen oppfyller kravene i eIDAS-forskriften for en AES og kan derfor ikke nektes gyldigheten av noen organisasjon i et europeisk land. En elektronisk signatur som overholder PAdES-standarden kan derfor brukes som bevis på autentisitet på grunn av den sikre signaturens identitet ved hjelp av en eID som brukes til å signere eller identifisere seg med. Det er også underskriverens og mottakerens ansvar å påse at det ikke er gjort endringer etter at signaturen er foretatt og å vise at underskriveren har tenkt å signere dokumentet.

Det er derfor noen krav som gjelder for en elektronisk signatur for å være gyldig:

• Signaturen er direkte knyttet til underskriver, da signaturen er unik og kan spores tilbake til underskriver.
• Det er mulig å identifisere underskriveren, siden underskriveren har enekontroll over dataene som brukes til å lage den elektroniske signaturen.
• Det er mulig å identifisere den minste endringen i dokumentet etter at det er signert og dokumentet fremstår derfor som ugyldig dersom det er gjort en endring.
• Dokumentet har vedlagt et sertifikat for den elektroniske signaturen. Dette stempelet er bevis på underskriverens identitet og kobler de validerte dataene til den elektroniske signaturen til underskriveren.

Addo Sign overholder derfor alle krav til digital signatur og kan garantere gyldigheten av signaturen.

Teknisk sikkerhed omkring signaturen i Addo Sign

For at en signatur skal være gyldig, enten digital eller fysisk, må signaturen oppfylle følgende tre grunnleggende krav:

• identifikasjon av underskriveren
• integritet
• Signaturen vil ikke bli avvist

Disse tre grunnleggende kravene vil bli beskrevet nedenfor og vi vil derfor også forklare hvordan Addo Sign oppfyller disse kravene med en digital signatur.

Identifikasjon av underskriveren

Dette kravet forutsetter at vi har sikkerhet om underskriverens identitet. Addo Sign tilbyr ulike autentiseringsmetoder, dvs. NemID, SMS-kode, BankID eller SITHS for å bekrefte identiteten til underskriveren og demonstrere signeringsbevis.

For ytterligere å øke sikkerheten ved bruk av Nemid, er den unike PID (Personal Identifier) ​​også trykt på dokumentet, noe som sikrer at underskriverens sertifikat er kryptografisk bundet til dokumentet.

I tillegg vil det signerte dokumentet alltid være låst for endringer uavhengig av signeringsmetode, dokumentet er tidsstemplet med et sertifikat fra en klarert tredjepart. Alle kryptografiske signaturbevis er innebygd i PDF-filen dersom den skulle brukes til å validere signaturen i fremtiden.

I Norge og Sverige er BankID den mest brukte løsningen, og i Danmark er NemID den sikreste måten å feste en digital signatur på en fysisk person. Disse signeringsmetodene støttes alle av Addo Sign.

Integritet

Addo Sign er designet for å beskytte dokumentene dine og forhindre manipulering av dokumentene. Når et dokument signeres med Addo Sign, skrives et unikt Addo Sign-identifikasjonsnummer på dokumentet. En "sjekksum" opprettes også basert på dokumentinnholdet inkludert det unike identifikasjonsnummeret. Addo Sign fungerer som en slags notarius på det signerte dokumentet. Hvert trinn fanges opp i et sikret revisjonsspor og gjør det ekstremt enkelt å sjekke om det signerte dokumentet har blitt endret siden det ble signert. Hvis dokumentet endres etter signatur, kanselleres den digitale signaturen.

At signaturen ikke avvises

At signaturen ikke avvises er viktig for Addo Sign.

Ikke-avvisning kan oppnås ved å bruke en av de offisielle offentlige signaturene (Nemid, BankID, etc.) - enten signere direkte med offentlig signatur eller i kombinasjon med andre former for signatur i Addo Sign. Dette fordi signaturer med eID, som er godkjent av eIDAS-forskriften, bekrefter gyldigheten og at dette ikke gjør det mulig å avvise dens autentisitet i forhold til en digital signatur.