Din säkerhet och förtroende är vår högsta prioritet. I följande avsnitt kommer vi därför att berätta vad vi aktivt gör för att skydda dig som kund, men också för att ge dig en inblick i säkerheten för digitala signaturer.

1. Hantering av andvändere och behörigheter
2. Du loggas automatisk ut om du är inaktiv
3. Lagring av dokument
4. Krypterad dataöverföring och industristandarder
5. Underskriftens giltighet
6. Teknisk säkerhet kring signaturen i Addo Sign 
7. Identifering av undertecknaren
8. Integritet
9. Signaturen avvisas inte

Hantering av användare och behörigheter

Med Addo Sign kan du kontrollera behörigheter som är kopplade till användarprofiler som är kopplade till ditt konto. Varje användare får ett användarnamn och ett lösenord som de använder när de loggar in. Som administratör kan du tilldela olika användarprofiler behörigheter beroende på vilken åtkomst användaren behöver.

Du loggas automatiskt ut om du är inaktiv

Om du är inaktiv i 15 minuter loggas du automatiskt ut från Addo Sign. Detta för att se till att ingen annan än användarna har tillgång till sitt Addo Sign-konto om de har glömt att logga ut.

Lagring av dokument

Addo Sign är en transaktionsbaserad lösning, därför lagrar Addo Sign endast dokument upp till 10 dagar efter det att transaktionen har satts att upphöra, varefter dokumenten raderas.
Det är mycket viktigt att du ser till att spara en kopia av de undertecknade dokumenten eller lagrar dem direkt i ditt digitala arkiv.

Krypterad dataöverföring och industristandarder

Addo Sign använder säker kryptering av vårt system, så all kommunikation och alla lösenord krypteras och överförs via https. Denna kryptering säkerställer att de olika parterna endast kan få tillgång till sina egna uppgifter och inte kan se uppgifter som inte är tilldelade dem, vilket garanterar säkerheten för känslig personlig information. Endast administratören av Addo Sign-kontot har tillgång till de dokument som användarna skickar via Addo Sign.
För att skapa säker kommunikation använder Addo Sign ett stort antal branschstandarder. Du kan läsa mer om kryptering i denna artikel om TLS här.

Underskriftens giltighet

En elektronisk signatur som är tekniskt implementerad i ett dokument baserat på PAdES-standarden kallas AES (Advanced Electronic Signature). Detta innebär att signaturen uppfyller kraven i eIDAS-förordningen för en AES och därför inte kan nekas giltighet av någon organisation i ett europeiskt land. En elektronisk signatur som uppfyller PAdES-standarden kan därför användas som bevis på äkthet på grund av den säkra undertecknarens identitet med hjälp av ett eID som används för signering eller identifiering. Det är också undertecknaren och mottagaren av dokumentet som garanterar att inga ändringar har gjorts efter det att undertecknandet har gjorts och visar att undertecknaren hade för avsikt att underteckna dokumentet.

Det finns därför vissa krav som gäller för att en elektronisk signatur ska vara giltig:

• Signaturen är direkt kopplad till undertecknaren, eftersom signaturen är unik och kan spåras tillbaka till undertecknaren.
• Det är möjligt att identifiera undertecknaren, eftersom undertecknaren har ensam kontroll över de uppgifter som används för att skapa den elektroniska signaturen.
• Det är möjligt att upptäcka minsta förändring i dokumentet efter det att det har undertecknats och dokumentet verkar därför ogiltigt om en ändring har gjorts.
• Dokumentet har bifogats ett certifikat för den elektroniska signaturen. Stämpeln är ett bevis på undertecknarens identitet och kopplar de validerade uppgifterna i den elektroniska signaturen till undertecknaren.

Addo Sign uppfyller därför alla krav på digitala signaturer och kan garantera signaturens giltighet.

Teknisk säkerhet kring signaturen i Addo Sign

För att en signatur ska vara giltig, oavsett om den är digital eller fysisk, måste den uppfylla följande tre grundläggande krav:

• identifiering av undertecknaren
• integritet
• Signaturen avvisas inte.

Dessa tre grundläggande krav kommer att beskrivas nedan och vi kommer därför också att förklara hur Addo Sign uppfyller dessa krav med en digital signatur.

Identifiering av undertecknaren

Detta krav förutsätter att vi har säkerhet för undertecknarens identitet. Addo Sign erbjuder olika autentiseringsmetoder, t.ex. NemID, SMS-kod, BankID eller SITHS, för att validera undertecknarens identitet och visa bevis på signatur.

För att ytterligare öka säkerheten vid användning av BankID, skrivs det unika PID (Personal Identifier) också ut på dokumentet, vilket garanterar att undertecknarens certifikat är kryptografiskt bundet till dokumentet.

Dessutom är det signerade dokumentet alltid låst mot ändringar oavsett signeringsmetod, och dokumentet har en tidsstämpel med ett certifikat från en betrodd tredje part. Alla kryptografiska signaturbevis är inbäddade i PDF-filen om de skulle användas för att validera signaturen i framtiden.

I Norge och Sverige är BankID den mest använda lösningen, och i Danmark är NemID det säkraste sättet att koppla en digital signatur till en fysisk person. Alla dessa signaturmetoder stöds av Addo Sign.

Integritet

Addo Sign är utformad för att skydda dina dokument och förhindra att dokumenten manipuleras. När ett dokument undertecknas med Addo Sign skrivs ett unikt Addo Sign identifieringsnummer ut på dokumentet. En "kontrollsumma" skapas också utifrån dokumentets innehåll, inklusive det unika identifikationsnumret. Addo Sign fungerar som en slags notarie på det undertecknade dokumentet. Varje steg registreras i en säker verifieringskedja, vilket gör det extremt enkelt att kontrollera om det undertecknade dokumentet har ändrats sedan det undertecknades. Om dokumentet ändras efter undertecknandet upphävs den digitala signaturen.

Signaturen avvisas inte

Det är viktigt för Addo Sign att signaturen inte avvisas.

För att undvika att den blir det kan man använda en av de officiella offentliga signaturerna (Nemid, BankID etc.) - antingen direkt med en offentlig signatur eller i kombination med andra signaturer i Addo Sign. Detta beror på att signering med en eID, som är godkänd enligt eIDAS-förordningen, bekräftar dess giltighet och att detta inte gör det möjligt att avvisa dess äkthet i förhållande till en digital signatur.