Има ли проблем да ползваме платформата DocuSign в България?

Удобства, рискове и проблеми при работата с DocuSign

Изображението илюстрира възможността да се добавят няколко различни имена към един и същ профил в DocuSign

Краткият отговор е "Не". Нищо не може да ви спре да ползвате DocuSign или някоя от алтернативните платформи за електронно подписване - PandaDoc, SignNow, SignWell, SignEasy или друга.

DocuSign е водещата платформа в света и се ползва на много места и за най-различни процеси. Създаването, публикуването и изпращането на документ за подпис е сведено до няколко лесни стъпки, като системата води потребителя през цялото време.

Защо в Европа не е чак толкова разпространена тази платформа? Защото в ЕС е в сила Регламент 910, който казва, че единствените неоспорими електронни подписи са квалифицираните такива. Всички други подписи се приемат, ако страните предварително са се споразумели да ги ползват.

Има ли някакви рискове при ползването на тази платформа?

При малко вероятния сценарии за спор по автентичността на даден подпис, ще се изисква от платформата да бъде издаден сертификат за автентичността на документа. До този сертификат има достъп само подателят в платформата. Чрез него може да се направи справка до кой и-мейл адрес е била изпратена заявката за подпис. И с това ангажиментите за удостоверяване кой точно е подписал документа на DocuSign се изчерпват. Даже в Legal Disclaimer-а им е записано:

Adobe does not provide any warranties of any kind with respect to digitally signed documents, certicates used to create digitally signed documents, and any related services.

Има ли вероятност някой да е сложил моите имена като подпис върху документ без моето знание и съгласие?

Уви - в стандартния вариант за подписване, който се прилага най-често в DocuSign, такава вероятност съществува. По същия начин, както и на хартия някой може да положи вашия подпис, и в DocuSign някой може да изпише вашите имена и да твърди, че вие сте подписали документа. По подразбиране, DocuSign използва електронния адрес на подписващия за идентификция. Ако подписващият има достъп до пощата, където е изпратен линкът за подписване, това (според DocuSign) удостоверява идентичността на подписващия.

Как може някой да подпише документ от мое име?

Преди да навлезем в детайлите, нека първо да видим какъв вид електронен подпис се полага от платформата върху документите. Ако не е посочено изрично при заявката за подпис, DocuSign полага квалифициран електронен печат. Това е удостоверение за електронен сертификат, който се издава на юридически лица. Подписаните с DocuSign PDF документи носят в себе си само информация за сертификата на платформата и визуална анотация с информация за потребителя. С други думи, отваряйки един документ за преглед, Adobe Acrobat ще ви уведоми, че подписът е валиден. Но това удостоверява само валидността на подписа (печата) на DocuSign, не на лицето, което се води, че е подписало документа.

Сега да погледнем следния хипотетичен сценарий:

  1. Иван Иванов е административен асистент, който спешно трябва да организира подписването на декларация за поверителност от Георги Георгиев.
  2. Георги Георгиев е в отпуск, а декларацията трябва да е готова до края на деня.
  3. Иван влиза в DocuSign и променя имената си в профила на Георги Георгиев, както и оформя визуално "новия" си подпис.
  4. Качва декларацията и я подписва (с подпис, в който пише Георги Георгиев).
  5. Избира бутона Finish и всичко е точно. Вече имаме подписана декларация от името на Георги Георгиев.

При отваряне на документа се вижда и потвърждението за валидност на подписа. Даже може да се провери документът на https://validator.docusign.com/, където DocuSign отново ще потвърди, че подписът е валиден и че всичко е ОК.

Какъв е проблемът?

В описания по-горе сценарий, DocuSign не валидира по никакъв начин как се казва лицето, което полага подписа си. Нещо повече - дава пълна свобода да се правят няколко различни подписа с един и същи профил. Така, влизайки в платформата, Георги може да подписва от името на когото и да е. И всички подписи в PDF файла ще изглеждат напълно валидни. В крайна сметка, Георги може да няма никаква идея, че е подписът му стои върху декларацията.

Как може да се избегне този риск?

Като се използва квалифициран електронен подпис (КЕП). Този вид подписи се издават от квалифицирани, или с други думи, официално регистрирани доставчици на удостоверителни услуги. Тези доставчици гарантират автентичността и валидността на подписите. Технологията на полагането на КЕП изисква въвеждането на код (PIN), който е известен само на собственика на подписа. При полагането на КЕП върху документа, в него се запазва информация едновременно за сертификата, издателя и собственика му.

Обратно към блог списъка