Te vajon megbízható e-aláírási rendszert használsz?

    Egyre több hivatalos ügyek intézésére szakosodott távmegoldásokat kínáló cég bukkan fel a magyar piacon. Sajnos egyikről most az is kiderült, hogy simán létrehozható rajta egy hamis személyazonosság. De vajon honnan tudjuk, hogy melyik igazán megbízható?

    leadkep_42.jpg

     

    A koronavírus-járvány a legtöbb ágazat cégeinek fennmaradását igencsak megnehezítette, azonban akadtak kivételek. Az online távmegoldásokat kínáló vállalkozásokra ugyanis 2020-ban világszinten hatalmasra nőtt az igény, hiszen a személyes találkozást mellőző ügyintézés került előtérbe. A videókonferenciás alkalmazások mellett például olyan cégek is előtérbe kerültek, amelyek lehetővé teszik, hogy aláírhassunk hivatalos dokumentumokat egy hitelesített online profilon keresztül.

    Bár ezek a szolgáltatások rendkívül kényelmesek tűnhetnek, megvannak a maguk veszélyei. A Telex szerkesztőségébe futott be egy jelzés, miszerint a TrustChain Systems Kft. azonosítási folyamatai valószínűleg könnyen átverhetők.

    Ők tesztelték is a rendszert, amiről hamar kiderült, hogy a platformon évek óta futó megoldással valóban sikerülhet hamis személyazonossággal profilt regisztrálni, majd ezzel hivatalos dokumentumokat aláírni valaki más személyes adataival.

    A hibára a Telex felhívta az érintett szolgáltatók figyelmét, akik azt mondták: biztosak benne, hogy működésük során soha nem történt még ilyesmi, és ígérték, hogy javítanak a folyamatukon. (A tejes sztoriért kattints a linkre!)

    Ez az eset felhívja a figyelmet arra, hogy még a legprofesszionálisabb hátterűnek látszó, netes ügyintézést kínáló cégek esetében is fordulhatnak elő sebezhetőségek. De vajon hogyan csökkenthetjük a kockázatot?

     

    kep1_11.png

     

    Először is fontos tisztába lennünk, milyen e-aláírást szeretnénk igénybe venni, ugyanis több típus is létezik.

     

    Az egyik a FOKOZOTT BIZTONSÁGÚ aláírás. Az ilyen aláírás titkosítást végez (kriptográfia) és kulcs alapú, gyakorlatilag minden felhő alapú szoftveres és a személyes megjelenést megkövetelő, aláíró pad alapú aláírás ilyen.

    Ennél már igénybe lehet venni hitelességi szolgáltatót (nem minősített, pl. Wacom, Adobe) vagy minősített (ezzel foglalkozó cég) - így az aláírás letagadhatatlan lesz, és azt a bíróság a szolgáltatótól függően fogja kezelni. Előnye, hogy úgy lehetséges aláírást kibocsátani, hogy az aláíró személy nem tartózkodik egy helyszínen az aláírást fogadó féllel, így az ügyintézési idő jelentősen csökken.

    Fontos megjegyezni, hogy ha a hitelességi szolgáltató minden kritériumnak maximálisan megfelel ez az aláírás forma a MINŐSÍTETT aláírásnak megfelelő biztonságot nyújt, jogilag is így kezeli az Európai Unió.

    A legbiztonságosabb a MINŐSÍTETT ELEKTRONIKUS ALÁÍRÁS. Ez egy hardveres titkosítású, fokozott biztonságú, minősített hitelességi szolgáltató által kibocsájtott aláírás. Ilyen van például az e-személyiben is - ez esetben a Magyar Állam garantálja az állampolgárai hitelességét. Mivel a biztonsági kártya használatához az aláírónak a kártyával a leolvasót kell megérintenie, a személyazonossága 100%-ig garantálható. 

    Na most az elektronikus dokumentumokkal és e-aláírással foglalkozó platformokon az jelentheti a legnagyobb rizikófaktort, hogy onnantól kezdve, hogy regisztráltunk egy profilt egy bizalmi szolgáltatónál, az egyes konkrét esetekben, amikor aláírunk vele, már nem ellenőrzi senki a személyazonosság valódiságát. Tahát elég egy ponton, a profil létrehozásakor sikeresen átverni a rendszert ahhoz, hogy széles körben használható, szerződéskötésre is alkalmas kamu személyazonosságot kapjunk. 

    Tény, hogy nem létezik áthatolhatatlan rendszer, azonban így is dönthetünk olyan platform mellett, ami nemcsak magas fokú tapasztalattal, de hatalmas felhasználói bázissal is rendelkezik.

    Az Adobe nagyon komolyan veszi digitális folyamatainak biztonságát. A nagyfokú bizonyosságot garantáló módszerek mellett az Adobe Sign tanúsítottan megfelel a világ legszigorúbb biztonsági szabványainak, köztük az ISO 27001 és az SOC 2 Type 2 szabványnak, valamint a fizetőkártyákra vonatkozó PCI DSS szabványnak. Ezenkívül megfelel számos adatvédelmi szabályzatnak is, többek között az Egyesült Államokban alkalmazott HIPAA, GLBA és FERPA előírásainak. 
     
    Az Adobe Sign az Adobe Secure Product Lifecycle (SPLC) folyamatait is alkalmazza, amely egy több mint ezer, szoftverfejlesztési gyakorlatokat, folyamatokat és eszközöket a termékek életciklusába integráló biztonsági műveletből álló készlet. További információkért katt ide!