Det var glädjande besked för Formpipe när Infrastrukturdepartementet publicerade sitt delbetänkande "Utredning om betrodda tjänster" den 16 februari, då betänkandet går i linje med Formpipes produkt för elektronisk underskrift, Signeringsportalen.
En stor del av betänkandet handlar om elektroniska underskrifter och vilka krav vi bör ställa på dessa. I betänkandet har författarna gått igenom nuvarande lagstiftning under eIDAS-förordningen och sammanfattat riktlinjerna så att de är lättare att förstå och därmed följa. Det innehåller också tankar för framtida lagstiftning inom området.
En sak att ta med sig från betänkandet är exempelvis förtydligandet av underskrift och stämpel. Underskrifter är alltid personligt knutna till en individ, medan en stämpel är kopplad till en juridisk person, såsom ett företag. Validering av signaturer lyfts också fram som mycket viktigt. Hur kan vi vara säkra på ett dokuments och en signaturs integritet och hur kan vi alltid ta fram signaturinformationen, det vill säga vilka som har signerat och när de signerat?
Utredningen betonar också vikten av att sammanställa all information som kan behövas för en framtida validering i samband med signeringen, vilket görs i efterhand vid behov för en handskriven namnteckning. Det är ett pedagogiskt förtydligande för att understryka vikten av en hållbar signatur.
Tidsstämpelaspekten är med i betänkandet men inte från vinkeln arkiveringsbarhet, dock som nödvändigt för spårbarheten.
Om vi då tittar på hur Signeringsportalen by Formpipe fungerar så gäller att:
- Personliga certifikat från betrodd certifikatsmyndighet ställs ut för varje underskrift
- Underskrifter tidsstämplas alltid av betrodd tidsstämplingstjänst
- Signatären behöver alltid identifiera sig med en tjänst som har tillräckligt hög tillitsnivå för avancerade underskrifter till både portalen och signeringstjänsten
Några aspekter av elektroniska underskrifter och funktioner som inte tas upp men är väl värda att lyfta:
- Arkiveringsbarhet. Ett signerat dokument bör alltid vara signerat enligt PAdES LTV samt ha ett format som kan långtidslagras. När det är uppfyllt kan ni vara trygga med att arkivera.
- Inbäddad validering vid underskriftstillfället. När dokument skrivs under med en korrekt avancerad personlig underskrift valideras dessa direkt, vilket kan visas i Adobe Reader eller i någon annan valideringstjänst.
- Ägandeskap av all information. De ingående leverantörerna gällande signering, certifikat och tidsstämpling får inte ta del av personnummer, dokumentinnehåll, dokument-hash eller annan känslig information. All sådan information inklusive loggning ska enbart finnas tillgänglig för och hos kunden.
Formpipe har utvecklat Signeringsportalen under en längre tid där fokuset legat på att kvalitetssäkra systemet innan leverans och marknadsföring. Detta för att kunna erbjuda en produkt som ger hög säkerhet, följsamhet till eIDAS och därmed långsiktigt informationssäkerhet. Det ska därför bli intressant att fortsätta följa Infrastrukturdepartementets arbete, något Formpipe hoppas kunna vara delaktiga i.
