Skip to content
Autenti / Blog / Prečo bezpečnosť spravovania zmlúv nedosahuje očakávania a ako to napraviť?

Prečo bezpečnosť spravovania zmlúv nedosahuje očakávania a ako to napraviť?

Bezpečnosť spravovania zmlúv spočíva v ochrane všetkých citlivých informácií, záväzkov a procesov spojených so zaobchádzaním so zmluvami - vrátane toho, kto s čím súhlasil, kedy a za akých podmienok. 

Zahŕňa veci ako: 

  • Zachovanie dôvernosti zmlúv (mali by ich vidieť len oprávnené osoby), 
  • Zabezpečenie, aby sa so zmluvami nemanipulovalo, aby nedochádzalo k neoprávnenému prístupu a zmenám, 
  • Bezpečné sledovanie termínov, záväzkov a dodržiavania predpisov, 
  • Ochrana pred podvodmi, únikmi alebo dokonca náhodnými chybami.

Existuje niekoľko hlavných dôvodov, prečo môžu v správe zmlúv existovať bezpečnostné riziká. Na povrchu sú niektoré z dôvodov tieto:

  1. Slabé kontroly prístupu: ak príliš veľa ľudí môže vidieť alebo upravovať zmluvy, alebo ak oprávnenia nie sú jasné, stáva sa ľahkým, aby niekto niečo pokazil alebo ukradol informácie.
  2. Zastarané systémy: ak sú zmluvy spravované pomocou starého softvéru, tabuľkových procesorov alebo dokonca papiera, je ťažšie sledovať zmeny, zabezpečiť dokumenty alebo odhaliť manipuláciu.
  3. Ľudská chyba: ľudia môžu poslať zmluvu nesprávnej osobe, stratiť súbor, zabudnúť niečo zašifrovať alebo si nevšimnúť porušenie ochrany údajov. Všetci sme len ľudia.
  4. Kybernetické útoky: hackeri radi útočia na zmluvy, pretože obsahujú cenné obchodné informácie. Ak máte slabý bezpečnostný systém, môžete sa stať terčom útoku.
  5. Riziká tretích strán: ak zdieľate zmluvy s dodávateľmi, partnermi alebo klientmi, spoliehate sa aj na ich bezpečnosť. Ak je ich systém napadnutý, vaše zmluvy môžu uniknúť.
  6. Zlyhania v dodržiavaní predpisov: zákony ako GDPR alebo HIPAA vyžadujú, aby sa s citlivými údajmi (vrátane zmlúv) zaobchádzalo bezpečne. Ak ich nedodržiavate, môžete dostať pokutu alebo stratiť dôveru partnera.

V tomto článku vám pomôžeme nájsť hlavnú príčinu problémov s bezpečnosťou spravovania zmlúv a poskytneme niektoré z najlepších postupov na zvýšenie úrovne bezpečnosti.

Krok prvý: nájdite hlavnú príčinu rizík bezpečnosti zmlúv

Pred tým, než budete môcť napraviť alebo posunúť bezpečnosť spravovania zmlúv na vyššiu úroveň, musíte identifikovať, kde presne trpí.

Skutočnou hrozbou nemusia byť len hackeri alebo škodlivé "podniky" požadujúce výkupné, väčšinou ide jednoducho o: 

  • Nefunkčné procesy, 
  • Izolované systémy, 
  • Ľudské skratky, 
  • A úplný nedostatok prehľadu.

Kým sa tieto problémy nevyriešia, všetko ostatné je len kozmetická úprava.

Prejdeme teda niektoré z najčastejších zlých návykov pri správe zmlúv, ktoré spôsobujú problémy s bezpečnosťou, aby sme vám pomohli nájsť akékoľvek úniky vo vašich procesoch.

Problém č. 1: zmluvy sa podpíšu a zabudnú

Príliš veľa organizácií stále považuje zmluvy za mŕtvy papier - dokument, ktorý sa podpíše a zastrčí do digitálnej alebo fyzickej zásuvky. Ale moderné zmluvy nie sú len dohody; sú to údaje, často citlivé.

Obsahujú osobné informácie, podmienky obnovenia, SLA, záväzky, spúšťače, sankcie - všetko, čo treba sledovať, merať, konať a chrániť.

Keď sú zmluvy zmrazené vo formáte PDF bez prepojenia na pracovné toky, alebo horšie, vytlačené a uložené vo fyzickom archíve, strácate možnosť vytvárať automatizované akcie, ako: 

  • Upozornenia na obnovenie, ktoré zabraňujú strate príjmov, 
  • Vynucovanie SLA, ktoré pomáha vyhnúť sa riziku, 
  • Sledovanie míľnikov, ktoré predchádza prevádzkovým zlyhaniam.

Problém č. 2: tímy nesledujú oficiálne postupy

Právne oddelenie si myslí, že riadi pracovné postupy pri zmluvách. Ale v skutočnosti to často nie je tak. Aspoň nie vtedy, keď ostatné tímy nesledujú oficiálne postupy na schvaľovanie a podpisovanie zmlúv, alebo horšie, neexistuje žiadny oficiálny pracovný postup, ktorý by sa dal dodržiavať.

Predaj, obstarávanie, marketing - každý tím má svoju vlastnú verziu "rýchlej dohody", z ktorých polovica sa posiela prostredníctvom e-mailu, LinkedInu alebo Slacku bez toho, aby sa dotkla oficiálnych systémov.

Takto končíte s: 

  • Neschválenými dohodami o mlčanlivosti (NDA) podpísanými v náhlení, 
  • Zmluvami s dodávateľmi, ktoré obchádzajú riadne kontroly, 
  • Svojvoľnými úpravami, ktoré boli prijaté bez právneho vstupu.

Toto je najrýchlejšia cesta k regulačným pokutám, porušeniu podmienok a strate dôvery. Ak necentralizujete svoj zmluvný proces, nemáte žiadny perimeter, ktorý by ste mohli brániť.

Problém č. 3: údaje zo zmlúv roztrúsené v 10 tabuľkových procesoroch

Tu je špinavé tajomstvo väčšiny organizácií: "databáza zmlúv" nie je softvér na správu zmlúv alebo archív v softvéri na elektronické podpisy, je to zdieľaný Excel dokument so záložkami ako "Obnovenia 2025", "Vysoko rizikové klauzuly" a "Kto čo vlastní".

Ako to však môže spôsobiť bezpečnostné problémy?

Po prvé, ukladanie zmlúv v zdieľanom Exceli môže spôsobiť problémy s kontrolou prístupu, ak nenastavíme správne prístup k dokumentu pri každom jeho vytvorení.

Po druhé, neexistuje žiadny spoločný zdroj pravdy. Každý tím má svoju vlastnú verziu databázy, každá zmluva alebo typ zmluvy je uložený v inom dokumente a nájsť konkrétny môže byť mimoriadne ťažké. Aby zmluvy zostali bezpečné a v súlade s predpismi, musia byť neustále monitorované, a roztrúsené dokumenty a klauzuly tomu určite nepomáhajú.

Po tretie, roztrúsené dokumenty spôsobujú aj problémy s riadnym auditom. Bude dosť ťažké dokázať, kto upravil čo a kedy, ak nemôžeme ani nájsť dokument.

Problém č. 4: kontrola prístupu je vtip

Myslíte si, že vaše zmluvy sú v bezpečí, pretože sú "v systéme"? Premyslite si to ešte raz. Bežné problémy s kontrolou prístupu sú: 

  • Bývalí zamestnanci majú stále prístup k priečinkom so zmluvami, 
  • Stážisti môžu vidieť rovnaké hlavné servisné zmluvy ako riaditelia, 
  • Dodávatelia sťahujú podpísané zmluvy bez nutnosti prihlásiť sa alebo potvrdiť svoju identitu.

Kontrola prístupu nie je len o tom, kto by mal vidieť zmluvu, ale aj o tom, kto by ju nemal vidieť, a čo sa stane, keď ju aj tak vidí.

"Stačí použiť bezpečné úložisko" nestačí

Počuli ste to už tisíckrát: "Stačí ukladať zmluvy v bezpečnom systéme a vynucovať prístup založený na rolách."

No, to je taká "pite vodu a spite 8 hodín" rada pre bezpečnosť zmlúv. Technicky správna, ale sama o sebe nepoužiteľná. Pretože v praxi sa deje toto: 

  • Právne oddelenie stiahne zmluvu, aby ju upravilo v Microsoft Worde, 
  • Finančné oddelenie vytiahne doložku o obnovení do tabuľky, aby vytvorilo prognózu, 
  • Predajné oddelenie nahrá upravenú verziu do zdieľaného priečinka Google Drive, aby si ju klient mohol "rýchlo pozrieť", 
  • Niekto zabudne vymazať svoju lokálnu kópiu, 
  • Niekto iný túto lokálnu kópiu prepošle na svoj Gmail.

A teraz sa vaše "bezpečné úložisko" stalo len odporúčaním, nie zárukou.

Krok druhý: aplikujte najlepšie postupy na zvýšenie bezpečnosti zmlúv

Keď viete, kde vaša bezpečnosť spravovania zmlúv zlyháva, môžete začať s jej opravou.

Môžete začať zmenou myslenia.

Ochrana na úrovni systému

Zmluvy potrebujú rovnakú úroveň bezpečnosti infraštruktúry ako vaše zákaznícke databázy alebo finančné systémy.

Takže namiesto toho, aby ste uvažovali o bezpečnom priečinku pre vaše zmluvy, začnite uvažovať o vytvorení celej bezpečnej systémovej architektúry.

A. Šifrujte všetko

Šifrovanie uložených dát je základ. Ale ak nešifrujete aj dáta počas prenosu, vyhľadávacie dotazy a dokonca aj metadáta, zanechávate stopy všade. Každý, kto vidí vaše protokoly používania, môže zistiť, ktoré zmluvy sa vyhľadávajú najčastejšie - a prečo.

Tip: vyberte si systém riadenia životného cyklu zmlúv (CLM), ktorý má nasledujúce funkcie bezpečnosti správy zmlúv: 

  • Šifruje podľa moderných štandardov (Advanced Encryption Standard-256+), 
  • Šifruje dáta počas prenosu, nielen uložené dáta, 
  • Ponúka šifrovanie na úrovni polí, nielen hromadné úložisko, 
  • Nedochádza k úniku metadát (napr. názvy zmlúv, mená klientov) do analytických prehľadov viditeľných pre príliš veľa používateľov.

B. Prístup založený na rolách ≠ bezpečnosť

Kontrola prístupu založená na rolách (RBAC) sa často považuje za všeliek. Ale ak vaše roly nie sú úzko vymedzené, pravidelne kontrolované a vynucované na úrovni objektu (nielen na úrovni priečinka), je to len ilúzia kontroly.

Povedzme, že váš obchodný riaditeľ má "prístup na úpravu" - k čomu presne? Ku všetkým zmluvám? Minulým, súčasným a budúcim? Dokonca aj k obchodom, na ktorých sa nepodieľal? To je problém.

Takto vyzerajú dobré prístupové oprávnenia: 

  • Podrobné oprávnenia (úprava/zobrazenie/sťahovanie/podpis) stanovené na používateľa, na zmluvu, 
  • Dátumy ukončenia platnosti prístupu, nedávajte kľúče navždy, 
  • Automatické zrušenie prístupu, keď používateľ zmení rolu alebo odíde z organizácie.

C. Audítorské záznamy nie sú voliteľné

Ak vaša platforma nedokáže ukázať, kto zobrazil, upravil, stiahol, exportoval alebo podpísal zmluvu, ste ako slepý.

Predstavte si: viceprezident pred odchodom z firmy unikol zmluvu s dodávateľom konkurentovi. Nikto si to dva mesiace nevšimol, pretože neexistoval auditný záznam. Firma prišla o obchod a takmer bola žalovaná.

Čo potrebujete, sú: 

  • Nezmeniteľné záznamy, 
  • Časové značky pre každú interakciu, 
  • Kontext: "Ján Novák stiahol 'Client_MSA_v3_redlined.pdf' z IP 192.168.1.8 dňa 3. marca 2025 o 2:14 ráno."

D. Integrujte so svojím bezpečnostným stackom

Zmluvné systémy by nemali existovať izolovane. Ak dodávateľ naraz stiahne 100 zmlúv, váš SIEM (Security Information & Event Management) by to mal vedieť a upozorniť na bezpečnostné incidenty.

Najlepšie systémy správy zmlúv sa pripájajú na: 

  • SSO (Single Sign On) a MFA (dvojfaktorová autentifikácia), 
  • Nástroje na správu bezpečnostných informácií a udalostí (SIEM), 
  • Systémy prevencie straty údajov (DLP).

Prevádzkové kontroly

Okrem ochrany na úrovni systému existuje aj mnoho vzorov prevádzkových kontrol, ktoré môžete implementovať, aby ste pomohli zlepšiť bezpečnosť vašich zmlúv.

A. Zablokujte sťahovanie, pokiaľ nie sú splnené konkrétne podmienky

Nepovoľte sťahovanie zmlúv, pokiaľ nie sú dosiahnuté konkrétne míľniky.

Napríklad predaj môže vidieť návrh ponuky, ale nemôže ho stiahnuť alebo poslať externe, kým ho právne oddelenie neschváli a ceny neboli overené.

Príkladom spúšťačov môže byť požiadavka, aby stav dokumentu bol "finálny" alebo "schválený na podpis" pred tým, než bude možné ho stiahnuť.

B. Označte verzie upravené mimo systému

V momente, keď niekto stiahne súbor Word, vykoná offline úpravy a znovu ho nahrá, máte zombie zmluvu - vyzerá živá, ale je úplne odpojená od vašej kontroly verzií a audítorského záznamu.

Pre lepšiu bezpečnosť údajov v zmluvách potrebujete detekciu varovných signálov: 

  • Zachyťte súbory, ktoré boli znovu importované, ale neboli upravené na platforme, 
  • Automaticky ich dajte do karantény alebo označte na kontrolu, 
  • Zobrazte vizuálne rozdiely a upozornite právne oddelenie, keď boli kľúčové doložky (IP, zodpovednosť, ukončenie) zmenené externe.

Zmluvy nie sú samozrejme úplne internou záležitosťou, často sa podpisujú s externými partnermi, dodávateľmi, spolupracovníkmi - čo vyžaduje zdieľanie zmlúv mimo organizácie.

Ak zdieľate zmluvy prostredníctvom odkazov, nezabudnite nastaviť pravidlá platnosti odkazov. 

Napríklad: 

  • Každý zdieľaný odkaz na zmluvu vyprší po 48 hodinách alebo po 3 externých otvoreniach. 
  • Ak je dokument upravený, odkaz sa automaticky zruší a musí byť znovu autorizovaný.

To zabíja zastarané, zraniteľné verzie skôr, než môžu spôsobiť škodu. Alebo použite softvér na elektronické podpisy, o ktorom budeme hovoriť o chvíľu.

Behaviorálne monitorovanie

Bezpečnosť nie je len o tom, kto môže niečo urobiť - je o tom, kto to skutočne robí, kedy, ako často a či toto správanie dáva zmysel.

Tu zlyháva väčšina nastavení bezpečnosti zmlúv: zastavia sa pri oprávneniach a ignorujú behaviorálne signály. Ale čo myslíte? K porušeniam nedochádza, keď používateľ získa prístup. Dochádza k nim, keď nesprávny používateľ robí nesprávnu vec v nesprávnom čase a nikto sa nepozerá.

A. Používajte detekciu anomálií, nielen záznamy

Okrem audítorských záznamov, ktoré sme spomenuli skôr a ktoré sledujú, kto k čomu pristupoval a kedy, je najlepšie nastaviť aj behaviorálne základné línie a inteligentné upozornenia, keď sa vzorce odchýlia od skriptu. Toto je obzvlášť dôležité pre robustné riadenie zmlúv, vrátane riadenia podnikových zmlúv.

Behaviorálne spúšťače, ktoré treba sledovať: 

  • Stážista pristupuje k 30 zmluvám v priebehu jednej hodiny, 
  • Relácia bývalého zamestnanca je stále aktívna o dva týždne neskôr, 
  • Analytik obstarávania sťahuje dohody o mlčanlivosti dodávateľov pre regióny, ktoré nespravuje, 
  • Opakované neúspešné pokusy o prihlásenie z offshore IP adresy.

Digitálne podpisovanie a ukladanie

Väčšina spoločností používa elektronické podpisy kvôli rýchlosti. Múdre ich používajú kvôli bezpečnosti.

A. Pridajte overenie identity do pracovných postupov elektronických podpisov

Ak by ste nenechali niekoho prihlásiť sa do systémov vašej spoločnosti bez MFA, prečo by ste im dovolili podpísať šesťcifernú dohodu bez nej?

Lepšie podpisové toky vynucujú: 

  • Podpisovanie založené na SSO pre interných používateľov (viete, kto sú), 
  • SMS alebo e-mailové overenie pre externých signatárov, 
  • Overenie ID pre vysoko rizikové zmluvy (napríklad: pas, občiansky preukaz alebo dokonca overenie prostredníctvom videokonferencie).

B. Používajte nezmeniteľné audítorské záznamy s časovou pečiatkou pre podpisy

Každý podpis by mal za sebou zanechať jasný, uzamknutý, nezmeniteľný auditný záznam, ktorý ukazuje: 

  • Kto podpísal zmluvu, 
  • Akú verziu podpísali, 
  • Kedy ju podpísali, 
  • Z akej IP/zariadenia/miesta ju podpísali.

Nejde len o dobrú hygienu - je to rozhodujúce, keď sa veci zamotajú. Ak sa vyskytne spor a váš auditný záznam je "len e-mailová konverzácia", veľa šťastia pri jeho obhajobe na súde.

C. Používajte bezpečné platformy, ako je Autenti

Podpisy nie sú koncom zmluvy, sú začiatkom bezpečnostných hrozieb. Prestaňte ich teda považovať za pečiatky. Urobte ich inteligentnými. Urobte ich bezpečnými s tým, čo je maximálne bezpečné - elektronickými podpismi poskytovanými etablovanými platformami, ako je Autenti.

Autenti je poskytovateľ dôveryhodných služieb pre služby elektronického podpisu a plne bezpečná platforma elektronického podpisu. Dodržiava najvyššie štandardy informačnej bezpečnosti vrátane certifikácie ISO/IEC 27001:2017, čo zaručuje robustnú ochranu údajov a súkromia.

D. Postupujte podľa úspechov iných

Chcete skutočný príklad bezpečného digitálneho spracovania zmlúv?

Bank Millennium potrebovala rýchlejší, bezpečnejší spôsob spracovania HR dokumentov, o ktorých všetci vieme, že obsahujú veľa citlivých a osobných informácií, ktoré treba chrániť.

Implementáciou platformy Autenti umožnili zamestnancom a riaditeľom digitálne a okamžite podpisovať zmluvy bez potreby osobných stretnutí alebo papierovej práce - ale čo je najdôležitejšie, všetko sa dialo bezpečne.

"Spracovanie a podpisovanie prebieha prísne definovaným spôsobom. K dokumentom majú prístup len oprávnené osoby. Počas procesu podpisovania a doručovania nemôže nikto meniť obsah, čo zaručuje, že podpísaný dokument je vždy identický s originálom. Validačná certifikácia je poskytovaná prostredníctvom podrobnej PDF správy vydanej spoločnosťou Autenti, ktorá obsahuje informácie o overení podpisov a elektronických pečatí, ktorú si možno stiahnuť po ukončení procesu," ako uviedla Monika Ruraż-Lipińska, vedúca HR tímu v Bank Millenium o bezpečnosti elektronického podpisovania s Autenti.

V dôsledku toho sa čas na spracovanie dokumentov znížil na niekoľko minút, procesy sa stali bezpečnejšími a banka ušetrila peniaze a zároveň podporila svoje ciele v oblasti udržateľnosti.

Posuňte bezpečnosť správy zmlúv na vyššiu úroveň s Autenti. Vyskúšajte zdarma na 14 dní, bez potreby kreditnej karty.

Bonus: 15-bodový kontrolný zoznam pre bezpečnú správu zmlúv 

Kontrolný zoznam auditu 

  • Existuje určený vlastník na správu bezpečnosti zmlúv? 
  • Sú právni, IT a ďalší zainteresovaní zúčastnení na procese od začiatku? 
  • Pokiaľ ide o ukladanie zmlúv: sú zmluvy uložené v bezpečnom, centralizovanom úložisku zmlúv? 
  • Je prístup k zmluvám založený na rolách a podrobný, stanovený na osobu na zmluvu? 
  • Sú pracovné postupy schvaľovania automatizované a existuje kontrola verzií? Sú auditné záznamy povolené pre všetky akcie so zmluvami (zobrazenie, úprava, sťahovanie)? 
  • Existuje automatizovaný proces pre obnovovanie a ukončenie platnosti zmlúv? 
  • Bráni váš systém externému zdieľaniu zmlúv, pokiaľ nie je schválené? 
  • Sú zmluvy šifrované ako pri uložení, tak pri prenose? 
  • Používate overenie identity (SSO, MFA) pre interných a externých signatárov? 
  • Je každý podpísaný dokument opatrený časovou pečiatkou a je overená identita podpisujúceho? 
  • Máte zavedené politiky DLP, ktoré zabraňujú zdieľaniu citlivých doložiek externe? 
  • Sú abnormálne prístupové vzory (napr. prístup mimo pracovnej doby, vysokofrekvenčné sťahovania) detekované a označené? 
  • Integruje sa váš systém s vašim SIEM/SOC, aby poskytoval širšiu viditeľnosť bezpečnosti? 
  • Testujete pravidelne svoje politiky bezpečnosti zmlúv prostredníctvom cvičení červeného tímu alebo hodnotení zraniteľnosti?