Umowy między stronami są zawierane przez konkretne osoby (reprezentujące przedsiębiorstwa, organizacje, czy też same siebie jako osoby fizyczne). Aby zabezpieczyć skuteczność zawieranych umów, istotna jest weryfikacja podpisujących dokument. Poniżej opisujemy różne metody uwierzytelnienia podpisujących, z których znaczna część znajduje zastosowanie w Autenti. Jeśli interesuje Cię któraś z metod, możesz od razu przejść do odpowiedniej sekcji:
- Weryfikacja tożsamości w kontakcie bezpośrednim
- Weryfikacja za pośrednictwem adresu e-mail
- Weryfikacja za pośrednictwem kodu SMS
- Logowanie do bankowości elektronicznej
- Wideoweryfikacja
- Profil zaufany lub inne środki identyfikacji elektronicznej
- Wykorzystanie kwalifikowanego podpisu elektronicznego
- Uwierzytelnienie wykorzystująca cechy biometryczne
Identyfikacja a weryfikacja podpisujących
Na wstępie warto rozróżnić dwa pojęcia, które są ze sobą ściśle związane. Podczas podpisywania dokumentu online mamy do czynienia z dwiema czynnościami dotyczącymi tożsamości osób podpisujących, tj.:
- identyfikacją - czyli podaniem przez osoby podpisujące swoich danych, które są potrzebne do podpisania dokumentu lub służą do weryfikacji ich tożsamości oraz
- weryfikacją - potwierdzeniem, że osoba która podpisuje dokument jest tą, za którą się podaje (której dane zostały użyte w procesie identyfikacji)
Innymi słowy - najpierw adresat dokumentu podaje swoje dane, później nadawca dokumentu sprawdza, czy te dane są prawdziwe. Do identyfikacji osób służą dane osobowe takie jak imię, nazwisko, adres e-mail, numer telefonu, numer PESEL, adres zamieszkania, adres IP urządzenia, ale także wygląd, czy inne cechy biometryczne. Co może być uznane za dane osobowe określa Ogólne Rozporządzenie o Ochronie Danych (tzw. RODO). Niektóre z tych danych w pojedynkę nie są oczywiście wystarczające do określenia tożsamości (jest np. wiele osób, które mają na imię Michał). Jednak połączenie kilku informacji pozwala zwiększyć pewność co do tego, kto podpisuje dokument. Stąd też zakres danych o osobach fizycznych w umowach B2C jest na tyle szeroki, że pozwala uniknąć jakichkolwiek wątpliwości, co do określenia osoby, która podpisała dokument.
Weryfikacja osób podpisujących umowę w kontakcie bezpośrednim
W przypadku umów podpisywanych tradycyjnie na papierze weryfikacja tożsamości osoby składającej podpis i której umowa dotyczy, najczęściej odbywa się poprzez:
- porównanie danych podanych w umowie z danymi z dokumentu tożsamości,
- porównanie wyglądu osoby ze zdjęciem w dokumencie tożsamości,
- porównanie podpisu na umowie ze wzorem podpisu w dokumencie tożsamości.
W zależności od rodzaju podpisywanej umowy i instytucji, z którą jest zawierana, również sam dokument tożsamości może być weryfikowany pod kątem autentyczności czy kradzieży. W przypadku umów podpisywanych na papierze na odległość - czyli listownie - weryfikacja podpisującego jest realizowana w oparciu o adres doręczenia. Skoro spodziewaliśmy się konkretnej firmy lub osoby pod danym adresem, to z dużą dozą prawdopodobieństwa przyjmujemy, że umowa została podpisana właśnie przez tę osobę.
Weryfikacja podpisujących dokumenty online w Autenti
Również przy podpisywaniu dokumentów elektronicznie, weryfikacja polega na porównaniu danych. Porównywane są informacje podane nadawcy z danymi użytymi do podpisania dokumentu przez odbiorcę (to, co podałem nadawcy jako moje dane, musi się zgadzać z tym, czego użyłem do uwiarygodnienia się w procesie podpisywania).
Weryfikacja za pośrednictwem adresu e-mail
Podstawowym i najczęściej stosowanym przez naszych klientów sposobem weryfikacji podpisujących jest wykorzystanie podanego przez nadawcę dokumentu adresu e-mail osoby podpisującej (analogicznie w świecie offline wysyłając dokument do podpisu pocztą tradycyjną wskazujemy adres fizyczny podpisującego). Nadawca dokumentu przygotowując dane do umowy ustala adres e-mail, którym posługuje się adresat i będzie mógł go wykorzystać w procesie podpisywania. Następnie nadawca podaje wskazany adres e-mail przy nadawaniu dokumentu do podpisu. Na ten adres e-mail jest wysyłany unikalny link do podpisania dokumentu. Adresat klikając w e-mail przechodzi do panelu podpisu, gdzie potwierdza dane i w ten sposób podpisuje dokument. Adres e-mail jest dodatkowo łączony z imieniem i nazwiskiem osoby podpisującej, adresem IP urządzenia, z którego nastąpiło podpisanie dokumentu. Te informacje są następnie zapisywane po podpisaniu dokumentu przez wszystkie strony umowy i służą do określenia, kto użył tych danych jako podpisu elektronicznego.
Weryfikacja za pośrednictwem kodu SMS
Kolejną metodą zwiększającą pewność, co do tożsamości osoby podpisującej elektronicznie dokument, jest wykorzystanie jednorazowego kodu SMS. Podobnie jak w przypadku przelewów w bankowości elektronicznej, aby podpisać dokument, odbiorca musi podać unikalny kod SMS generowany przez Autenti. Kod jest wysyłany na numer telefonu wskazany przez nadawcę dokumentu.
Adresat nie tylko jest weryfikowany za pośrednictwem adresu e-mail, ale również musi być w posiadaniu numeru telefonu, który podał nadawcy jako swoje dane. Kod SMS jest znany tylko i wyłącznie osobie, która posiada numer wskazany przez nadawcę. Po podpisaniu dokumentu w podpisie elektronicznym danej osoby pojawia się również informacja o użytym numerze telefonu.
Logowanie do bankowości elektronicznej
[ta metoda podpisywania nie jest jeszcze dostępna w Autenti]
Następną metodą weryfikacji podpisujących jest wykorzystanie logowania do systemu bankowości elektronicznej. Banki są zobligowane do skrupulatnej weryfikacji tożsamości swoich klientów (np. podczas zakładania konta bankowego, czy podczas ubiegania się o kredyt). Bardzo często weryfikacja tożsamości dzieje się offline w sposób opisany powyżej. Ponieważ banki posiadają zweryfikowane informacje o swoich klientach i dostęp do konta bankowego mają tylko ich właściciele, to zalogowanie się na konto umożliwia uzyskanie bardzo wiarygodnych danych identyfikujących klienta. Po logowaniu na konto bank przekazuje do Autenti wybrane dane osobowe (np. imię, nazwisko, PESEL, adres zamieszkania), które następnie służą do podpisania dokumentu elektronicznie i są umieszczanie w podpisywanym dokumencie.
Innym sposobem na wykorzystanie danych klienta z bankowości elektronicznej jest tzw. przelew weryfikacyjny. Polega on na wykonaniu płatności przez klienta na jakąś niską kwotę (np. 1zł). Do odbiorcy przekazywana jest informacja o danych posiadacza rachunku, z którego został wykonany przelew. Jest to rozwiązanie często stosowane przez internetowe firmy pożyczkowe. Istotnym czynnikiem jest tutaj czas potrzebny na wykonanie i potwierdzenie przelewu, które mogą znacznie wydłużać proces podpisania dokumentu elektronicznie.
Wideoweryfikacja
Weryfikacja adresata dokumentu może również nastąpić za pośrednictwem połączenia video. Ta metoda jest bardzo podobna do uwierzytelnienia offline, ponieważ opiera się na porównaniu danych i zdjęcia z dokumentu tożsamości (dowód osobisty, paszport, prawo jazdy) z wizerunkiem osoby wykonującej połączenie, jak i sprawdzeniu samego dokumentu (pod kątem autentyczności czy ważności). Wideoweryfikacja może być realizowana w sposób zautomatyzowany, jak i też przy udziale wykwalifikowanego operatora. Sesja weryfikacyjna może być również nagrywana i przechowywana jako dodatkowe zabezpieczenie. Jedną z firm, która realizuje tego typu usługę jest Identt czy Ariadnext. W przypadku prawidłowego uwierzytelnienia umieszczana jest informacja pochodząca od operatora odnośnie sposobu weryfikacji.
Profil zaufany lub inne środki identyfikacji elektronicznej
[ta metoda podpisywania nie jest jeszcze dostępna w Autenti]
Kolejną metodą uwierzytelnienia podpisującego jest wykorzystanie profilu zaufanego do składania podpisu elektronicznego. Profil zaufany to zestaw danych o osobie, które zostały zweryfikowane podczas jego zakładania. Weryfikacja danych odbywa się na podstawie:
- danych z systemu bankowości elektronicznej,
- danych z kwalifikowanego podpisu elektronicznego lub
- potwierdzenia w punkcie potwierdzającym.
Profil zaufany jest ważny przez 3 lata i może być wydłużany. Co ważne Profil zaufany mogą uzyskać jedynie osoby posiadające numer PESEL. Na chwilę obecną profil zaufany może być wykorzystywany w komunikacji z administracją publiczną do załatwiania spraw urzędowych online.
Wykorzystanie podpisu kwalifikowanego
Najbardziej wiarygodną metodą weryfikacji tożsamości osoby podpisującej dokumenty elektronicznie jest wykorzystanie przez nią kwalifikowanego podpisu elektronicznego (dalej podpis kwalifikowany). Jest on ściśle powiązany z osobą, która się nim posługuje. Podpis kwalifikowany jest równoważny podpisowi własnoręcznemu i może być wykorzystany we wszystkich decyzjach i relacjach, które wymagają zachowania formy pisemnej (tutaj pisaliśmy więcej o formach składania oświadczeń woli). Ponieważ podpis kwalifikowany jest równoważny podpisowi własnoręcznemu, jego użycie wymaga wydania certyfikatu i uprzedniej dokładnej weryfikacji tożsamości osoby ubiegającej się o taki certyfikat.
Weryfikacja tożsamości wykorzystująca dane biometryczne
[ta metoda podpisywania nie jest jeszcze dostępna w Autenti]
Każdy człowiek ma swoje indywidualne cechy, które są w stanie wyróżnić go spośród innych. Wykorzystanie tych cech do identyfikacji i weryfikacji tożsamości, może znacząco ulepszyć doświadczenia użytkownika i zwiększać bezpieczeństwo. Do takich cech należą na przykład odciski palców, tęczówka oka, geometria i wygląd twarzy. Do wyjątkowych cech należy również głos, czy sposób poruszania się. Te dane mogą być wykorzystywane do autoryzacji płatności, czy przyznania dostępu (np. wykorzystanie czytnika linii papilarnych w smartfonach). Niektóre z dokumentów tożsamości oprócz wizerunku twarzy posiadają również inne cechy biometryczne jak np. odciski palców czy skan siatkówki oka, które pozwalają na dodatkową weryfikację tożsamości opartą nie tylko na wyglądzie danej osoby.
Podsumowanie
Przy podpisywaniu dokumentów elektronicznie weryfikacja podpisujących jest kluczowym elementem procesu. Wykorzystując Autenti i różne metody uwierzytelnienia podpisujących, firmy mogą ograniczyć ryzyka wiarygodności umów praktycznie do zera.
