Podpiši me večkrat
Gotovo ste se že znašli v zagati, kako izvesti digitalno podpisovanje elektronskega dokumenta, če mora to storiti več ljudi. Pošiljanje PDF od vrat do vrat je rešitev, ki bi ji težko tako rekli. Obstaja več sistemov, ki so namenjeni delu z dokumenti in večkratno podpisovanje opravijo kot za šalo. Podpisujemo lahko na računalnikih, tablicah ali telefonih, lokalno ali v oblaku, sami ali skupinsko. Poglejmo, kaj obstaja na naših tleh.
V 21. stoletju je elektronsko poslovanje v veliki meri že zamenjalo prejšnje papirno poslovanje, k čemur vodi več dejavnikov. Vsaj v teoriji bi moralo biti elektronsko poslovanje cenejše, hitrejše in enostavnejše, saj ne potrebujemo tiskanja dokumentov, njihovega fizičnega premikanja, podpisovanja in podobno. Da bi teklo gladko, pa potrebujemo ustrezno digitalno infrastrukturo, saj je v nasprotnem primeru celotna izkušnja lahko še slabša.
V tem prispevku se bomo posvetili digitalnemu podpisovanju elektronskih dokumentov, ki je zgolj eden izmed vidikov digitalnega poslovanja. O digitalnih podpisih smo obširno pisali že pred dvema letoma (Delo od doma: Podpiši me digitalno, Monitor, posebna 22), a smo tedaj preverjali rešitve za domačo rabo. Te sicer zmorejo isto – digitalno podpisati dokument –, a so za poslovna okolja neprimerne.
Kvalificirani elektronski podpis, ki ga pogosto preprosteje imenujemo kar digitalni podpis, uporablja par zasebnih in javnih ključev. Te izda zaupanja vreden overitelj, ki je v Sloveniji lahko SIGEN-CA, Halcom ali Rekono in še kdo. Zasebni ključ je znan le podpisniku, pripadajoči javni ključ pa lahko dobi kdorkoli in s tem preveri, da je podpisnik res ta, za kogar se predstavlja. Javni ključ je namreč tesno povezan z zasebnim, saj omogoča preverjanje, da je podpis dokumenta res ustvarjen s pripadajočim zasebnim ključem, hkrati pa je javni ključ podpisal overitelj in s tem jamči za istovetnost lastnika.
Komu zaupamo
Zaupanje v računalniškem svetu je veriga, saj za istovetnost osebe in veljavnost podpisa jamči entiteta, za katere verodostojnost jamči višje rangirana entiteta itd. Na koncu verige so korenski overitelji, ki jim zaupamo, ker nekomu pač moramo zaupati.
V Sloveniji so ponudniki kvalificiranih storitev zaupanja: vlada (trenutno Ministrstvo za digitalno preobrazbo in podpisnik SIGEN-CA), Halcom CA, Rekono, Pošta®CA (le obstoječa potrdila, ne izdaja novih) in AC NLB (le obstoječa potrdila, ne izdaja novih).
Če pogledate dokument, ki je bil digitalno podpisan v sistemu BetrSign, bodo tam podpisi s certifikatom podjetja SETCCE, ki ga podpisuje Halcom in poteče 22. 6. 2025. Poenostavljeno povedano Halcom jamči, da je lastnik certifikata res SETCCE, ki mu verjamemo, da je svojo nalogo preverjanja istovetnosti podpisnikov opravil pošteno. Podobno velja za ostale ponudnike.
Domače podpisovanje elektronskih dokumentov ni posebej zapleteno. Običajno je njihovo obličje PDF (ni pa to nujno!), nato pa jih lahko podpišemo v številnih aplikacijah, denimo v Adobe Readerju, brskalniku Edge, na spletni strani SI-PASS itd. Podobno velja tudi za druge formate, denimo Officeove, ki jih zna podpisati kar Office, če je seveda nameščeno ustrezno digitalno potrdilo oziroma zasebni ključ.
Tak način podpisovanja je povsem ustrezen, če želimo podpisati dokument, ki ga moramo potem kam poslati. Izpeljanke tega pristopa uporabljajo tudi številna podjetja za poslovanje s strankami. SID Banka ima na svojih spletnih straneh objavljena navodila v datoteki PDF, ki natančno opisujejo točno ta postopek v Adobe Acrobat Readerju.
Banka SID ima na spletnih straneh navodila za komitente, kako doma brezplačno elektronsko podpisati PDF. Tudi tako gre.
Tudi v živo nam podjetja čedalje pogosteje pod nos pomolijo tablico, na katero se s kraco podpišemo, saj zajeta in shranjena kraca šteje kot verodostojni podpis. Ni sicer na ravni kvalificiranega elektronskega podpisa (več o hierarhiji v okvirju), a za veliko večino potreb bo čisto dovolj. Navsezadnje je namen podpisa zagotavljanje istovetnosti in izraz svobodne volje, sklepanje naročnine za telefonski paket pa je manj usodna odločitev od prodaje stanovanja – kjer potrebujemo notarja.
Situacija se zaplete, če mora dokument podpisati več oseb, kar se ponavadi primeri v poslovnem okolju. Pogodbe z več podpisniki niso nobena redkost in po uskladitvi besedila jih je treba še podpisati. Številna mala podjetja, pa tudi ne tako majhne ustanove, v takih primerih uporabijo isti pristop. Dokument podpiše en podpisnik, PDF pošlje naslednjemu, ta ga podpiše in posreduje dalje ter tako naprej. Tak pristop ni le počasen, je tudi neprofesionalen in okoren. Ko je podpisovanje dokončano, morajo vsi prejeti končno različico dokumenta v še enem elektronskem sporočilu, skladiščenje oziroma arhiviranje dokumenta pa ostaja ločen problem. Ves čas je treba tudi vedeti, kakšne elektronske naslove imajo podpisniki, skrbno beležiti morebitne spremembe, jih ročno opominjati na podpis. Tudi podpisniki lahko imajo težavo, če je njihovo kvalificirano digitalno potrdilo na drugi lokaciji ali pa če ga sploh nimajo. Če se ne sporazumejo o vrstnem redu podpisovanja, potem mora vsak podpisnik poslati svojo podpisano kopijo vsem ostalim itd. Nepraktično, neprofesionalno, neuporabno.
DMS
V današnjih časih bi rešitev poimenovali oblak, pred kakšnim desetletjem ali dvema pa morda centralna spletna aplikacija, informacijski sistem, strežnik ali kaj podobnega. Zamisel je v vseh primerih enaka. Dokument mora biti na voljo v centralnem sistemu, do katerega dobijo dostop vsi podpisniki. Ti se povežejo z njim, na enega izmed dovoljenih načinov potrdijo svojo istovetnost, nato pa nakažejo strinjanje z dokumentom – torej ga podpišejo. Podpisi se zbirajo na dokumentu v centralnem sistemu skupaj z dokazili (npr. s kvalificiranim elektronskim podpisom). Pogosto je to del večjega dokumentnega sistema (DMS).
Ker vsi deležniki dostopajo do istega dokumenta na istem mestu, vrstni red podpisovanja naenkrat ni več pomemben, podpisujejo lahko hkrati, ves čas pa vsi vidijo tudi aktualno stanje. Običajno je s sistemom integrirana še digitalna shramba ali arhiv, ki poskrbi za varno hranjenje končne različice podpisanih dokumentov, drugim podpisnikom pa jo pošlje po elektronski pošti ali kako drugače, nakar morajo za skladiščenje poskrbeti sami.
Več podpisnikov
Ena izmed rešitev se imenuje BetrSign iz ljubljanskega podjetja SETCCE, ki ga doma verjetno bolj poznamo po podpisnih komponentah za poslovanje z državno upravo. BetrSign je okolje za podpisovanje dokumentov, ki nudi zelo pregleden vmesnik. Vsako novo opravilo je posel, ki ga sestavljajo datoteke PDF, ki jih lahko naložimo, in sicer do 15 dokumentov ali 9,5 MB na posel. Tega nato poimenujemo, izberemo jezik (angleški, nemški, ruski, slovenski in še nekaj lokalnih jezikov Balkana) ter dodamo podpisnike. Za vsak posel namreč določimo, kdo vse mora kakšen dokument podpisati, kje na dokumentu (vizualna predstavitev) bo podpis odtisnjen in na kakšen način se bodo posamezniki identificirali. To je lahko osebno digitalno potrdilo, sistem SI-PASS, nova slovenska e-osebna izkaznica ali pa geslo. Tu lahko določamo način podpisovanja, denimo koda SMS, geslo, klik na povezavo v elektronskem sporočilu itd. Podpisujejo lahko avtor, podpisniki v imeniku ali drugi podpisniki. Ko smo z nastavitvami zadovoljni, lahko vsem podpisnikom pošljemo elektronsko sporočilo – predlogo v jeziku, ki smo ga nastavili, bo nudil sistem sam – in nastavimo še kak opomnik. Potem le še počakamo, da se zvrstijo vsi podpisi. Ko bo zadnji podpisal dokument, bodo vsi dobili še kopijo z vsemi podpisi.
Okolje BetrSign podjetja SETCCE.
Novomeška Mikrografija ima svojo rešitev z imenom mSign, ki je del širšega paketa storitev (mDocs, mScan, mScan, mSlog, mArh, mIA in drugih). Skupni imenovalec celotnega kompleta sta upravljanje dokumentov in delo z njimi v poslovnih procesih, od digitalizacije do shranjevanja in arhiviranja. Na tem mestu nas zanima komponenta mSign, ki je namenjena digitalnemu podpisovanju. Po prijavi v sistem se odpre Namizje, kjer so prikazani prejeti dokumenti, možnost integracije mobilnih naprav in hitro polje za dodajanje dokumentov, ki potrebujejo podpis. Vanj jih preprosto potegnemo, pa bomo sprožili postopek za podpis. Na levi strani je še meni, kjer je mogoče postoriti posamezna opravila. V Dokumentih ustvarimo nove tokove za podpisovanje, v Predlogah te nastavimo itd. Nastavimo lahko še skripte (JavaScript), prevode (angleško, slovensko, bosansko, hrvaško, srbsko), poročila, razvrstitve uporabnikov v skupine itd. Za večje uporabnike in zlasti razvijalce je pomembna funkcionalnost možnost integracije API za povezovanje z drugimi aplikacijami, a vse te napredne funkcije so pomembne za administratorje.
Sistem mSign.
Uporabniška izkušnja je sicer prijazna in standardizirana, podobno kot pri konkurenci. Ko naložimo dokument za podpisovanje, ki mu lahko dodamo še priloge, z miško nanj narišemo polja, kamor se bodo podpisali podpisniki. Te določimo z elektronskim naslovom, za večjo varnost pa lahko dodamo še obvezno pošiljanje potrditvene kode prek SMS (2FA). Podpisujejo se le dokumenti PDF, naložimo pa lahko tudi docx, ki se bo pretvoril v PDF. Za podpis imamo na voljo tri možnosti: strežniško potrdilo, strežniško potrdilo in ročni podpis, kvalificirano digitalno potrdilo. Prva različica je najpreprostejša, saj prejemnik dokument odpre in označi kot podpisan, kar mSign zabeleži in jamči s svojim digitalnim potrdilom. Druga možnost temu doda še lastnoročno parafo, zato se lahko izvede le na pametnem telefonu, s katerim prejemnik opravi podpis. Tretja možnost pa zahteva nameščeno kvalificirano digitalno potrdilo (na računalniku ali ključku) in podpisno komponento mSign oziroma katero drugo enako varno možnost (Rekono, Rekono OnePas, Halcom One). Obstaja še četrta možnost, če uporabljamo mobilno aplikacijo. V tem primeru je dokument podpisan s podpisnikovim potrdilom, kar je najvišja stopnja zagotavljanja istovetnosti. Zahtevamo lahko podpise v predpisanem vrstnem redu ali poljubnem. Ko so dokument podpisali vsi, dobijo vsi še končno kopijo. Seveda obstaja tudi možnost izrecne zavrnitve podpisa.
Če se identificiramo le z elektronsko pošto, je dokument podpisan s certifikatom ponudnika.
Še en ponudnik širšega paketa storitev je velenjsko podjetje PIA, ki ponuja informacijski sistem ODOS z več moduli za digitalizacijo poslovanja, med katerimi je tudi elektronsko podpisovanje. ODOS omogoča več načinov podpisovanja, od podpisovanja datotek PDF do ustvarjanja in podpisovanja Wordovih dokumentov iz predpripravljenih predlog, ki jih lahko uredimo in pretvorimo v PDF. Za podpisovanje v sistemu ODOS podpisniki potrebujejo svoja kvalificirana digitalna potrdila, podpisovanje pa je mogoče tudi z mobilno aplikacijo ODOS+. Postopek je preprost, in sicer lahko dokument preprosto »potegnemo« v okno ali pa ga med pripravo izhodne pošte pokličemo iz sistema, v katerem se nato podpiše in kot elektronska pošta pošlje prejemnikom. Običajno je podpisnikov do pet, lahko pa jih navedemo tudi več. Še ena možnost je Podpisovanje dokumentacije, v katerem so lahko podpisniki tudi zunaj organizacije in omejitev števila ni. Po zaključenem podpisovanju se tudi pri tej rešitvi v sistem shrani končni podpisani dokument, podpisniki pa po elektronski pošti prejmejo kopije.
Javna uprava
Slovenska javna uprava je dolgo vrsto let uporabljala dokumentni sistem SPIS, ki ima začetke v odločitvi Centra vlade RS za informatiko iz leta 1996, da za računalniško podporo poslovanju oziroma za upravljanje dokumentov izbere Lotus Notes. SPIS je bil prvi pisarniški informacijski sistem, ki je med državnimi organi omogočal skupinsko delo, elektronski prenos dokumentov, dokumentiranje, spremljanje dela in seveda tudi podpisovanje. Njegova glavna funkcija je bila evidentiranje dokumentov in dodeljevanje zadev.
Prva različica SPIS je bila nared že leta 1995, ko so jo začeli preizkušati v Centru. Glede na potrebe in zakonodajo se je posodabljala, denimo SPIS 1.21 je omogočal poročanje statistike ministrstvom, SPIS 1.31 je prinesel podporo delu na več lokacijah itd. Hitro se je izkazalo, da je SPIS zaprt, ker temelji na Lotus Notesu 3. Naslednja generacija se je imenovala SPIS 4, ker so jo gradili na Lotus Notesu 4. Z njo so se že lahko povezovali moduli in zbirke iz drugih orodij.
Sistem SPIS 1.45, kot so ga leta 2020 uporabljali na Mestni občini Ljubljana. Slika: Webinar Skupnosti občin Slovenije »Digitalno podpisovanje dokumentov«, Arian Debeljak
SPIS je leta 2003 dobil elektronsko preverjanje in podpisovanje dokumentov s certifikatom SIGOV-CA. Kmalu so SPIS uporabljali večina ministrstev in upravnih enot ter posredni proračunski porabniki. Že leta 2004 so bile v uporabi različne inačice SPIS 1.31, SPIS 1.45 in SPIS 4, kar se ni spremenilo niti do epidemije skoraj dve desetletji pozneje. Še vedno so nekatere občine, denimo ljubljanska, uporabljale SPIS 1.45.
Zaradi razvoja tehnologije in omejitev SPIS se je leta 2015 začel KRPAN, v okviru katerega je bil razvit in lansiran istoimenski dokumentni sistem, ki je nadomestil SPIS. KRPAN je enotni, nadgradljivi in prilagodljivi informacijski sistem za upravljanje dokumentov, ki teče na infrastrukturi Ministrstva za javno upravo in je namenjen zaposlenim v državni upravi. KRPAN kot enotni sistem teče na eni lokaciji in uporablja skupne gradnike, hkrati pa se z drugimi informacijskimi sistemi povezuje prek standardiziranih vmesnikov (SOAP, REST, WCF) ter ponuja mobilni dostop.
Sistem SPIS4 je v javni upravi nadomestil prvi SPIS. Slika: UVHVVR (2018) prek Neja Jedlovičnik, Analiza vpliva vpeljave elektronske hrambe v izbranem organu javne uprave, UL FU, 2019
Še en sistem je InDoc EDGE ljubljanskega podjetja Mikrocop, ki sodi med dokumentne sisteme (DMS). Tudi ta presega zgolj podpisovanje, saj se uporablja za vse življenjske faze dokumentov: ustvarjanje ali skeniranje, uvoz, ročno dodajanje, urejanje (in verzioniranje), dodeljevanje v delo, iskanje informacij, povezovanje, podpisovanje, hranjenje, določanje zaupnosti, varovanje, sledljivost. Podpisovanje je le manjši del, deluje pa zelo podobno kot pri ostalih ponudnikih. Na dokumente pripnemo podpisnike, označimo mesto podpisa in jih nato v dokumentnem sistemu razpošljemo v podpisovanje, ki je lahko zaporedno ali vzporedno. Podpis je tudi tu lahko kvalificirani (Halcom One, Rekono.Sign), napredni (hrvaški TIS eSIG, Rekono.Sign) ali navadni.
Dokumentni sistem InDoc EDGE.
Na koncu omenimo še en DMS, in sicer BusinessConnect – obstaja tudi različica za javni sektor z imenom GovernmentConnect. Tudi njen del je digitalno podpisovanje, ki ga lahko opravimo s katerekoli naprave, torej računalnika, pametnega telefona ali tablice. Podpisovanje v organizaciji poteka znotraj modula z uporabo kvalificiranega digitalnega potrdila, zunaj podjetja pa storitev Digitalni podpis vključuje identifikacijo kupca, e-identiteto in upravljanje transakcij (veljavno in sledljivo podpisovanje). Podpisovanje poteka prek sistemov Halcom One, VEP.si ali DocuSign.
Področje DMS je sicer zelo živahno, na njem pa poslujejo še številni drugi ponudniki, katerih izdelki imajo omogočeno podpisovanje kot delček funkcionalnosti. Marsikdo pozna sistem EBA podjetja Positiva ali pa sisteme podjetja 3 Tav.
Podpisi v oblaku
Opisani sistemi segajo od podpisovalnih sistemov do obsežnih DMS, ki imajo poleg različne namembnosti tudi različne izvedbe podpisov. Pomudimo se torej še pri teh podpisih v oblaku oziroma storitvah za elektronsko identifikacijo. Kadar podpisujemo s svojim kvalificiranim digitalnim potrdilom, za kar potrebujemo podpisno komponento – to je program, ki omogoča uporabo KDP z naše naprave za generiranje podpisa –, za istovetnost jamči izdajatelj tega KDP. Včasih pa to ni praktično, saj na pametne telefone ni modro (včasih pa niti mogoče) nameščati KDP.
Ponudniki identifikacije ob prvi registraciji preverijo našo identiteto in kasneje jamčijo za nas vsakokrat, ko se vpišemo, nato pa naš nekvalificirani podpis s svojim KDP potrdijo oni. Tak ponudnik je Rekono, ki med vrsto storitev zaupanja nudi tudi kvalificirani in napredni elektronski podpis na daljavo. Na spletu je na voljo kot aplikacija Rekono.Sign, v mobilnem svetu pa kot aplikacija Rekono OnePass. Rekono uporabniške profile deli v tri razrede: nizka, srednja in visoka stopnja zanesljivosti identitete, ki so odvisne od tega, kako je uporabnik verificiral svoj profil. Registracija s KDP na pametni kartici – ki smo ga dobili, ko smo nekoč fizično obiskali izdajatelja in se identificirali – ali obisk registracijske pisarne omogoča najvišjo stopnjo zanesljivosti, registracija z bančnimi podatki NLB pa srednjo, ker NLB omogoča preverjanje identitete na daljavo. Stopnja zanesljivosti identitete v profilu Rekono določa, kaj in kako lahko z njim podpisujemo.
Rekono je spletna identiteta v oblaku, ki nudi več možnosti identifikacije.
Halcom One je drugi popularni ponudnik elektronske identifikacije, ki nudi digitalna potrdila. Ta so za fizične osebe brezplačna, za poslovne subjekte pa ne. Pridobimo ga lahko, če se osebno identificiramo ali pa če imamo obstoječe KDP na pametni kartici ali ključku. S pametno aplikacijo Halcom One lahko potem podpisujemo različne dokumente, se prijavljamo v državno spletno infrastrukturo, e-banke in podobno. Halcom One ima shranjeno naše kvalificirano digitalno potrdilo v oblaku, zato ga lahko uporabimo za vsa našteta opravila na daljavo, podpisi pa imajo enako veljavo in zanesljivost kot lastnoročni.
Kar nekoliko spregledan pa je varni elektronski predal ali VEP.si, ki ga ponuja podjetje EIUS, ki je tudi kvalificirani ponudnik storitev zaupanja. VEP omogoča pridobitev kvalificiranega elektronskega podpisa z aplikacijo ZealiD. V njej se predstavimo z vnosom osebnih podatkov, s preveritvijo živosti in fotografiranjem osebnega dokumenta. ZealiD je švedski ponudnik digitalnih identitet za celotno Evropo. Poleg ZealiD VEP.si omogoča še prijavo s Halcom One ali z Rekono. Nato se lahko na VEP.si brezplačno registriramo kot fizična oseba, za poslovne subjekte pa to ne velja. VEP nudi več storitev, denimo VEP Vročanje, VEP Pogodba, VEP Obrazci, VEP Validator, VEP Podpis, VEP Računi.
Kaj še ostane malim?
Vidimo, da je ekosistem digitalnih identitet in podpisov pester, sega pa od orodij za ta namen do velikih DMS, ki se uporabljajo v sistemih s tisoči zaposlenimi. Ne glede na sistem pa so osnove vedno enake, saj jih predpisuje evropska uredba (glej okvir). Država, Rekono in Halcom so ponudniki storitev zaupanja, na katerih potem slonijo ostali sistemi podpisovanja. Ker niso vsi dokumenti enako pomembni, si lahko privoščimo različne ravni zanesljivosti podpisov. Včasih je dovolj, če dokument prispe na pravi elektronski naslov in ga potem »podpiše« prejemnik, kar bodo sistemi seveda potrdili s svojimi digitalnimi potrdili, spet drugič želimo podpis s KDP podpisnika. Ta je lahko lokalni, za kar potrebujemo podpisno komponento in KDP na pametni napravi (ključek ali kartica) ali, manj varno, v datoteki oziroma v oblaku ponudnika zaupanja (npr. Halcom ali Rekono).
Za velika podjetja je poskrbljeno dobro, saj so komercialni izdelki učinkoviti, pregledni in zanesljivi, cene pa zanje ne bodo omejujoč dejavnik. Domači uporabniki ali enoosebni samostojni podjetniki se bodo brez težav znašli z brezplačnimi rešitvami, ki segajo od zastonjskih digitalnih potrdil SIGEN-CA v datotekah in podpisovanja v Adobe Readerju do storitev v oblaku (npr. Rekono). Zmanjka pa za tiste vmes, to so mala in srednja podjetja. Zanje so veliki sistemi hitro predragi, pa za to ni nobene potrebe.
Privoščimo si bogokletno primerjavo s sistemom, ki ga država že nudi zastonj. Ko je država predpisala izdajanje elektronskih računov subjektom javnega sektorja, je malim dobaviteljem ponudila okleščeno, a brezplačno storitev UJP E-račun, ki dovoljuje izdajo do 100 računov letno. Morda bi kaj podobnega in omejenega lahko ponudilo tudi ministrstvo za digitalno preobrazbo. Okleščen sistem za digitalno identiteto v oblaku in skupinsko digitalno podpisovanje, denimo omejen na razumno število dokumentov, bi lahko država ponudila brezplačno, saj ji mora biti v interesu spodbujanje poslovanja in odpravljanje administrativnih ovir.