Hvor sikkert er Penneo?

Hos Penneo, stiller vi sikkerheden for vore digitale dokumenter som vores absolutte førsteprioritet.

Robuste sikkerhedskrav

Digitale signaturer er den mest avancerede og sikre type elektronisk signatur. De kan bruges til at overholde de mest krævende juridiske og lovmæssige krav, fordi de giver den størst grad af sikkerhed for underskriverens identitet og indholdets integritet.

Den digitale signatur proces hos Penneo er udviklet omkring to hovedkategorier for at understøtte de robuste sikkerhedskrav: Underskriftens teknisk sikkerhed og Penneos operationelle sikkerhed. Den tekniske sikkerhed vedrører de principper og teknologier, der anvendes for at producere det underskrevne dokument, mens den operationelle sikkerhed vedrører sikkerhed i forbindelse med hosting, databehandling og interne sikkerhedsprocedurer.

 

Underskriftens tekniske sikkerhed

For at være valid skal en underskrift, digital eller fysisk, opfylde tre grundlæggende krav:

  1. Autentisering af underskriver
  2. Dokumentet og indholdets Integritet
  3. “Ikke-benægtelse”

 

Autentisering af underskriver

Dette krav foreskriver, at vi skal have sikkerhed for, at vi kan være sikker på præcis hvem, der har underskrevet. Digital signatur med Penneo kræver et certifikatbaseret digitalt ID, PIN, plus et unikt digitalt certifikat til at autentificere signaturer og demonstrere bevis for underskrift. For at øge sikkerheden yderligere bliver der også påtrykt et unikt PID (Personal Identifier) på dokumentet, hvilket sikrer, at underskriverens certifikat er kryptografisk bundet til dokumentet.

Penneo identificerer underskrivere ved hjælp af digitale ID'er udstedt af Trusted Service Providers (TSPs) eller Certificate Authorities (CAs). I Norge og Sverige er BankID den mest udbredte identitetsløsning, og i Danmark er NemID den sikreste måde at knytte en digital signatur til en fysisk menneske på.

Dokumentet og indholdets Integritet

Penneo er udviklet for at holde dine dokumenter sikre og forhindre manipulation af et dokument under og efter underskriftsprocessen. Når der sættes en digital signatur med Penneo, påtrykkes dokumentet et unikt “vandmærke” ID, hvorefter der dannes en såkaldt kontrolsum på baggrund af dokumentet inkl. vandmærke. Derefter, når den digitale signatur er blevet sat på dokumenter, bliver hele pakken underskrevet af Penneo. Man kan sige, at Penneo fungerer som en slags notar på det underskrevne dokument. Dette giver sikkerhed for, og nemt at kontrollere, at der hverken er ændret i dokumentet eller signaturene, efter et dokument har blevet underskrevet. Hvis dokumentet ændres efter underskrivelsen, er den digitale signatur ugyldiggjort.

“Ikke-benægtelse”

Penneo sikrer også at dokumentere hensigt og samtykke, for at sikre, at underskriveren har til hensigt at underskrive og samtykke til at drive forretning elektronisk. Dette sikrer Penneo på to måder: For det første at en Penneo-underskrift kun kan påføres et dokument igennem Penneos signeringsplatform. Dette sikrer dels, at brugeren er blevet orienteret om konsekvenserne af hans handlinger, og at brugeren har haft mulighed for at gennemlæse det pågældende dokument. For det andet, skal underskriveren acceptere en erklæring og et samtykke som et led i underskrivelsen af dokumentet. Desuden indeholder erklæringen en oversigt over de dokumenter, der underskrives, samt hvilken rolle man underskriver som. Denne erklæring lagres som en del af selve signaturen og tjener dermed som yderligere bevis for underskriftens gyldighed.

 

Den operationelle sikkerhed hos Penneo

Sensitive og forretningskritiske data skal behandles med høj sikkerhed og respekt. Fra autentisering til kryptering bliver alt håndteret med de højeste sikkerheds procedurer. At sikre sikkerheden er i top er en opgave idag, imorgen og for al fremtid. Hos Penneo er den digitale dokument løsningen udviklet, beskyttet og omgivet af det højeste sikkerhedsniveau - fra oprettelsen af ​​den digitale signatur til det tidspunkt, hvor de underskrevne dokumenter arkiveres.

Certificeringer og kryptering

Penneo er ISAE 3000 certificeret af KPMG. Sensitive og forretningskritiske data behandlet med høj sikkerhed og respekt, og krypterede sensitive data og Personlig Identificerbare Oplysninger (PII) følger de kryptografiske standarder, der er defineret af NIST. Derudover er der taget specifikt hensyn til dokumenters “langtidsholdbarhed” (LTV), således at dokumentets kryptografiske bevis kan efterprøves selv efter at den platform, der skabte dokumentet, er blevet utilgængelig.

PAdES standard

Penneo er bygget på PAdES, den bedst definerede standard for digitalt underskrevne dokumenter. I EU styres standarderne for digital signering af dokumenter primært af ETSI instituttet (European Telecommunications Standards Institute, etsi.org), primært i gennem PAdES standarden. PAdES definerer en specifik opbygning af det kryptografiske bevis i PDF-dokumentet, med henblik på at opfylde LTV, og at underskrivers certifikat er kryptografisk bundet til dokumentet med et godkendt digitalt ID, som krævet af eIDAS-forordningen (electronic IDentification, Authentication and trust Services).

Signaturens gyldighed

For at sikre at dokumentet aldrig mister sin juridiske validitet gemmes det tekniske bevis for underskriften som en slags vedhæftning i den færdiggjorte PDF. Det betyder, at det underskrevne dokument allerede indeholder alt, hvad man har brug for for at efterprøve underskriftens validitet. Dette kan ske i gennem Penneos validator, men også igennem enhver anden PAdES-kompatibel validerings-platform.

 

Hvad betyder det at være transparent omkring din virksomheds sikkerhedsløsninger?

Hos Penneo opfordrer vi vores kunder til at kommunikere om bestræbelserne de gør med hensyn til sikkerhed. Samarbejde med andre virksomheder der arbejder med høje sikkerhedsstandarder giver en troværdig ansvarlighed for en virksomhed.

Klik her for at finde mere information og eksempler på hvordan man udviser åben kommunikation og om hvordan Penneo automatisk tilføjer høje sikkerhedsstandarder til din virksomhed.