Hvor sikkert er Penneo?

Hos Penneo er sikkerheten for dine digitale dokumenter vår absolutte førsteprioritet.

Robuste sikkerhetskrav

Digital signatur er den mest avanserte og sikre type elektronisk signatur. Disse kan brukes til å overholde de mest krevende juridiske og regulatoriske krav. Dette er fordi denne type signatur gir den største grad av sikkerhet for underskriverens identitet (autentisering) og sikkerhet for dokument-innholdets integritet.

For å støtte de robuste sikkerhetskravene for å håndtere digitale dokumenter og signaturer, er hele prosessen hos Penneo utviklet rundt to hovedkategorier: Teknisk sikkerhet for en signatur og Penneos operasjonelle sikkerhet. Den tekniske sikkerhet omfatter de gjeldende prinsipper og teknologier som brukes til å produsere det digitale dokumentet, mens den operative sikkerheten vedrører sikkerhet i hosting, databehandling og interne sikkerhetsprosedyrer.

 

Signaturer og teknisk sikkerhet

For å være gyldig må en signatur, digital eller fysisk, oppfylle tre grunnleggende krav:

  1. Autentisering av underskriver
  2. Dokumentet og innholdets integritet
  3. “Ikke-benekting”

 

Autentisering av underskriver

Krav om sikkerhet for hvem som har signert dokumentet. Digital signatur med Penneo krever en sertifikatbasert digital ID, PIN og et unikt digitalt sertifikat for å godkjenne underskriverens identitet og demonstrere bevis på signering. For å øke sikkerheten ytterlig skrives også en unik PID (Personal Identifier) ​​på dokumentet, som også sikrer at underskriverens sertifikat er kryptografisk bundet til dokumentet.

Penneo identifiserer underskrivere ved hjelp av digitale IDer utstedt av Trusted Service Providers (TSPs) eller Certificate Authorities (CAs). I Norge og Sverige er BankID den mest utbredte identitetsløsningen, og i Danmark er NemID den sikreste måten å knytte en digital signatur til en fysisk person på.

Dokumentet og innholdets integritet

Penneo er utviklet for å holde dokumentene dine originale og sikre, og forhindre manipulering av dokumentet under og etter signeringsprosessen. Når en digital signature er satt ved hjelp av Penneo, påtrykkes dokumentet et unikt "vannmerke"-ID. I tillegg blir det opprettet en såkalt “kontrollsum” basert på dokumentets innhold inkl. vannmerket. Når den digitale signaturen er satt på dokumentet blir hele forsendelsen “signert” av Penneo, på en måte så Penneo fungerer som en slags “notar“ for det signerte dokumentet. Dette gir sikkerhet for at hverken dokument eller signaturer har blitt endret, samtidig som det gjør det veldig enkelt å kontrollere om det signerte dokumentet har blitt endret etter det ble signert. Hvis dokumentet endres etter signering mister signaturen sin ugyldighet.

“Ikke-benekting”

Penneo sikrer også dokumentasjon av hensikt og samtykke, for å sikre at underskriver har til hensikt å signere og samtykker til å gjøre forretning elektronisk. Penneo forsikrer dette på to måter: For det første kan en digital signatur kun settes på et dokument gjennom Penneo plattformen. Dette sikrer at brukeren har blitt informert om konsekvensene av hans handlinger og at brukeren har hatt muligheten til å lese dokumentet. På den annen side må underskriveren godta en erklæring og et samtykke som en del av underskriften på dokumentet. I tillegg inneholder erklæringen en oversikt over de dokumentene som er signert, samt hvilken rolle man signerer som. Denne erklæringen lagres som en del av selve signaturen og tjener dermed som ytterligere bevis for signaturens gyldighet.

 

Den operasjonelle sikkerheten hos Penneo

Følsomme og forretningskritiske data må forvaltes med høy omsorg og sikkerhet. I Penneo jobber vi hardt for å sikre at vår løsning er så sikker som mulig, og fra autentisering til kryptering følger alt vi gjør de strengeste sikkerhetskrav. Hos Penneo blir den digitale dokumenthåndteringsløsningen utviklet, beskyttet og omgitt av det høyeste sikkerhetsnivået - helt fra utviklingen av den digitale signaturen og til at de signerte dokumentene arkiveres og lagres.

Sertifiseringer og kryptering

Penneo er ISAE 3000 sertifisert av KPMG. Følsom og forretningskritiske data administreres med høy sikkerhet og omsorg, og krypterte følsomme data og Personlig Identifiserbar Informasjon (PII) følger kryptografiske standarder definert av NIST. Utover dette er det lagt særlig vekt på dokumentets bærekraftighet og mulighet for langsiktig validering (LTV) slik at dokumenter, signeringer og kryptografiske beviser kan verifiseres - selv om plattformen som håndterte forsendelsen  er utilgjengelig.

PAdES standard

Penneo er bygget på PAdES, den best definerte standarden for digitalt signerte dokumenter. I EU styres standardene for digital signering av dokumenter hovedsakelig av ETSI (European Telecommunications Standards Institute, etsi.org), primært gjennom PAdES-standarden. PAdES definerer en spesifikk struktur for kryptografiske beviser i PDF-dokumentet som skal oppfylles for å forsikre LTV, i tillegg til at underskriverens sertifikat er kryptografisk bundet til dokumentet ved hjelp av en godkjent digital ID, slik det kreves av eIDAS-forskriften (electronic IDentification, Authentication and Trust Services).

Signaturens gyldighet

For å sikre at dokumentet ikke mister sin juridiske gyldighet lagres alle tekniske beviser på en signatur som vedlegg i den ferdige PDF-filen. Dette betyr at det signerte dokumentet allerede inneholder alt som trengs for at bekrefte signaturens ektehet og gyldighet. Dette kan gjøres i vårt valideringsverktøy, men også gjennom en hvilken som helst annen PAdES-kompatibel validering plattform.

 

Hvorfor bør du kommunisere om sikkerhet på din hjemmeside?

Hos Penneo oppfordrer vi våre kunder til å kommunisere om de anstrengelsene de gjør når det gjelder sikkerhet. Å samarbeid med selskaper som har høye sikkerhetsstandarder styrker et troverdig ansvar som en bedrift. 

Klikk her for mer informasjon og kommunikasjonseksempel på hvordan Penneo automatisk høyer sikkerhetsstandarden for virksomheten din.