Hur säkert är Penneo?

På Penneo är säkerheten kring digitala dokument vår absolut högsta prioritet.

Strikta säkerhetskrav

En digital signatur är den mest avancerade och säkra sorten av elektroniska signaturer. Dessa kan användas för att uppfylla de mest krävande juridiska och lagstadgade krav eftersom de ger högsta möjliga säkerhet för undertecknarens identitet (autentisering) och handlingarnas äkthet.

För att stödja de strikta säkerhetskraven, så har Penneos digitala signaturprocess utvecklats kring två huvudkategorier: Den tekniska säkerheten av signaturen och driftsäkerheten hos Penneo. Den tekniska säkerheten omfattar principerna och teknologin som ligger bakom framkomsten av det digitala dokumentet. Driftsäkerheten berör säkerhetsaspekterna kring underhållande, behandling av data samt interna säkerhetsrutiner.

 

Signatur och teknisk säkerhet

För att en signatur ska vara giltig, digital eller fysisk, måste följande tre grundläggande krav uppfyllas:

  1. Säkerhet avseende undertecknarens identitet (autentisering)
  2. Säkerhet avseende innehållets integritet (integritet)
  3. Säkerhet mot undertecknarens möjlighet att förneka sin signatur (oförnekbarhet)

 

Autentisering

Detta krav säkerställer undertecknarens identitet. En digital signatur med Penneo kräver ett certifikatbaserat digitalt ID, PIN och ett unikt digitalt certifikat för att autentisera undertecknarens identitet och bevisa signeringen. För att ytterligare stärka säkerheten, så tillämpas också ett unikt PID (Personal Identifier) på dokumentet, vilket även garanterar att undertecknarens certifikat är kryptografiskt bundet till dokumentet.

Penneo identifierar undertecknare med hjälp av digitala ID:n utfärdade av Trusted Service Provider (TSP) eller Certificate Authorities (CAs). I Norge och Sverige är BankID den mest använda identitetslösningen, och i Danmark är NemID det säkraste sättet att knyta en digital signatur till en fysisk person.

Innehållets integritet

Penneo är utformat för att hålla dina dokument säkra och förhindra att dokumentet manipuleras både under och efter signeringsprocessen. När en digital signatur utfärdas av Penneo så är dokumentet först tryckt med ett unikt “vattenmärke” ID. Därefter skapas en så kallad “checksum” som inkluderar vattenmärket och är baserat på dokumentets innehåll. När den digitala signaturer har applicerats på dokumentet blir hela paketet signerat av Penneo. Man skulle kunna säga att Penneo fungerar som en slags notarie för det signerade dokumentet. Detta säkerställer att varken dokumentet eller signaturen har modifierats, samtidigt som det är mycket enkelt att kontrollera ifall det signerade dokumentet har ändrats efter att det har undertecknats. Om dokumentet ändras efter signering, ogiltigförklaras den digitala signaturen.

Oförnekbarhet

Penneo säkerställer också dokumentation av avsikt och samtycke för att säkerställa att undertecknaren avser att underteckna och samtycka till att göra affärer elektroniskt. Penneo ger ett säkert skydd mot detta på två sätt. För det första kan en signatur med Penneo endast appliceras på ett dokument via Penneos signaturplattform. Detta garanterar att användaren har blivit informerad om konsekvenserna av sina handlingar samt att användaren fått möjlighet till att läsa igenom dokumentet. För det andra, måste undertecknaren acceptera en deklaration och ett samtycke som en del av underskriften på dokumentet. Dessutom innehåller uttalandet en överblick av dokumenten som är signerade och vilken roll användaren besitter i ärendet. Meddelandet är sparat som en del av själva signaturen och verkar därmed som ytterligare bevis för signaturens validitet.

 

Driftsäkerheten hos Penneo

Känslig och affärskritisk data måste hanteras med aktsamhet och med hög säkerhet. Allt som Penneo erbjuder följer högsta säkerhetsstandard, från autentisering till kryptering. Att garantera felfri säkerhet är en daglig satsning. Hos Penneo är den digitala signeringslösningen utvecklad, skyddad och omgiven av högsta möjliga säkerhetsnivå - allt från själva skapandet av den digitala signaturen till tidpunkten då de signerade dokumenten arkiveras och lagras.

Certifieringar och kryptering

Penneo är ISAE 3000 certifierade av KPMG. Känslig och affärskritisk data hanteras med hög säkerhet och vård, och kryptering av känslig data och Personligt Identifierande Information (PII) följer krypteringsstandard enligt NIST. Dessutom möjliggör PAdES långtidsvalidering (“LTV”; “Long Term Validation”) att dokumentets krypterade bevis kan verifieras även ifall tjänsteleverantören som skapade det signerade dokumentet försvunnit från marknaden.

PAdES standard

Penneo är byggt på PAdES, vilket är den mest erkända standarden för digitalt signerade dokument. Inom EU regleras digitala signaturer i första hand av standardiseringsorganisationen ETSI (European Telecommunications Standards Institute, etsi.org), främst genom PAdES-standarden. PAdES definierar en specifik struktur för kryptografiska bevis till PDF-filer som ska uppfyllas för att försäkra LTV, utöver att undertecknarens certifikat är kryptografiskt bundet till dokumentet med ett godkänt digitalt ID, enligt kraven i eIDAS (electronic IDentification,Authentication and Trust Services).

Signaturens giltighet

För att säkerställa att dokumentet aldrig förlorar sin juridiska validitet så bevaras det tekniska beviset av signaturen som en typ av bilaga i den slutgiltiga PDF-filen. Det innebär att det undertecknade dokumentet redan innehåller de komponenter som krävs för att validera signaturen. Detta kan göras via Penneos validator eller genom annan PAdES-kompatibel valideringsplattform.