Digitaalse allkirja autentsuse kontroll: DUER

Unikaalne Riskianalüüsi Dokument (DUER) on Prantsusmaal töökaitse ja -ohutuse vastavuse põhidokument. Määrusega nr 2001-1016 sätestatud 5. novembril 2001, on see kohustuslik kõigi ettevõtete jaoks alates esimesest töötajast. Siiski sõltub selle juriidiline väärtus töö-inspektsiooni kontrolli, õnnetuse või vaidluse korral suures ulatuses selle jäljitavusest ja allkirjade autentsusest, mis seda kinnitavad. Kuidas veenduda, et numbriliselt allkirjastatud DUER ei ole pärast allkirjastamist muudetud? Millised vahendid ja meetodid võimaldavad seda autentsust kontrollida? See artikkel juhendab teid samm-sammult, tehnilistest põhialustest organisatsiooniliste parimade tavadeni.

Miks on DUER allkirja autentsus kriitiline

Õiguslikud ja regulatoorsetd riskid

DUER ei ole tavapärane haldusdokument. Tööõnnetuse, kutsealase haiguse või tööriidete vaidluse korral võib see kohtuule tõendina esitatakse tööandjapoolse ohutusstrateegia. Tööseadustik (artiklid L.4121-1 jne) seab tööandjale tulemuse ohutuse kohustuse, ja DUER on selle hinnangu ametlik tõend.

Kontrollimatu või muudetud digitaalallkiri võib viia järgmisele:

• Dokumendi kehtetuks tunnistamisele kohtu ees tõendina;
• Haldusmaksudele, mis võivad ulatuda 3 750 euroni tööandjate kohta;
• Ettevõtte juhi kriminaalse vastutuse seadmisele õnnetuse korral.

Seadusega nr 2021-1018 (2. august 2021, Töötervishoiu seadus) nõutakse DUER-i värskendamist sagedamini ettevõtetes, kus on rohkem kui 10 töötajat, ja selle säilitamist on pikendatud 40 aastani. See pikk säilitusperiood tugevdab nõuet mittekaduva ja kontrollitava digitaalallkirja järele.

Erinevus skaneeritud ja tõestatud digitaalallkirja vahel

Paljud personalijuhid ja ohutuspotentsiaalid arvavad, et käsikirjalise allkirja skaneerimine PDF-ile piisab. See pole tõsi. Allkirja pilt (skaan) ei garanteeri dokumendi terviklust: faili saab hiljem muuta ilma jäljeta.

Teisalt eIDAS määrusega vastav digitaalallkiri tugineb krüptograafilisele mehhanismile, mis seob allkirjastaja identiteedi dokumendi sisuga pöördumatult. Iga hilisem muutus — isegi väike tühik või number — kehtetuks teeb allkirja ja aktiveerib hoiatuse kontrollimisel.

Digitaalallkirja sõnavara eristab kolme eIDAS poolt tunnustatud taset: lihtne digitaalallkiri (SES), täiustatud (SEA) ja tõestatud (SEQ). DUER-i nagu tundliku dokumendi jaoks on taseme SEA vähemalt soovitatav, taseme SEQ eelistatav regulaarsetele kontrollitavatele ettevõtetele.

Konkreetsed meetodid DUER allkirja autentsuse kontrollimiseks

Kontroll kohalike PDF-lugejate kaudu

Kõige ligipääsetavam meetod on dokumendi avamine Adobe Acrobat Reader'is (tasuta versioon) või ühilduvas PDF-lugejasid. Kui nõuetekohane digitaalallkiri on esitatud, kuvatakse automaatselt allkirja paneel. See näitab järgmist:

1. Allkirjastaja identiteet: nimi, perekonnanimi, organisatsioon ja sertifikaat;
2. Allkirja kuupäev ja kellaaeg, pitserituna krüptograafilise ajatembliga;
3. Tervikluse olek: „Allkiri on kehtiv" või „Dokument on pärast allkirjastamist muudetud";
4. Sertifikaadi usaldusahel: kinnitatud tunnustatud sertifikaadi asutuse poolt.

See kontroll on kohene ja ei nõua ühtegi tellimust. Siiski on see piiratud: kui sertifikaadi väljastaja ametuse sertifikaat puudub tarkvara usaldusloendis (nagu EUTL — Euroopa Liidu usaldusloendsid), võib allkiri kuvatakse kui „kontrollimata" isegi kui see on tehniliselt kehtiv.

Kontroll veebipõhiste kinnitamise teenuste kaudu

Euroopa Komisjon pakub teenust DSS Demo Tools (saadaval ec.europa.eu), mis võimaldab allkirjastatud dokumendis üles laadida ja saada kinnitusraport ETSI EN 319 102 normiga vastavalt. See teenus:

• Kontrollib vastavust XAdES, CAdES, PAdES ja JAdES vormingutele;
• Kontrollib sertifikaadi kehtivust allkirja ajal OCSP või CRL protokollide kaudu;
• Loob JSON või PDF raporti, mis kirjeldab iga kinnitamise sammu.

On ka privaatsed teenused, mille pakuvad usaldusüksuste teenuste pakkujad (QTSP), mis on loetletud riiklikel usaldusloendites. Prantsusmaal avaldab ANSSI akrediteeritud QTSP-de loendi. Liitumispettuse korral DUER kontrollimiseks ühe teenusega on märkimisväärselt parem tõenduslik jõud.

Kontroll algse allkirja platvormi kaudu

Kui DUER-i allkirjastati SaaS lahenduse kaudu nagu Certyneo, on kontroll veelgi otsesem. Iga allkirjastatud dokument loob allkirja sertifikaadi (tuntud ka kui audit aruanne või allkirja jälg), mis arhiveerib:

• Allkirjastaja IP-aadressi ja seansi tunnuse;
• Originaaldokumendi krüptograafilist räsi SHA-256;
• Kvalifitseeritud ajatembli RFC 3161;
• Kasutatud isiksuseidentifikatsiooni tõendid (e-post, SMS OTP, isegi eIDAS tugevate autentimisega).

See aruanne on ise digitaalselt allkirjastatud teenusepakkuja poolt, mistõttu on see võltsimatu ja otse kasutamiseks kohtus tõendina. Certyneo ettevõtete jaoks ehitatud lahendus käsitleb seda mehhanismi omaksjuhiselt kõigi dokumentide, sealhulgas DUER-ite puhul.

Head praktikad allkirja ja DUER säilitamise turvalisuse jaoks

Õige allkirja taseme valimine riskiprofiili järgi

Allkirja taseme valimist ei tuleks jätkata juhusele. DUER-i jaoks siis järgmise arutelu:

| Kontekst | Soovituslik tase | Põhjendus | |---|---|---| | Pisikesed ettevõtted < 10 töötajat, madala riski tegevus | Täiustatud allkiri (SEA) | Kulude ja tõenduslike väärtuste tasakaal | | Väikeettevõtted, tööstus või ehitus | Täiustatud allkiri QSCD sertifikaadiga | eIDAS vastav kõrge tasandil | | Suured ettevõtted, tervishoiu- või keemiatööstus | Tõestatud allkiri (SEQ) | Käsikirjalise allkirjaga samaväärne väärtus |

Tervishoiusektori ettevõtete jaoks vastab digitaalallkiri tervishoius täiendavatele regulatoorsetele nõuetele (HDS, meditsiinilne GDPR), mis põhjendavad süstemaatiliselt kvalifitseeritud allkirja kasutamist.

Ajaajastus ja pikaajaline arhivimine

Töötervishoiu seadusega asetatud 40-aastase DUER-i säilituse nõudega tekib konkreetne küsimus allkirjade kestvusest. Allkirja sertifikaadil on piiratud kehtivusperiood (tavaliselt 1 kuni 3 aastat). Pärast selle tähtaja möödumist võib usaldusahel katki minna.

Lahendus on tõenduslike väärtusega arhiiviteenused (elektroonilise arhiivimise teenused või SAE), mis on seotud pikaajalise ajaajastusega ETSI EN 319 122 normi järgi. See mehhanism, mida nimetatakse ka LTV-ks (Long Term Validation), ajaajastab dokumendi perioodiliselt uuesti, lisades täiendavad tervikluse tõendid, garanteerides selle kontrollitavuse kogu seadusega määratud aja jooksul.

Ärge segage arhiiveerimist ja salvestamist: lihtne failide server või pilveketas ei ole tõenduslike väärtusega arhiiv. Ainult süsteem, mis garanteerib terviklust, loetavust ja juurdepääsu jäljeamist, vastab õiguslikele nõuetele.

Kontrolliprotsess värskenduste ajal

DUER-i tuleb värskendada vähemalt kord aastas ja igal tööolude olulisul muutusele. Iga uus versioon peab erinema eelmisest ja saama allkirja. Ranges protsess hõlmab:

1. Selget versioonihaldurit: versiooninumber, jõustamise kuupäev, muudatuste loend;
2. Uue versiooni allkirjastamist ohutusülemat ja vajaduse korral tööstus- ja ohutusnõukogu (CSE) esindajate poolt;
3. Kõikide eelmiste versioonide säilitamist SAE-s, loetavad ainult lugemiseks;
4. Uuse versiooni tervikluse süstemaatilist kontrolli enne jagamist töö-inspektsioonile või töötervishoiu teenustele.

Nende etappide automatiseerimine platvormi kaudu nagu Certyneo vähendab märkimisväärselt inimlike vigade riske ja garanteerib protsessi pidevat vastavust. Investeeringu tasuvusaja hindamiseks nimetatud lahenduste jaoks saab digitaalallkirja ROI kalkulaator hinnata kasusid sõltuvalt teie organisatsiooni suurusest.

DUER allkirja ja kinnitamise jaoks kohaldatav õigusraamistik

Tööõiguse põhialuseid loovad tekstid

Unikaalse Tööohutuseriskide Hindamise Dokumendi (DUERP) loomise kohustus tuleneb Tööseadustiku artikliest L.4121-1, mis seab tööandjale kohustuse kirjendada ja värskendada ohutusnäitajaid. Määrus nr 2001-1016 (5. november 2001) kehtestas selle ametliku kohustuse. Seadusega nr 2021-1018 (2. august 2021) töötervishoiu tugevdamise kohta pikendati säilituskohustusi 40 aastani ja kehtestati demaaterialiseeritud edastamise nõuded töötervishoiu teenustele ettevõtete jaoks, kus on vähemalt 150 töötajat.

Digitaalallkirja juriidiline väärtus

Tsiviilkoodeksi artikkel 1366 kehtestab põhimõtte: „Digitaalsel kirjal on sama tõenduslik jõud kui paberil olevale kirjal, tingimusel et saab nõuetekohaselt tuvastada selle algaja identiteedi ja see on koostatud ja säilitatud viisil, mis tagab selle tervikluse." Artikkel 1367 täpsustab, et digitaalallkiri „koosneb usaldusväärsest protseduurist, mis garanteerib selle seose dokumendiga, millele see on lisatud".

Määrus eIDAS nr 910/2014 Euroopa Parlamendi ja Nõukogu poolt kehtestab Euroopa usaldusraamistiku elektrooniliste tehingute jaoks. See määratleb kolm allkirja taset (lihtne, täiustatud, tõestatud) ja seab digitaalallkirja ekvivalentsuse käsikirjalise allkirjaga artiklisse 25§2. Täiustatud allkiri, kuigi see ei saa seda seaduse presumptsioonist kasu, on endiselt vastuvõetav tõendusel artiklisse 25§1 põhjal mitteerinemise põhimõte.

Tehnilised viiteraamid

PDF-dokumentide digitaalallkirja vormingud on määratletud ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ja ETSI EN 319 142 (PAdES). Pikaajalise kinnitamise jaoks määratleb ETSI EN 319 102 protsessi algoritmi kontrolli vastavalt eIDAS-ile.

Kvalifitseeritud digitaalajatempel on reguleeritud eIDAS määruse artiklis 41 ja IETF standardis RFC 3161, tagades kuupäeva kindluse, mis on kolmandatele isikutele vastuoluuline.

Isikuandmete kaitse

DUER sisaldab isikuandmeid (töötajate identiteet, teave nende tervise ja ohutuse kohta). Selle töötlemine on allutatud GDPR määrusele nr 2016/679. Digitaalallkiri hõlmab ise allkirjastajate isikuandmete töötlemist. Tööandja kui andmete töötlemise vastutav isik peab veenduma, et allkirja teenusepakkuja on GDPR-nõustav andmete töötlemise lepinguga (DPA) alusel, mis vastab GDPR artikli 28 nõuetele.

Mittevastuvõetavuse riskid

DUER puudumise või mittevastuvastuva allkirjaga DUER-i olemasolu asetab tööandja 3 750 euro suuruse rahatrahvi ohtusse (V klassi rikkumist iga konstateeritud juhtumi kohta). Õnnetuse korral majandusettevõtte juhi kriminaalse vastutuse kasutamine võib tekitada lepitud rahavajadusi, mis toovad kaasa tõusmise summasid ja CPAM-i vastutuse.

Tegeliku kasutamise stsenaariumid

Tööstuse teenusepakkuja töö-inspektsiooni kontrolli ees

Metallidetailide tootmises tegutsenud 85-liikmelise töötajatega väikeettevõte langeb töö-inspektsiooni ootamatu kontrolli alla seoses masina õnnetusega. Inspektrix küsib DUER-i konsulteerimist õnnetuse ajal kehtinud versioonina. Ohutuse vastutava esitab PDF faili, mis on allkirjastatud ettevõtte digitaalallkirja platvormi kaudu.

Dokumendile lisatud auditi sertifikaadi tänu saab inspektrix kontrollida reaalajas: allkirja kuupäeva ja kellaaega (õnnetusele eelnev), allkirjastaja identiteeti (volitatud tootmisjuht), dokumendi terviklust (SHA-256 räsi intakt) ja allkirja taseme vastavust (täiustatud kvalifitseeritud sertifikaadiga). Ettevõte suudab tõendada, et risk oli tuvastatud ja parandavaid meetmeid plaaniti. See fail välitab karmide petisuse kvalifitseerimist. CNAM-i aastaraporti andmete põhjal vähendavad ettevõtted, millel on tugev dokumentide jälgitavus, oma regressiooni 30-45 protsendi võrra.

Konsultantide RH kabinetis, kes haldustavad mitme kliendi DUER-e

Kolmekümne töötajaga RH-konsultatsiooni kabinet juhendab neljaks kümneks väike- ja väikeettevõtteid nende DUER-ide kirjutamises ja igaaastases uuendamises. Seni saadeti dokumendid e-postiga, mitte allkirjastatud PDF-failidena, seejärel käsitsi allkirjastatud ja skannitud.

Pärast üleminekut SaaS digitaalallkirja lahendusele allkirjastavad iga DUER-i klient juhataja veebis vähem kui 3 minutiga. Kabinetil on kesksete armatuurlaud, mis võimaldab kontrollida igal ajal iga dokumendi olekut: allkirjastatud, ajaajastatud, arhiivitud. Kui kliendi küsib eelmise versiooni kehtivuse kohta, on autentsuse kontroll vähem kui 30 sekundit. E-postiga saadeti relatsiooniaja ja dokumendi halduse poole kuluv aeg on vähenenud umbes 60 protsendi võrra, vastavalt RH-konsultantide sektoriaalsetele võrdlusandmetele.

Tervishoiuettevõtete rühmitus DUER-eid haldustavad

Umbes 600 voodiga koosnevat tervishoiuteenuste ja hooldusasutuste ettevõtete rühm peab haldutsema mitme saidi DUER-e, sealhulgas keemiliste, bioloogiliste ja psühhosotsiaalsete riskide jaoks. Seaduse nõutud 40-aastane säilitusperiood ja mitme allkirjastaja (saitide direktorid, töötervisearstid, CSE esindajad) eelistused muudavad jälgimise eriti keeruliseks.

Rühm juurutab digitaalallkirja lahenduse tõestatud tasandil koos tõenduslike väärtusega arhiivimise ja pikaajalise ajaajastusega. Iga DUER versiooni on krüptograafiliselt paigaldatud ja ajaajastus uuesti kolmeks aastaks, et säilitada usaldusahel. ARS-i revideerimisel või vaidluse korral saab mis tahes ajalooline versioon välja tõmmata koos täieliku validatsiooni aruandega. See organisatsioon on võimaldanud vähendada inspektsioonide ettevalmistamise aega umbes 70 protsendi võrra, võrreldes vanema hübriidse paber-digitaalsüsteemiga.

Kokkuvõte

Digitaalse allkirjaga dokumendi autentsuse kontroll DUER-i jaoks pole valikuline formaliteet: see on õiguslik ja organisatsiooniline vajadus. Tööseadustikust tulenevate kohustuste, 2021. aastast nõutud 40-aastase säilitusperioodi ja õnnetuse korral tekkinud vastutuse riskide vahel on ainult tugev digitaalallkiri — täiendatud usaldusväärsete kontrollvahenditega — tagab DUER-i täieliku tõenduslikke väärtuse.

Kas kasutate PDF-lugejat, Euroopa kinnitamise teenust või otse allkirja platvormi, on peamine integreerida see kontroll dokumenteeritud ja korratavasse protsessi.

Certyneo võimaldab teil DUER-e allkirjastada, kontrollida ja arhiivida täielikul eIDAS vastavusega, täieliku audiidi jäljega ja integreeritud tõenduslike väärtusega arhiiviga. Looge tasuta konto Certyneo-l ja turvake täna teie ennetamisdokumentide juriidilised väärtused.