Tikrinti elektroniškai pasirašyto dokumento autentiškumą telekomunikacijų sektoriuje

Įvadas: kodėl dokumentų autentiškumas yra kritiškas telekomunikacijų sektoriuje

Telekomunikacijų sektoriuskasdien apdoroja milijonus kontraktų: įmonių abonementus, tarpoperatoriaus susitarimus, paslaugų lygio sutartis (SLA), tarifų papildymus ir norminius dokumentus, kurie pateikiami ARCEP. Šioje aplinkoje, kurioje yra didelis kontraktų kiekis, patikrinti elektroniškai pasirašyto dokumento autentiškumą telekomunikacijų sektoriuje nėra pasirenkama formalybė — tai operacinis ir juridinis reikalavimas. Negaliojanti arba nepatikrinta elektroninė parašas gali sukelti kontrakto negaliojimą, ekspoziciją operatoriui iš partnerių ir klientų bylinėjimosi, ir sukurti reguliacinį trūkumą kontrol­iuojančių institucijų atžvilgiu. Šis straipsnis detalizuoja patikrinimo mechanizmus, turimuos įrankius ir geriausias praktikas, kurias reikėtų taikyti atsižvelgiant į riziką.

---

Suprasti, ką reiškia elektroniškai pasirašyto dokumento „autentiškumas"

Trys pagrindiniai galiojančios elektroninės parašo stulpai

Prieš kalbant apie patikrinimą, reikia paaiškinti, ką tiksliai kontroliuojame. Suderintas elektroninis parašas remiasi trimis pagrindinėmis garantijomis:

• Dokumento integrumas: failas nebuvo pakeistas po parašo. Bet koks pakeitimas, net mažas, paneigia parašą.
• Pasirašiusiojo tapatybė: asmuo, kuris pasirašė, yra tikrai tas, kuris juo prisistato, identifikuojamas per skaitmeninį sertifikatą, išduotą kvalifikuoto Pasitikėjimo Paslaugų Teikėjo (PPT).
• Nesugrąžinamas prisisakymas: pasirašantysis negali neigti, kad jis pasirašė, dėl kvalifikuoto laiko žymos ir veiksmų seklumo.

Šie trys stulpai atitinka eIDAS reglamento keliamus reikalavimus ir jo parašų lygius, kurie skiria paprastą, sutvirtintą ir kvalifikuotą parašą. Telekomunikacijose komerciniai B2B kontraktai paprastai remiasi sutvirtintu arba kvalifikuotu parašu, priklausomai nuo įsipareigojimų kritikalumo.

Skaitmeninių sertifikatų pasitikėjimo grandinė

Kiekvienas elektroninis parašas yra grįstas X.509 skaitmeninį sertifikatą, išduotą pripažintos Sertifikavimo Institucijos (SI). Ši SI pati priklauso hierarchinei pasitikėjimo grandinei, kurios šaknis validuojama Europos lygiu akredituotų organizacijų. Telekomunikacijų operatoriai, kurie dirba su tarptautiniais partneriais, šis aspektas yra svarbus: sertifikatas, išduotas Prancūzijoje kvalifikuoto PPT, yra automatiškai priimtas visoje Europos Sąjungoje.

Dėl daugiau informacijos apie parašo mechaniką, Certyneo pilnas elektroninės parašo vadovas pateikia visus formatukus, lygius ir sektoriaus atvejus.

---

Techniniai metodai, skirti patikrinti elektroniškai pasirašyto dokumento autentiškumą

Patikrinimas per PDF parašo skaitytuvą (Adobe Acrobat, Foxit ir kt.)

Pirmasis patikrinimas, prieinamas kiekvienam darbuotojui, atliekamas tiesiogiai PDF skaitytuve. Adobe Acrobat Reader rodo bet kuriam dokumentui, pasirašytam PAdES (PDF Advanced Electronic Signatures) formatu, būseną juostą, nurodančią:

• Parašo galiojimą (sertifikatas baigėsi arba panaikintas?)
• Pasirašiusiojo tapatybę (vardą, organizaciją, SI išdavėją)
• Parašo datos ir laiko ženkl
• Dokumento integrumą (bet koks pakeitimas po parašo yra nurodomas)

Šis patikrinimas yra greitas, bet ribojamas: jis priklauso nuo interneto prieinamumo panaikinimo sąrašams (CRL/OCSP) ir reikalauja, kad skaitytuvas turėtų atnaujintus šakninių sertifikatų. Tai tinka vienetiniams patikrinimams, ne pramonės apdorojimui.

Patikrinimas per internetinius validavimo paslaugų

Didesniam patikimumui, kvalifikuoti validavimo paslaugai siūlo standartizuotą patikrinimą. Europos Komisijos DSS (Digital Signature Services) paslauga, prieinama internete, leidžia patikrinti XAdES, CAdES ir PAdES formatus pagal ETSI EN 319 102 standartus. Ji sukuria struktūruotą validavimo ataskaitą (SVR — Signature Validation Report), kurią galima naudoti audito procesuose.

Didelio apimties apdorojimo kontekste — telekomunikacijų operatorius per mėnesį gali pasirašyti dešimis tūkstančių dokumentų — automatizuoto validavimo paslaugos API integravimas tampa nepaprastai svarbus. Certyneo nuo pradžios pasiūlo šią funkciją savo platformoje, leidžiančią teisės ir techniniams skyriams realiame laike validuoti kiekvieną gautą dokumentą.

Kvalifikuoto laiko žymos patikrinimas

Kvalifikuota laiko žyma (pagal ETSI EN 319 421 standartą) suteikia neabejotiną įrodymą apie parašo datą ir laiką, nepriklausomai nuo šaltinio sistemos. Išduotuvų kontraktinių ginčų metu — dažnos telekomunikacijose dėl nutraukimo arba baudų sąlygų — dažnai laiko žyma nulemia dokumento priimtinumą bylose.

Pilnas autentiškumo patikrinimas turi vienu metu kontroliuoti: patį parašą, pasirašiusiojo sertifikatą ir laiko žymą. Šie trys elementai sudaro nedalomą trynį bet kuriame griežtame validavimo procese.

---

Telekomunikacijų sektoriaus ypatumai: apimtys, formatai ir reguliaciniai reikalavimai

Apimčių valdymas ir patikrinimų automatizavimas

Vidutinio dydžio telekomunikacijų operatorius (10–50 milijonų abonentų) gali pagaminti potencialiai kelis milijonus dokumentų, pasirašytų per metus: abonementų sutartis, papildymus, SEPA mandatus, portabilumo patvirtinimus, roaming sutartis. Rankinis patikrinimas šioje skalėje yra struktūriškai neįmanomas.

Patikrinimų automatizavimas per integruotus workflow'us operatoriaus IT sistemoje tampa būtinybiniu. SaaS sprendimai, tokie kaip Certyneo, siūlo REST API, leidžiančius realiame laike paprašyti dokumento galiojimo būsenos ir rezultatą įterpti į CRM, ERP arba GED sistemą.

Komandoms, norinčioms palyginti rinkoje esančius sprendimus prieš įsigyjant, elektroninės parašo sprendimų palyginimas leidžia įvertinti validavimo funkcijas pagrindinių veikėjų.

ARCEP pareigos ir sektoriaus standartai

Elektroninių komunikacijų, pašto ir spaudos platinimo reguliavimo institucija (ARCEP) reikalauja operatorių saugoti ir bet kuriam tikrinimui metu pateikti jų kontraktinių dokumentus. Šis dokumentų seklumo reikalavimas sujungiamas su GDPR reikalavimais, susijusiais su asmenies duomenimis, susietais su parašais (pasirašiusiojo tapatybė, IP adresas, sutikimas), saugiai laikyti.

Be to, operatoriai, kuriems taikoma NIS2 direktyva (perkeltas į Prancūzijos teisę spalio 26, 2024 m. įstatymu), turi įtraukti autentiškumo patikrinimą į savo kibernetinio saugumo rizikos valdymo planą. Falsifikuotas dokumentas arba sudarytas parašas yra saugumo incidentas NIS2 prasme, su privalomybė pranešti ANSSI per 24 valandas esminėms esybėms.

Elektroninis archyvavimas su įrodyme: telekomunikacijų imperatyvas

Dokumentų saugojimo trukmė telekomunikacijose skiriasi pagal dokumento tipą: 2 metai vartojimo kontraktams (Vartotojų kodekso 224-30 straipsnis), 5 metai prekybos kontraktams (Prekybos kodekso 110-4 straipsnis) ir iki 10 metų kai kuriems fiskaliniams dokumentams. Elektroniškai pasirašytas dokumentas turi likti patikrinamas visą šią trukmę.

PAdES LTV (Long Term Validation) formatas atitinka šį poreikį: jis įterptas PDF faile visą informaciją, reikalingą būsimam patikrinimui (sertifikatai, CRL, laiko žymos), net po originalaus sertifikato galiojimo pabaigos. Telekomunikacijoms šį formatą naudoti nuo pat parašo yra neabejotina gera praktika, kurią komandos gali pagilinti elektroninės parašo vadovo versle.

---

Įrankiai ir rekomenduojamos procedūros telekomunikacijų komandoms

Patikrinimo proceso valdymas priėmime

Kiekvienas elektroniškai pasirašytas dokumentas, gautas iš išorinio partnerio (prieigos teikėjo, įrangos gamintojo, valdomų paslaugų teikėjo), turi būti sistemingai validuojamas prieš apdorojimą. Rekomenduojama procedūra apima:

1. Formato nustatymas: PAdES, XAdES arba CAdES pagal dokumento tipą
2. Sertifikato patikrinimas: parašo lygis (paprastas/sutvirtintas/kvalifikuotas), SI šaltinis, galiojimo pabaiga
3. Panaikinimo kontrolė: realinio laiko CRL arba OCSP protokolo konsultacija
4. Integrumo validavimas: kriptografinės hešo kontrolė (mažiausia SHA-256)
5. Validavimo ataskaitos archyvavimas: SVR saugojimas taip pat kaip originalus dokumentas

Šis procesas gali būti integruotas į darbo įrankius per validavimo paslaugų ekspozuotas API. Certyneo pagalbos centras siūlo integravimo vadovus pagrindinėms sistemoms (Salesforce, SAP, Microsoft 365).

Teisės ir pirkimo komandų mokymas

Techninis patikrinimas yra būtinas, bet nepakankamas. Teisės ir pirkimo komandos turi suprasti, ką reiškia teigiamas arba neigiamas validavimo ataskaita, ir žinoti, kaip reaguoti į negaliojantį parašą. 2–4 valandų mokymas paprastai apima pagrindus: parašo lygius, DSS ataskaitos skaitymas, problemų sprendimo procedūras.

Pagrindiniai rodikliai, kuriuos reikėtų stebėti validavimo ataskaitoje:

• TOTAL_PASSED: visi patikriniai buvo sėkmingi — dokumentas galioja
• INDETERMINATE: patikrinimas negalimas dėl informacijos trūkumo (sertifikatas nerastas, OCSP neprieinamas) — reikalavinti naują versiją iš pasirašiusiojo
• TOTAL_FAILED: parašas negalioja arba dokumentas pakeistas — sisteminis atmetimas ir pranešimas

Patikrinimo integravimas į kontraktinį due diligence

Telekomunikacijų turto valdymo ar pardavimo operacijose duomenų kambariuose yra tūkstančiai elektroniškai pasirašytų dokumentų. Jų autentiškumo patikrinimas yra integrinė teisės due diligence dalis. Specialistų teisėjų komandos naudoja masinio audito įrankius visam dokumentų kūnui validuoti per kelias valandas, kai rankinis patikrinimas užimtų savaites.

Teisinė sistema, taikoma dokumentų parašo patikrinimui telekomunikacijose

Elektroniškai pasirašyto dokumento autentiškumo patikrinimas įsisavintas į intensyvią norminę aplinką, kurią sudaro Europos ir nacionaliniai tekstai, kurių geranybę turi valdyti telekomunikacijų sektoriaus veikėjai.

eIDAS Reglamentas Nr. 910/2014 (ir jo peržiūra eIDAS 2.0): šis reglamentas yra elektroninės parašo teisinės pripažinimo pagrindas Europos Sąjungoje. 25 straipsnis nustato nediskriminacijos principą: elektroninės parašas negali būti atmestas kaip įrodymas vien todėl, kad jis elektroninis. 26 straipsniai (sutvirtintas parašas) ir 28 (kvalifikuotas parašas) nusako minimalius techninius reikalavimus. eIDAS 2.0 peržiūra (Reglamentas ES 2024/1183, taikytinas nuo 2026 m.) sustiprina sąveikumo reikalavimus ir įveda Europos Skaitmeninės Tapatybės Portfelį (EUDI Wallet), kuris tiesiogiai paveiks identifikavimo procesus telekomunikacijose.

Prancūzijos Civilinis kodeksas, 1366 ir 1367 straipsniai: 1366 straipsnis pripažįsta elektroninį rašytą kąip įrodymą tokiu pat pagrisu, kaip popierinis raštas, su sąlyga, kad jo autorius gali būti tinkamai identifikuotas ir dokumentas saugomas sąlygomis, garantuojančiomis jo integrumą. 1367 straipsnis nusako patikimą elektroninę parašą kaip tą, kuris naudoja identifikavimo procedūrą, garantuojančią jo ryšį su jį susietu dokumentu. Šios nuostatos visapusiškai taikomos telekomunikacijų sutartims.

ETSI standartai: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 162 (PAdES) standartai nusako sutvirtintos parašo formatų. ETSI EN 319 102-1 standartais nusako validavimo algoritmus. Šie standartai privalomai įgyvendinami PPT, nurodytų nacionaliniuose pasitikėjimo sąrašuose.

GDPR 2016/679: metaduomenys, susiję su elektronine parašu (IP adresas, parašo laikas, tapatybės duomenys), yra asmeniniai duomenys GDPR prasme. Jų rinkimas, saugojimas ir apdorojimas turi remtis nustatyta teisine baze (kontrakto vykdymas, 6.1.b straipsnis) ir turi turėti apibrėžtą saugojimo trukmę operatoriaus duomenų apdorojimo registre.

NIS2 direktyva (perkeltas Prancūzijos teisėje įstatymu Nr. 2024-1416 iš 2024 m. lapkričio 20): telekomunikacijų operatoriai patenka į esminių esybių kategoriją, kurioms taikoma NIS2. Jie turi įtraukti parašo ir dokumentų patikrinimo procesų saugumą į savo kibernetinio saugumo rizikos valdymo politiką ir pranešti apie bet kokį reikšmingą saugumo incidentą ANSSI per reguliavimo terminus (24 valandos pradiniam pranešimui, 72 valandos tarpinei ataskaitai).

Dekretus Nr. 2017-1416 iš 2017 m. rugsėjo 28: šis tekstas paaiškina sąlygas, kuriomis elektroninis kvalifikuotas parašas yra laikomas patikimu Prancūzijos teisėje, suderindamas su Civilinio kodekso 1367 straipsnio. Telekomunikacijų operatoriai, naudojantys kvalifikuotą parašą, gauna teisinę patikimumo prielaida, keičiančią įrodymo krūvį bylose.

Panaudojimo scenarijai: dokumentų patikrinimas telekomunikacijose

Scenarijus 1: regioninis operatorius, patikrinus tarpoperatoriaus tarpusavio ryšio sutartis

Telekomunikacijų operatorius, valdantis apie 3000 tarpoperatoriaus tarpusavio ryšio sutarties, iš kurių yra su kitais nacionaliniais ir tarptautiniais operatoriais, įdiegė automatinio patikrinimo procesą. Prieš įgyvendintą, 4 žmonių teisės skyrius vidutiniškai praleido 45 minutes per gautą sutartį rankiniu būdu tikrindamas parašo galiojimą Adobe Acrobat programoje. Iš 80 naujų sutarčių arba papildymų per mėnesį, šiai užduočiai skirtas laikas buvo maždaug 60 valandų per mėnesį.

Po API validavimo įintegravimo į dokumentų priėmimo workflow'ą, patikrinimas dabar yra automatinis ir trunka mažiau nei 3 sekundes dokumentui. INDETERMINATE arba TOTAL_FAILED atvejai automatiškai suluša perspėjimą atitinkamam juristui. Laiko taupymas pasiekė 85%, atsilaisvinant komandą aukštesnės vertės uždaviniams. Anomalijų nustatymo greitis (baigę sertifikatai, neteisinti laiko ženklai) pasikeitė nuo 2% iki 7%, atskleidžiant kai kurių partnerių neoptimalias praktikas.

Scenarijus 2: tarptautinio telekomunikacijų grupės filialas due diligence fazoje

Įsigijus filialą, specializuojantį­ standartizuotose paslaugose įmonėms, pirkėjas turi audituoti duomenų kambarį, turintį 8400 elektroniškai pasirašytų dokumentų per 7 metus. Šiuose dokumentuose yra paslaugų sutartys, SLA, subrangos susitarimai ir reprezentavimo mandatai.

Audit komanda naudoja masinio analitinio įrankį, sugebantį apdoroti visą dokumentų kūną per 4 valandas. Galutinė ataskaita identifikuoja 340 dokumentų su parašo anomalijomis (sertifikatas baigėsi parašymo metu 180 iš jų, integrumas pažeista 12 kritiniams dokumentams). Ši analiza leidžia pirkėjui peranginti 2,3% operacijos kainos, pagrįstos teisinę riziką susijusią su negaliojančiais dokumentais. Be sisteminės patikrinimo, šios anomalijos būtų likę nepastebiamos ir galėjusios sukelti reikšmingus post-acquisition ginčus.

Scenarijus 3: SEPA mandatų valdymas MVNO

Virtualioji operatorius (MVNO), valdanti 180 000 vartotojų abonentus, rinks elektroniškai pasirašytus SEPA mandatus savo baze. Šie mandatai yra esminiai kontraktiniai įrodymai, jei vartotojas norės ginčyti pervedimą. SEPA reguliavimas reikalauja šių mandatų saugojimo 14 mėnesių po paskutinio pervedimo ir jų pateikimo pagal pagrindą prašo.

Operatorius įdiegė automatinio validavimo paėmimos metu (parašo galiojimo patikrinimas realiame laike) ir PAdES LTV formato archyvavimo procesą, garantuojantį ilgalaikį patikrintinumą. Atliekant vidinių kontrolės kampaniją, 99,4% mandatų buvo patikrinti kaip galiojantys. Likę 0,6% (mandatai pasirašyti per ne-kvalifikuotą šaltinį) buvo pateikti atgal atitinkamiem vartotojams. Šis atitikimo lygis leidžia operatoriui spręsti ginčus su bankami per mažiau nei 48 valandas, palyginti su sektoriaus vidurkiu 5–7 dienų.

Išvada

Patikrinti elektroniškai pasirašyto dokumento autentiškumą telekomunikacijų sektoriuje yra procesas, sujungiantis techninį tikslumą, teisinę kompetenciją ir operacinį automatizavimą. Stalos yra didelės: kontraktinis galiojimas, ARCEP ir NIS2 reguliacinė atitiktis, apsauga nuo dokumentų sukčiaus ir teisės komandų efektyvumas. Metodai egzistuoja — nuo rankinio patikrinimo PDF skaitytruge iki realiame laike API validavimo — ir turi būti pasirinkti pagal apdorojamą apimtį ir riziką, susijusią su kiekvienu dokumento tipu.

Certyneo padeda telekomunikacijų operatoriams ir jų partneriams diegti parašo ir patikrinimo workflow'us, suderintus su eIDAS, natyviai integruotus į pagrindinius sektoriaus IT sistemos. Norėdami įvertinti sprendimą ir apskaičiuoti tikėtiną investicijos grąžą jūsų organizacijai, apsilankykite elektroninės parašo ROI skaičiuokle arba susisiekite su mūsų ekspertais dėl jūsų esamų dokumentų procesų audito.