Механизм основан на двух столпах: аутентификации подписанта и целостности документа.
Для аутентификации подписанта используется один или несколько факторов идентификации: доверенный адрес электронной почты (одноразовая ссылка), код OTP, полученный по SMS, персональный криптографический сертификат и т. д. Для гарантии целостности в момент подписания вычисляется отпечаток (хеш) документа. Если документ впоследствии изменён, отпечаток перестаёт соответствовать — подпись становится недействительной.
В решениях вроде Certyneo процесс опирается на библиотеки обработки PDF, которые встраивают эти криптографические метаданные непосредственно в файл. Журнал аудита с отметками времени (журнал действий) дополняет механизм, фиксируя каждый этап: отправка, открытие, подтверждение OTP, подпись и т. д.
С технической точки зрения несколько механизмов безопасности усиливают целостность процесса: квалифицированная временная метка (RFC 3161) проставляет сертифицированное доказательство времени на каждой подписи; шифрование TLS 1.3 защищает данные при передаче; геолокация и IP-адрес подписывающего записываются для отслеживания; наконец, в некоторых процессах (AES/QES) поведенческие биометрические данные (скорость печати, давление) дополняют отпечаток идентификации.
Концепция неотказуемости имеет центральное значение: благодаря датированному и криптографически подписанному журналу аудита технически невозможно для подписывающего отрицать подпись документа без подделки цепочки доказательств. Что касается архивирования, французское законодательство (декрет 2016-1673) требует сохранения в течение 10 лет для большинства коммерческих документов — Certyneo обеспечивает это архивирование с доказательственной силой в суверенном хранилище (ЕС).