V půlce února letošního roku spustila Software602 již déle avizovaný projekt Long-Term Docs. Nová služba slibuje právní ochranu dokumentů v důkazním řízení bez toho, že by se uživatel musel zdržovat formáty a dalšími technikáliemi a to bezpečně a na prakticky neomezeně dlouhou dobu, tvrdí to alespoň Martin Vondrouš, ředitel divize Long-Term Docs z české společnosti Software602.
Oznámili jste poskytování služby, díky které dokážete na dálku zařídit, že elektronické dokumenty v úložišti zákazníka si udrží právní účinnost. Je něco takového v důsledku vůbec technicky možné?
Pro přesnost musím uvést, že určitá komponenta našeho řešení musí být instalovaná u zákazníka. Zpravidla na serveru, ale pokud chce manuálně vytvářet menší počty dokumentů, může využít aplikaci pro smartphone nebo doplněk pro internetový prohlížeč. Nicméně podstatná složka služby Long-Term Docs je skutečně poskytována na dálku. Z pohledu zákazníka pak uspořádání vypadá tak, že dokumenty dál ukládá do dosavadního úložiště a odebírá naši službu poskytovanou z cloudu.
Aby mělo smysl udržovat právní účinnost, musí ji dokument nejdřív mít. Mají vůbec české firmy takové digitální dokumenty, aby mělo smysl je dlouhodobě udržovat?
To je správná otázka. Pokud na papíře chybí razítko a podpis, mohu jej uchovávat sebepečlivěji, ale dokument tím nezíská právní účinnost. S elektronickými dokumenty je tomu stejně. Přitom vytvoření korektního elektronického dokumentu se všemi náležitostmi není jednoduchá záležitost. Je zapotřebí zkontrolovat platnost certifikátu, získat a připojit ověřovací metadata, připojit časové razítko se správným algoritmem výpočtu hashe atd. To vše přesně podle postupu popsaného v normě Evropského institutu pro telekomunikační standardy.
Nicméně správně připravené dokumenty existují. V každé firmě například najdete nějaké datové zprávy. Pokud je datová zpráva uchovávána kompletní, tedy včetně elektronické „obálky“ s podpisem systému datových schránek, je to dokument se všemi náležitostmi.
Také některé informační systémy produkují korektní dokumenty. Ale tady doporučuji velkou obezřetnost. Téměř každý výrobce totiž tvrdí, že jeho systém vytváří dokumenty odpovídající všem normám, ale ne vždy tomu tak musí být. Je důležité to zkontrolovat, jinak se můžete dočkat nepříjemného překvapení po letech při důkazním řízení.
Naši zákazníci proto často využívají službu Long-Term Docs i k vlastnímu vytváření dokumentů. Proti samotné archivaci neúčtujeme nic navíc a organizace má od první chvíle jistotu, že dokument dokonale odpovídá všem normám.
Jaké náležitosti by měl dokument mít, aby se jeho vlastník mohl spolehnout na jeho právní sílu?
K tomu, aby bylo možné dokument uplatnit v důkazním řízení, potřebujete ošetřit tři záležitosti. Za prvé. Čitelnost, tedy aby bylo možné jej bez problémů zobrazit na budoucích zařízeních. To je v rámci služby Long-Term Docs řešeno převodem do speciálního archivačního formátu PDF/A.
Za druhé. Autenticita. Vlastník dokumentu musí být schopen velmi snadno prokázat, kdo k němu připojil svůj podpis a že v něm neproběhly změny – bez toho, že by k tomu potřeboval soudního znalce, výpisy logů či nějaké speciální údaje. I zde nám pomáhá legislativa tím, že jasně říká, které normě musí dokument vyhovovat, aby byl takto akceptován. Tuto ověřitelnost autenticity podepisujícího je schopen zajistit zaručený elektronický podpis. V podstatě jde o to, že musíte od certifikační autority získat údaje, které umožní v budoucnu prokázat pravost a nezměněnost dokumentu a musíte tyto údaje k dokumentu připojit.
Za třetí. Časová platnost dokumentu. Elektronický podpis má jednu vlastnost. Velmi užitečnou, ale i velmi nebezpečnou. Revokaci – tedy možnost odvolání platnosti certifikátu, pokud je zde riziko zneužití. Zajištění časového okamžiku podepsání dokumentu jasně stanoví, zda došlo k podpisu před případnou revokací nebo až po ní. Tento časový okamžik poskytuje kvalifikované časové razítko. Zároveň prodlužuje faktickou ověřitelnost dokumentu až na 5 let.
Takto je dokument čitelný, ověřitelný z hlediska původce a času svého vzniku. Dále pak musíte v pravidelných intervalech připojovat nová časová razítka spolu s ověřovacími metadaty.
Pojďme ale zpět k archivaci. Znamená služba Long-Term
Docs, že místo bezpečného ukládání do speciálního archivního zařízení mohu své dokumenty skladovat kdekoliv?
Pro bezpečnost svých dokumentů potřebujete ošetřit tři aspekty.
- Udržet právní použitelnost, jak jsme o tom mluvili.
- Zajistit dostupnost. Tedy mít jistotu, že dokumenty nebudou omylem vymazány nebo o ně nepřijdete při poruše zařízení
- Chránit proti kompromitaci, tedy zajistit, že do nich nebude nahlížet nikdo nepovolaný.
Služba Long-Term Docs řeší pouze první aspekt. Platí tedy, že se obejdete bez drahých důvěryhodných archivů (hardwarových či softwarových). Ale pokud se jedná o důležité dokumenty, nadále musíte řešit zálohování, řízení vstupů apod. Což ale nemusí nutně znamenat výměnu celého systému nebo úložiště.
Jak je s ochranou důvěrnosti v rámci služby Long-Term Docs? Nepřenášejí se dokumenty, jejich kopie nebo údaje o nich přes internet mezi zákazníkem a vaším cloudem?
Potřebujeme pouze některá technická data o elektronickém podpisu (hash, termín vypršení certifikátu apod.), z nichž není možné odvodit obsah dokumentu. Služba je tedy absolutně bezpečná, s žádnými citlivými daty nepracuje.
Zmínili jsme využití Long-Term Docs jako náhradu komplikovaných a drahých speciálních důvěryhodných archivů. Jak je tomu ale s její cenou?
Zákazník platí jednorázově ve chvíli, kdy dokument vytváří nebo začíná ošetřovat. Cena zpravidla činí něco kolem koruny za dokument s tím, že organizace, které zpracovávají velké objemy dokumentů, se mohou dostat na zajímavější cenu. V té ceně je zahrnuto pravidelné ošetřování dokumentu tak dlouho, jak ho bude zákazník potřebovat, což může být 50 let i více.
Jste schopni takový závazek naplnit? Co když vaše firma nebude třeba za 30 let existovat?
Nechystáme se skončit. Ale i kdyby k něčemu tak katastrofickému došlo, zákazníka to neohrozí. Dokumenty bude mít ve svém úložišti, a protože budou ošetřeny podle správných norem, budou ke každému připojena veškerá metadata potřebná pro ověření autenticity. Bude schopen s nimi dál pracovat, jak bude zapotřebí.
Není pro to český trh pro takovou službu malý?
Jsou tady tisíce subjektů, které vytváří a dostávají miliony elektronických dokladů. Podstatnou část z nich zároveň tisknou a archivují v listinné podobě. Jen proto, že si nejsou jisti právní účinností vlastního digitálního dokumentu. Je tedy prostor ušetřit českým firmám stovky milionů korun.
Nicméně vedle toho se opravdu chceme prosadit i v dalších zemích EU. Long-Term Docs je nejpokročilejší služba tohoto typu a nevyžaduje téměř žádnou integraci, takže máme všechny předpoklady uspět. V této chvíli už existuje varianta v němčině, aktivní vstup do dalších zemí bude následovat.
Děkuji za rozhovor.
