ลายเซ็นอิเล็กทรอนิกส์ปลอดภัยหรือไม่?
ลายเซ็นอิเล็กทรอนิกส์มีความปลอดภัยอย่างแน่นอน ในบทความนี้เราจะกล่าวถึงเหตุผลว่าทำไม e-signature ถึงปลอดภัยกว่าลายเซ็นแบบเขียน ขั้นตอนการทำงานของ e-signature และฟีเจอร์ต่างๆ ที่ช่วยคงความปลอดภัยของลายเซ็นอิเล็กทรอนิกส์
เพราะอะไร e-signature ถึงปลอดภัยกว่าลายเซ็นแบบเขียน
เรามักจะพบคำถามอย่าง “ลายเซ็นดิจิทัลจะถูกปลอมแปลง นำไปใช้ใช้ผิดจุดประสงค์ หรือโดนลอกเลียนแบบได้หรือไม่?” ซึ่งความจริงแล้วลายเซ็นแบบเขียนเสี่ยงในการถูกปลอมแปลงมากกว่า ลายเซ็นอิเล็กทรอนิกส์มีชั้นของความปลอดภัยหลายระดับ ทั้งยังมีระบบรับรองความถูกต้องติดตั้งอยู่ภายในตัว พร้อมด้วยหลักฐานการทำธุรกรรมที่ยอมรับได้ในชั้นศาล
บันทึกทางอิเล็กทรอนิกส์
ผู้ให้บริการ e-signature สามารถทำบันทึกทางอิเล็กทรอนิกส์ขึ้นมาเพื่อใช้ตรวจสอบและเป็นหลักฐานการทำธุรกรรม ซึ่งลายเซ็นแบบเขียนไม่สามารถทำได้ แนวทางการตรวจสอบอาจประกอบไปด้วยประวัติการใช้งานลายเซ็นนั้น ๆในเอกสาร ยกตัวอย่างเช่น รายละเอียดเวลาที่เอกสารถูกเปิดดูและทำการเซ็นลายเซ็น เป็นต้น บันทึกยังสามารถแสดงตำแหน่งที่เอกสารถูกเซ็นได้ด้วย ขึ้นอยู่กับผู้ให้บริการและผู้เซ็นว่าจะให้ความยินยอมในการเปิดเผยสถานที่ที่เซ็นหรือไม่ หากมีข้อพิพาทเกี่ยวกับลายเซ็น หรือมีคำถามใด ๆ ก็ตามเกี่ยวกับธุรกรรม บันทึกแนวทางการตรวจสอบนี้ก็จะเปิดให้ผู้มีส่วนร่วมในธุรกรรมได้รับรู้และสามารถแก้ปัญหาได้
ใบรับรองเสร็จสมบูรณ์ (Certificates of completion)
รายละเอียดของใบรับรองเสร็จสมบูรณ์ จะประกอบไปด้วยรายละเอียดของผู้ลงนามเอกสารแต่ละคน เช่น การเปิดเผยของผู้บริโภคซึ่งระบุว่าผู้ลงนามยอมรับข้อตกลงในการใช้ e-signature รูปลายเซ็น บันทึกเวลาเหตุการณ์สำคัญ และ IP address ของผู้เซ็น รวมถึงข้อมูลระบุตัวตนอื่น ๆ
การปิดผนึกรับรองเป็นหลักฐาน
เมื่อกระบวนการการลงนามเสร็จสิ้น ผู้ให้บริการบางเจ้าอาจปิดผนึกเอกสารได้โดยใช้เทคโนโลยีมาตรฐานอุสาหกรรมอย่าง Public Key Infrastructure (PKI) ซึ่งการปิดผนึกนี้จะเป็นตัวชี้ว่าลายเซ็นอิเล็กทรอนิกส์นั้นใช้ได้จริง และเอกสารไม่ถูกดัดแปลง หรือมีการเปลี่ยนแปลงใด ๆ นับตั้งแต่วันที่มีการลงนาม
ขั้นตอนการทำงานของ e-signatures
ขั้นตอนโดยละเอียดของการเซ็นนั้นขึ้นอยู่กับผู้ให้บริการ e-signature ที่คุณเลือกใช้ แต่ใจความสำคัญในเวิร์คโฟลวที่ต้องมีเพื่อได้โซลูชั่นที่แข็งแรงนั้นคล้ายกัน ดังนี้
ส่งเอกสารให้ลงนามอิเล็กทรอนิกส์:
- อัพโหลดเอกสารที่ต้องการลงนาม เช่น เอกสาร Word หรือไฟล์ PDF
- ติดแท็กตรงจุดที่ต้องการตัวย่อ ลายเซ็น เบอร์โทรศัพท์ และอื่นๆ
- เลือกวิธีการรับรองความถูกต้องของผู้ลงนามที่ต้องการใช้
- ส่งไฟล์ผ่านระบบบริการไปยังอีเมลของผู้รับที่กำหนดไว้
ลงนามเอกสาร:
- รับอีเมลแจ้งเตือนเพื่อตรวจสอบและเซ็นเอกสาร
- ระบบยืนยันตัวตนก่อนทำการเซ็นเอกสาร (ถ้าผู้ส่งเลือกใช้ขั้นตอนนี้)
- อ่านเอกสารและยินยอมเปิดเผยข้อมูลและตกลงใช้ขั้นตอนทางอิเล็กทรอนิกส์
- ตรวจทานเอกสารและเติมข้อมูลจำเป็นให้ครบถ้วน รวมถึงเอกสารที่ต้องการแนบไปด้วย
- เริ่มเซ็นเอกสารโดยการคลิกที่ปุ่มลายเซ็นหรือใช้ e-signature mark
เมื่อผู้รับเอกสารทุกคนได้ลงนามเรียบร้อยแล้ว เอกสารจะขึ้นแจ้งให้ทราบ และจะถูกจัดเก็บแบบอิเล็กทรอนิกส์ในที่ๆ สามารถเปิดดูและดาวน์โหลดได้ เนื่องจากมีฟีเจอร์นิรภัยติดตั้งอยู่ภายในระบบและมีขั้นตอนต่างๆที่ผู้ให้บริการ e-signature ต้องปฏิบัติตาม การดำเนินการทั้งหมดจึงมีความปลอดภัยอย่างแน่นอน
วิธีการยืนยันตัวตนของผู้ลงนาม
เทคโนโลยี E-signature มอบทางเลือกหลากหลายในการยืนยันตัวตอนของผู้ลงนามก่อนมีการเข้าถึงเอกสารและเซ็นชื่อ ประกอบไปด้วย:
- ที่อยู่อีเมล: ผู้เซ็นระบุที่อยู่อีเมลด้วยตนเอง ซึ่งจะนำมาเทียบกับอีเมลที่ใช้ส่งคำเชิญ
- โทรศัพท์: ผู้เซ็นจะต้องโทรเข้าเบอร์ที่ให้และระบุชื่อและรหัสการเข้าถึง
- SMS: ผู้เซ็นจะต้องกรอกรหัสใช้งานครั้งเดียวที่ส่งให้ผ่านทางข้อความ SMS
- ตอบถามข้อมูลส่วนตัว: ผู้เซ็นจะต้องตอบคำถามเกี่ยวกับข้อมูลส่วนตัวที่รวบรวมมาจากฐานข้อมูลทั่วไปเชิงพาณิชย์ เช่น ที่อยู่เก่า หรือ ยานพาหนะที่เป็นเจ้าของ
- อัพโหลดรูปถ่ายเอกสารระบุตัวตน: ผู้เซ็นยืนยันตัวตนโดยใช้เอกสารระบุตัวตนที่รัฐบาลออกให้เช่น พาสปอร์ต ใบขับขี่ หรือทะเบียนบ้าน
- ID อิเล็กทรอนิกส์หรืออ้างอิงจากธนาคาร: ผู้เซ็นสามารถใช้ข้อมูลรับรองการเข้าสู่ระบบสำหรับบัญชีธนาคารที่มีอยู่หรือบัญชีของรัฐบาลเพื่อยืนยันตัวตนได้
ในกรณีที่มีความจำเป็นต้องใช้การยืนยันตัวตนเพิ่มเติม ผู้ให้บริการบางเจ้าเสนอจะทางเลือกเพิ่มเติมอีกสองระดับของ e-signature ซึ่งผ่านเกณฑ์ของ European Union’s (EU) eIDAS ดังนี้:
- Advanced: ต้องการความปลอดภัยในระดับสูงขึ้น การยืนยันตัวตนและรับรองความถูกต้องเพื่อสร้างลิงค์ไปยังผู้ลงนามและรหัสดิจิทัลตามใบรับรอง (X.509 PKI) ออกให้โดยผู้ให้บริการที่เชื่อถือได้
- Qualified: e-signature ขั้นสูงที่มีความปลอดภัยยิ่งกว่าระดับ Advanced มีการใช้งาน “อุปกรณ์สร้างลายเซ็นปลอดภัยสูง” ซึ่งสามารถใช้ได้ตามกฏหมายในสหภาพยุโรปเทียบเท่ากับลายเซ็นมือ
ความสำคัญของการยึดหลักความปลอดภัยต้องมาก่อนเมื่อใช้งาน e-signature
ระดับความปลอดภัยของ e-signature แตกต่างกันไปตามผู้ให้บริการ ดังนั้นการเลือกใช้ผู้บริการที่มีระบบความปลอดภัยแน่นหนาและมีการป้องกันแทรกอยู่ในทุกอณูของบริษัทจึงมีความสำคัญเป็นอย่างมาก ซึ่งวัดได้จากความปลอดภัยดังต่อไปนี้:
- ความปลอดภัยทางกายภาพ: ปกป้องระบบและอาคารที่ระบบอาศัยอยู่
- ความปลอดภัยทางแพลตฟอร์ม: ปกป้องข้อมูลและกระบวนการที่เก็บไว้ในระบบ
- การรับรอง/กระบวนการด้านความปลอดภัย: ช่วยให้พนักงานและพาร์ทเนอร์ของผู้ให้บริการปฏิบัติตามกระบวนการการรักษาความปลอดภัยและความเป็นส่วนตัวที่ดีที่สุด
ความปลอดภัยทางกายภาพ
- ศูนย์ข้อมูลแบ่งย่อยตามภูมิศาสตร์ที่มีทั้งระบบ active และ redundant รวมไปถึงเครือข่ายที่แยกออกเป็นแบบกายภาพและเชิงตรรกะ (physical and logically separated networks)
- ไฟร์วอล์เกรดสำหรับใช้ในการพาณิชย์และบอร์ดเดอร์เราเตอร์สำหรับตรวจหาการโจมตีตาม IP และการฏิเสธการให้บริการ (IP-based and denial-of -service attacks)
- ระบบป้องกันมัลแวร์
- การจำลองข้อมูลในแบบใกล้เคียงเรียลไทม์ที่ปลอดภัย
- การควบคุมการเข้าถึงทางกายภาพอย่างแน่นหนาและมีกล้องวงจรปิดรักษาความปลอดภัย
ความปลอดภัยทางแพลตฟอร์ม
- เข้ารหัสข้อมูลทั้งระหว่างโอนและข้อมูลที่ถูกจัดเก็บด้วย TLS connections และการเข้ารหัส AES 256-bit
- เข้าถึงข้อมูลและโอนย้ายข้อมูลผ่านทาง HTTPS
- ใช้มาตรฐาน Security Assertion Markup Language (SAML) ทำให้ผู้ใช้งานสามารถยืนยันตัวตนและแสดงสิทธิ์บทเว็บด้วยความสามารถล่าสุดที่ทันสมัย
- ปิดผนึกด้วย PKI
- ใบรับรองงานแล้วเสร็จ
- การยืนยันลายเซ็นและบันทึกกระบวนการลงนามรวมทั้งสถานะการจบงานที่ไม่สามารถเปลี่ยนแปลงได้
- ตัวเลือกการยืนยันตัวตนหลายช่องทางสำหรับผู้ลงนาม
การรับรอง/กระบวนการด้านความปลอดภัย
- การปฏิบัติตามกฎหมายข้อบังคับ และมาตรฐานอุตสาหกรรมที่ควบคุมธุรกรรมทางดิจิทัลและลายเซ็นอิเล็กทรอนิกส์ ประกอบไปด้วย:
ISO 27001:2013: การรับประกันความปลอดภัยของข้อมูลระดับโลกที่สูงที่สุดใน ปัจจุบัน
SOC 1 Type 2 and SOC 2 Type 2: ทั้งคู่รายงานการประเมินการควบคุมภายใน นโยบายและระเบียบปฏิบัติ SOC 2 จะเน้นรายงานที่เกี่ยวข้องโดยตรงกับความปลอดภัย ความสามารถในการเข้าถึง ความสมบูรณ์ของการประมวลผล การปิดรักษาข้อมูล และความเป็นส่วนตัวในองค์กรที่ให้บริการ
Payment Card Industry Data Security Standard (PCI DSS): รับรองความปลอดภัยในการส่งต่อข้อมูลของผู้ถือบัตรเครดิต
Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR) program: ประกอบด้วยหลักสำคัญคือความโปร่งใส การตรวจสอบอย่างเข้มงวดและมีความสอดคล้องกับมาตรฐาน
Asia-Pacific Economic Cooperation (APEC) Privacy Recognition for Processor (PRP) System: ประกอบด้วย Cross-Border Privacy Rules (CBPR) และ Framework คอยคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลทั้งที่เก็บรวบรวมไว้และระหว่างการโอนย้าย
- ความสามารถในการช่วยสนับสนุนภาระหน้าที่ในการปฏิบัติตามกฎระเบียบเฉพาะทางอุตสาหกรรมเช่น HIPAA, 21 CFR Part 11 และข้อกับหนดเฉพาะจาก FTC, FHA, IRS และ FINRA
- กระบวนการจัดการความปลอดภัยและแนวทางปฏิบัติในการพัฒนา รวมถึงความต่อเนื่องทางธุรกิจและการวางแผนกู้คืนระบบ การฝึกอบรมพนักงาน แนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัย การตรวจสอบรหัสอย่างเป็นทางการ และการตรวจสอบความปลอดภัยฐานรหัสเป็นประจำ
โดยทั้งหมดนี้ทาง Docusign ได้มีการดำเนินการเพื่อความปลอดภัยขั้นสูงสุด ทำให้การใช้งานในการทำธุรกรรมเชื่อถือได้มีความปลอดภัย เพื่อมอบประการณ์ที่ดีให้กับลูกค้า ต้องการข้อมูลอื่นๆ เพิ่มเติมเกี่ยวกับ DocuSign E-Signature กรุณา คลิกที่นี่