האם עבודה עם מערכת טפסים דיגיטלית באמת מאובטחת
בשנים האחרונות עברו ארגונים, חברות ועסקים רבים לעבודה עם מערכת טפסים דיגיטלית. כיום קיימות בשוק מגוון מערכות כאלו הנותנות מענה לצרכים שונים, למשל מערכת לניהול משאבי אנוש, מערכת לניהול מלאי ורכש, מערכות לניהול רצפת ייצור ועוד. מטבע הדברים במערכות האלו עוברים טפסים שיכולים להיות רגישים ומכאן עולה השאלה האם העבודה עם מערכת חתימה דיגיטלית על מסמכים היא באמת מאובטחת.
רמה גבוהה של אבטחה
אחד הנדבכים הבסיסיים של מערכת חתימה דיגיטלית למסמכים היא האפשרות לשלוח, למלא ולחתום על טפסים מקוונים אונליין, בין אם מדובר בטפסים הקשורים לעובדי הארגון, הסכמים מול ספקים, חוזים מול שותפים וכן הלאה. מדובר במסמכים המכילים פרטים רגישים כגון משכורות, תנאים סוציאליים, תנאי תשלום לספק, אסטרטגיה עסקית וכדומה. העובדה שהטופס אינו מודפס על גבי ניירת, אינה אומרת שהוא מאובטח, ולשם כך קיימת החתימה הדיגיטלית המאובטחת.
זהו למעשה קובץ מוצפן המאפשר לדעת בוודאות שברמה גבוהה של וודאות מי באמת חתם על הטופס, ולדעת האם במסמך עצמו שונו פרטים לאחר שנחתם. למעשה, המערכת לא מאפשרת שינוי של פרטים. זהו צופן מתמטי שקשה מאוד עד בלתי אפשרי לפצח אותו, שהמערכת שלנו מצמידה למסמכים באופן אוטומטי ללא התערבות יד אדם. הצופן המתמטי או החתימה הדיגיטלית המאובטחת צריך לעמוד במספר דרישות הקבועות בחוק, שקשורות לאימות חתימות.
ראשית, על החתימה להיות מופקת בעזרת מפתח של מבוסס על תקן מקובל תוך שימוש במפתח elliptic curve DSA באורך 160 סיביות לפחות, או שימוש במפתח RSA או DSA באורך 1,024 סיביות לפחות. מאידך, יש לעשות שימוש באמצעים פיזיים מיוחדים או אמצעי קריפטולוגיה העומדים בדרישות של common criteria EAL2 וכן בתקן אבטחה FIPS 140-2 רמה 1. כמו כן, במידה ונעשה שימוש בסיסמאות יש לעמוד בדרישות האבטחה לפי חלק 3 של תקן 1495.
היבטי אבטחה נוספים
אם כן, מערכת חתימה דיגיטלית על מסמכים מבית איזידוק מקנה רמה גבוהה של אבטחה בכל הקשור אל טפסים דיגיטליים בהתאם לדרישות החוק. בנוסף לכך, היא מעלה את רמת האבטחה של מסמכים בארגון בהשוואה לעבודה עם ניירת פיזית, מעצם העובדה שכל טופס חתום עובר ישירות לתיק העובד אונליין ללא ניירות שיכולים ללכת לאיבוד, להיות מתויקים במקומות לא נכונים ולהגיע לידיים לא רצויות.
בנוסף, המערכת מאפשרת לתת הרשאות רק לגורמים רלוונטיים שיכולים לצפות בפרטים המצויים בטפסים ולבצע שינויים במידת הצורך. זאת לעומת תיקיות פיזיות המצויות בארונות או בארכיון שאליהן יכולים לגשת גם אנשים נוספים. יחד עם זאת, חשוב להדגיש כי העבודה עם מערכת חתימה דיגיטלית ועם טפסים מקוונים איננה פוטרת את הארגון מהקפדה על אבטחת מידע. מכיוון שכל הטפסים נמצאים על שרתי הארגון או בענן יש לתת תשומת לב מיוחדת לכל הקשור באבטחת המידע הדיגיטלי כיאה לארגונים במאה ה-21.
