Vad är enVerifikationssida och händelselogg?

Långt efter att ett avtal har signerats måste det kunna svara på tre frågor: Vem skrev under? När skedde det? Och är innehållet fortfarande oförändrat? Verifikationssidan och händelseloggen är de delar av ett digitalt signerat avtal som ger svaren. Tillsammans gör de avtalet möjligt att granska och lita på, även för någon som aldrig sett vår tjänst.

Vad är en verifikationssida?

Verifikationssidan är en läsbar sammanställning som följer med det signerade avtalet, oftast som en eller flera extra sidor sist i PDF:en. Den samlar det viktigaste om underskriften på ett ställe, i klartext som vem som helst kan läsa utan särskild programvara.

En genomarbetad verifikationssida innehåller normalt:

• Parter och metod: Vem som signerat och med vilken metod, till exempel svenskt BankID.
• Tidpunkter: När varje part signerade.
• Kontrollsummor: En kryptografisk kontrollsumma (SHA-256) för varje fil, så att innehållet kan jämföras mot originalet.

Poängen är att uppgifterna står synligt direkt på sidan, inte gömda i tekniska bilagor som kräver särskilda verktyg för att öppnas. Vill ni läsa mer om vad en underskrift egentligen är, se Vad är en elektronisk signatur?.

Vad är en händelselogg?

Händelseloggen är ett kronologiskt spår över vad som hänt med avtalet: när det skapades, skickades, öppnades, signerades av respektive part och slutfördes. Varje händelse har en tidsstämpel, och ofta även den IP-adress som handlingen utfördes från.

Händelseloggen kallas ibland för sitt engelska namn, audit trail. Vi använder den svenska termen: ett digitalt aktivitetsspår över avtalets liv.

Vad bevisar de, och vad bevisar de inte?

Många tror att händelseloggen i sig avslöjar om någon ändrat i avtalet i efterhand. Så är det inte. Händelseloggen dokumenterar signeringsprocessen, alltså vem, när och hur, så som den såg ut vid signeringstillfället. Den är inte en levande logg över senare ändringar.

Det som avslöjar en ändring efter underskrift är integritetsskyddet:

• Kontrollsummorna på verifikationssidan låter er jämföra varje fil mot det inbäddade originalet. Ett enda ändrat tecken (en ändrad byte) ger en annan kontrollsumma.
• Förseglingen är ett kryptografiskt sigill ovanpå hela dokumentet som gör en ändring direkt synlig vid validering.

Verifikationssidan och händelseloggen svarar alltså på vem, när och hur, medan integritetsskyddet svarar på är innehållet oförändrat. I en eventuell tvist är det den kombinationen som gör avtalet till ett starkt bevis: en utomstående kan själv följa vad som hänt och kontrollera att innehållet är intakt, utan att behöva förlita sig på någons ord.

Vad bör ni titta efter?

Om bevisvärde är viktigt för er finns det några egenskaper värda att kontrollera hos en signeringstjänst:

• Synligt, inte dolt: Att de viktigaste uppgifterna står läsbart på verifikationssidan, inte enbart i bilagor som kräver särskild programvara.
• Utskriftssäkert: Att en utskriven kopia behåller det väsentliga bevisvärdet.
• Självbärande: Att avtalet går att granska och validera utan att kontakta leverantören och utan att vara beroende av att en viss webbtjänst finns kvar.
• Originalen bevarade: Att de uppladdade filerna följer med oförändrade, så att kontrollsummorna går att kontrollera mot något.
  
  

Hur eAvtal gör det här

I eAvtal är varje färdigsignerat avtal en fristående PDF som bär med sig allt som behövs för att granska det:

• En verifikationssida med fullständig händelselogg: tidsstämplar, signeringsmetod per part, IP-adresser och SHA-256-kontrollsummor för samtliga filer.
• De inbäddade originalfilerna, oförändrade, så att kontrollsummorna kan kontrolleras mot något.
• Ett maskinläsbart bevisunderlag med de fullständiga signeringsdetaljerna.

Eftersom allt ligger i samma fil kan ni öppna, läsa och kontrollera avtalet i vilken vanlig PDF-läsare som helst, även utan internet och oberoende av oss som leverantör. Det gör det också enkelt för er att flytta det färdiga avtalet till ett eget arkiv, till exempel ett kommunalt e-arkiv, där ni fortfarande kan verifiera det på egen hand.

För avtal som ska hålla i decennier kan ni lägga till försegling, som ingår i eAvtals Premium-paket. Förseglingen ger ett digitalt säkerhetssigill (kryptografisk försegling) och en grön bock i Adobe Acrobat, och gör varje ändring efter underskrift direkt synlig vid validering. Hur det fungerar på lång sikt beskriver vi i Vad är försegling?.

Vill ni veta mer?

Det självbärande formatet är en grundläggande del av hur eAvtal är byggt, inte ett tillval. Vill ni se hur en verifikationssida och händelselogg ser ut i ett skarpt avtal? Läs mer på produktsidan eller hör av er till info@e-identitet.se så visar vi.