ลายเซ็นอิเล็กทรอนิกส์มีความปลอดภัยอย่างแน่นอน ในบทความนี้เราจะกล่าวถึงเหตุผลว่าทำไม e-signature ถึงปลอดภัยกว่าลายเซ็นแบบเขียน ขั้นตอนการทำงานของ e-signature และฟีเจอร์ต่างๆ ที่ช่วยคงความปลอดภัยของลายเซ็นอิเล็กทรอนิกส์

เพราะอะไร e-signature ถึงปลอดภัยกว่าลายเซ็นแบบเขียน

เรามักจะพบคำถามอย่าง “ลายเซ็นดิจิทัลจะถูกปลอมแปลง นำไปใช้ใช้ผิดจุดประสงค์ หรือโดนลอกเลียนแบบได้หรือไม่?” ซึ่งความจริงแล้วลายเซ็นแบบเขียนเสี่ยงในการถูกปลอมแปลงมากกว่า ลายเซ็นอิเล็กทรอนิกส์มีชั้นของความปลอดภัยหลายระดับ ทั้งยังมีระบบรับรองความถูกต้องติดตั้งอยู่ภายในตัว พร้อมด้วยหลักฐานการทำธุรกรรมที่ยอมรับได้ในชั้นศาล

บันทึกทางอิเล็กทรอนิกส์

ผู้ให้บริการ e-signature สามารถทำบันทึกทางอิเล็กทรอนิกส์ขึ้นมาเพื่อใช้ตรวจสอบและเป็นหลักฐานการทำธุรกรรม ซึ่งลายเซ็นแบบเขียนไม่สามารถทำได้ แนวทางการตรวจสอบอาจประกอบไปด้วยประวัติการใช้งานลายเซ็นนั้น ๆในเอกสาร ยกตัวอย่างเช่น รายละเอียดเวลาที่เอกสารถูกเปิดดูและทำการเซ็นลายเซ็น เป็นต้น บันทึกยังสามารถแสดงตำแหน่งที่เอกสารถูกเซ็นได้ด้วย ขึ้นอยู่กับผู้ให้บริการและผู้เซ็นว่าจะให้ความยินยอมในการเปิดเผยสถานที่ที่เซ็นหรือไม่ หากมีข้อพิพาทเกี่ยวกับลายเซ็น หรือมีคำถามใด ๆ ก็ตามเกี่ยวกับธุรกรรม บันทึกแนวทางการตรวจสอบนี้ก็จะเปิดให้ผู้มีส่วนร่วมในธุรกรรมได้รับรู้และสามารถแก้ปัญหาได้

ใบรับรองเสร็จสมบูรณ์ (Certificates of completion)

รายละเอียดของใบรับรองเสร็จสมบูรณ์ จะประกอบไปด้วยรายละเอียดของผู้ลงนามเอกสารแต่ละคน เช่น การเปิดเผยของผู้บริโภคซึ่งระบุว่าผู้ลงนามยอมรับข้อตกลงในการใช้ e-signature รูปลายเซ็น บันทึกเวลาเหตุการณ์สำคัญ และ IP address ของผู้เซ็น รวมถึงข้อมูลระบุตัวตนอื่น ๆ

การปิดผนึกรับรองเป็นหลักฐาน

เมื่อกระบวนการการลงนามเสร็จสิ้น ผู้ให้บริการบางเจ้าอาจปิดผนึกเอกสารได้โดยใช้เทคโนโลยีมาตรฐานอุสาหกรรมอย่าง Public Key Infrastructure (PKI) ซึ่งการปิดผนึกนี้จะเป็นตัวชี้ว่าลายเซ็นอิเล็กทรอนิกส์นั้นใช้ได้จริง และเอกสารไม่ถูกดัดแปลง หรือมีการเปลี่ยนแปลงใด ๆ นับตั้งแต่วันที่มีการลงนาม

ขั้นตอนการทำงานของ e-signatures

ขั้นตอนโดยละเอียดของการเซ็นนั้นขึ้นอยู่กับผู้ให้บริการ e-signature ที่คุณเลือกใช้ แต่ใจความสำคัญในเวิร์คโฟลวที่ต้องมีเพื่อได้โซลูชั่นที่แข็งแรงนั้นคล้ายกัน ดังนี้

ส่งเอกสารให้ลงนามอิเล็กทรอนิกส์:

  • อัพโหลดเอกสารที่ต้องการลงนาม เช่น เอกสาร Word หรือไฟล์ PDF
  • ติดแท็กตรงจุดที่ต้องการตัวย่อ ลายเซ็น เบอร์โทรศัพท์ และอื่นๆ
  • เลือกวิธีการรับรองความถูกต้องของผู้ลงนามที่ต้องการใช้
  • ส่งไฟล์ผ่านระบบบริการไปยังอีเมลของผู้รับที่กำหนดไว้

ลงนามเอกสาร:

  • รับอีเมลแจ้งเตือนเพื่อตรวจสอบและเซ็นเอกสาร
  • ระบบยืนยันตัวตนก่อนทำการเซ็นเอกสาร (ถ้าผู้ส่งเลือกใช้ขั้นตอนนี้)
  • อ่านเอกสารและยินยอมเปิดเผยข้อมูลและตกลงใช้ขั้นตอนทางอิเล็กทรอนิกส์
  • ตรวจทานเอกสารและเติมข้อมูลจำเป็นให้ครบถ้วน รวมถึงเอกสารที่ต้องการแนบไปด้วย
  • เริ่มเซ็นเอกสารโดยการคลิกที่ปุ่มลายเซ็นหรือใช้ e-signature mark

เมื่อผู้รับเอกสารทุกคนได้ลงนามเรียบร้อยแล้ว เอกสารจะขึ้นแจ้งให้ทราบ และจะถูกจัดเก็บแบบอิเล็กทรอนิกส์ในที่ๆ สามารถเปิดดูและดาวน์โหลดได้ เนื่องจากมีฟีเจอร์นิรภัยติดตั้งอยู่ภายในระบบและมีขั้นตอนต่างๆที่ผู้ให้บริการ e-signature ต้องปฏิบัติตาม การดำเนินการทั้งหมดจึงมีความปลอดภัยอย่างแน่นอน

วิธีการยืนยันตัวตนของผู้ลงนาม

เทคโนโลยี E-signature มอบทางเลือกหลากหลายในการยืนยันตัวตอนของผู้ลงนามก่อนมีการเข้าถึงเอกสารและเซ็นชื่อ ประกอบไปด้วย:

  • ที่อยู่อีเมล: ผู้เซ็นระบุที่อยู่อีเมลด้วยตนเอง ซึ่งจะนำมาเทียบกับอีเมลที่ใช้ส่งคำเชิญ
  • โทรศัพท์: ผู้เซ็นจะต้องโทรเข้าเบอร์ที่ให้และระบุชื่อและรหัสการเข้าถึง
  • SMS: ผู้เซ็นจะต้องกรอกรหัสใช้งานครั้งเดียวที่ส่งให้ผ่านทางข้อความ SMS
  • ตอบถามข้อมูลส่วนตัว: ผู้เซ็นจะต้องตอบคำถามเกี่ยวกับข้อมูลส่วนตัวที่รวบรวมมาจากฐานข้อมูลทั่วไปเชิงพาณิชย์ เช่น ที่อยู่เก่า หรือ ยานพาหนะที่เป็นเจ้าของ
  • อัพโหลดรูปถ่ายเอกสารระบุตัวตน: ผู้เซ็นยืนยันตัวตนโดยใช้เอกสารระบุตัวตนที่รัฐบาลออกให้เช่น พาสปอร์ต ใบขับขี่ หรือทะเบียนบ้าน
  • ID อิเล็กทรอนิกส์หรืออ้างอิงจากธนาคาร: ผู้เซ็นสามารถใช้ข้อมูลรับรองการเข้าสู่ระบบสำหรับบัญชีธนาคารที่มีอยู่หรือบัญชีของรัฐบาลเพื่อยืนยันตัวตนได้

ในกรณีที่มีความจำเป็นต้องใช้การยืนยันตัวตนเพิ่มเติม ผู้ให้บริการบางเจ้าเสนอจะทางเลือกเพิ่มเติมอีกสองระดับของ e-signature ซึ่งผ่านเกณฑ์ของ European Union’s (EU) eIDAS ดังนี้:

  • Advanced: ต้องการความปลอดภัยในระดับสูงขึ้น การยืนยันตัวตนและรับรองความถูกต้องเพื่อสร้างลิงค์ไปยังผู้ลงนามและรหัสดิจิทัลตามใบรับรอง (X.509 PKI) ออกให้โดยผู้ให้บริการที่เชื่อถือได้
  • Qualified: e-signature ขั้นสูงที่มีความปลอดภัยยิ่งกว่าระดับ Advanced มีการใช้งาน “อุปกรณ์สร้างลายเซ็นปลอดภัยสูง” ซึ่งสามารถใช้ได้ตามกฏหมายในสหภาพยุโรปเทียบเท่ากับลายเซ็นมือ

ความสำคัญของการยึดหลักความปลอดภัยต้องมาก่อนเมื่อใช้งาน e-signature

ระดับความปลอดภัยของ e-signature แตกต่างกันไปตามผู้ให้บริการ ดังนั้นการเลือกใช้ผู้บริการที่มีระบบความปลอดภัยแน่นหนาและมีการป้องกันแทรกอยู่ในทุกอณูของบริษัทจึงมีความสำคัญเป็นอย่างมาก ซึ่งวัดได้จากความปลอดภัยดังต่อไปนี้:

  • ความปลอดภัยทางกายภาพ: ปกป้องระบบและอาคารที่ระบบอาศัยอยู่
  • ความปลอดภัยทางแพลตฟอร์ม: ปกป้องข้อมูลและกระบวนการที่เก็บไว้ในระบบ
  • การรับรอง/กระบวนการด้านความปลอดภัย: ช่วยให้พนักงานและพาร์ทเนอร์ของผู้ให้บริการปฏิบัติตามกระบวนการการรักษาความปลอดภัยและความเป็นส่วนตัวที่ดีที่สุด

ความปลอดภัยทางกายภาพ

  • ศูนย์ข้อมูลแบ่งย่อยตามภูมิศาสตร์ที่มีทั้งระบบ active และ redundant รวมไปถึงเครือข่ายที่แยกออกเป็นแบบกายภาพและเชิงตรรกะ (physical and logically separated networks)
  • ไฟร์วอล์เกรดสำหรับใช้ในการพาณิชย์และบอร์ดเดอร์เราเตอร์สำหรับตรวจหาการโจมตีตาม IP และการฏิเสธการให้บริการ (IP-based and denial-of -service attacks)
  • ระบบป้องกันมัลแวร์
  • การจำลองข้อมูลในแบบใกล้เคียงเรียลไทม์ที่ปลอดภัย
  • การควบคุมการเข้าถึงทางกายภาพอย่างแน่นหนาและมีกล้องวงจรปิดรักษาความปลอดภัย

ความปลอดภัยทางแพลตฟอร์ม

  • เข้ารหัสข้อมูลทั้งระหว่างโอนและข้อมูลที่ถูกจัดเก็บด้วย TLS connections และการเข้ารหัส AES 256-bit
  • เข้าถึงข้อมูลและโอนย้ายข้อมูลผ่านทาง HTTPS
  • ใช้มาตรฐาน Security Assertion Markup Language (SAML) ทำให้ผู้ใช้งานสามารถยืนยันตัวตนและแสดงสิทธิ์บทเว็บด้วยความสามารถล่าสุดที่ทันสมัย
  • ปิดผนึกด้วย PKI
  • ใบรับรองงานแล้วเสร็จ
  • การยืนยันลายเซ็นและบันทึกกระบวนการลงนามรวมทั้งสถานะการจบงานที่ไม่สามารถเปลี่ยนแปลงได้
  • ตัวเลือกการยืนยันตัวตนหลายช่องทางสำหรับผู้ลงนาม

การรับรอง/กระบวนการด้านความปลอดภัย

  • การปฏิบัติตามกฎหมายข้อบังคับ และมาตรฐานอุตสาหกรรมที่ควบคุมธุรกรรมทางดิจิทัลและลายเซ็นอิเล็กทรอนิกส์ ประกอบไปด้วย:

ISO 27001:2013: การรับประกันความปลอดภัยของข้อมูลระดับโลกที่สูงที่สุดใน  ปัจจุบัน

SOC 1 Type 2 and SOC 2 Type 2: ทั้งคู่รายงานการประเมินการควบคุมภายใน นโยบายและระเบียบปฏิบัติ SOC 2 จะเน้นรายงานที่เกี่ยวข้องโดยตรงกับความปลอดภัย ความสามารถในการเข้าถึง ความสมบูรณ์ของการประมวลผล การปิดรักษาข้อมูล และความเป็นส่วนตัวในองค์กรที่ให้บริการ

Payment Card Industry Data Security Standard (PCI DSS): รับรองความปลอดภัยในการส่งต่อข้อมูลของผู้ถือบัตรเครดิต

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR) program: ประกอบด้วยหลักสำคัญคือความโปร่งใส การตรวจสอบอย่างเข้มงวดและมีความสอดคล้องกับมาตรฐาน

Asia-Pacific Economic Cooperation (APEC) Privacy Recognition for Processor (PRP) System: ประกอบด้วย Cross-Border Privacy Rules (CBPR) และ Framework คอยคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลทั้งที่เก็บรวบรวมไว้และระหว่างการโอนย้าย

  • ความสามารถในการช่วยสนับสนุนภาระหน้าที่ในการปฏิบัติตามกฎระเบียบเฉพาะทางอุตสาหกรรมเช่น HIPAA, 21 CFR Part 11 และข้อกับหนดเฉพาะจาก FTC, FHA, IRS และ FINRA
  • กระบวนการจัดการความปลอดภัยและแนวทางปฏิบัติในการพัฒนา รวมถึงความต่อเนื่องทางธุรกิจและการวางแผนกู้คืนระบบ การฝึกอบรมพนักงาน แนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัย การตรวจสอบรหัสอย่างเป็นทางการ และการตรวจสอบความปลอดภัยฐานรหัสเป็นประจำ

โดยทั้งหมดนี้ทาง Docusign ได้มีการดำเนินการเพื่อความปลอดภัยขั้นสูงสุด ทำให้การใช้งานในการทำธุรกรรมเชื่อถือได้มีความปลอดภัย เพื่อมอบประการณ์ที่ดีให้กับลูกค้า ต้องการข้อมูลอื่นๆ เพิ่มเติมเกี่ยวกับ DocuSign E-Signature กรุณา คลิกที่นี่