Данная статья была опубликована 28 сентября 2023 года во французском издании «Новый экономист» (Le nouvel Economiste).
Какие стандарты должен соблюдать поставщик услуг, чтобы обеспечить юридическую силу сохраненных в электронном виде документов?
Продолжается распространение электронных счетов-фактур, онлайн-сейфов для платёжных квитанций, электронного документооборота, вытесняющего бумажный… В пост-ковидном мире труда компании в основном приспособились к удаленной работе и к переводу своих деловых процессов в электронно-цифровой вид. Ввиду этих изменений возникает потребность в обеспечения безопасности хранения и архивирования данных. Как обеспечить наличие у сохраняемых в электронном виде документов такой же юридической и доказательной силы, как и у их бумажных эквивалентов? В каких условиях их следует хранить, чтобы их доказательная сила не утрачивалась с течением времени? Как обеспечить прозрачность всего жизненного цикла документов в условиях, когда всё хранится на серверах?
«Когда мы продаём клиенту услугу хранения документов в электроном виде (услугу электронной архивации - archivage électronique), мы принимаем на себя обязательство соблюдать два основных фундаментальных требования: срок хранения и возможность онлайн-доступа к документам. Мы способны гарантировать целостность документа в течение 50 лет», — объясняет Шарль дю Булле (Charles du Boullay), генеральный директор компании Docaposte - лидера рынка электронного документооборота и электронной архивации.
Сегодня эта дочерняя компания группы La Poste управляет 15 миллиардами документов своих клиентов. Для Docaposte, как и для всех других поставщиков услуг электронной архивации документов, стремительное расширение практики электронного подписания документов после пандемии вызвало у компаний растущую обеспокоенность по поводу сохранения юридической и доказательной силы своих «заархивированных» электронных документов. Центральным вопросом является защита от возможных рисков в случае юридического или коммерческого конфликта. «Цифровое доверие строится на управлении всей цепочкой движения документов. Одной хорошей системы электронного хранения (архивации) документов недостаточно. Нет смысла хранить документы, происхождение которых невозможно установить», - поясняет Пьер Фюзо (Pierre Fuzeau) из компании Serda Conseil.
Вычисление хешей
Во Франции опубликованный национальным органом по стандартизации AFNOR стандарт NF Z42-026 определяет критерии, гарантирующие изготовление надёжных электронных копий бумажных документов, т.е. имеющих равную доказательную силу в суде.
Мой комментарий: Речь идёт о стандарте NF Z 42-026:2023 «Определение и спецификации услуг по надёжной оцифровке документов на бумажном носителе и контроль над оказанием этих услуг» (Définition et spécifications des prestations de numérisation fidèle de documents sur support papier et contrôle de ces prestations), см. https://www.boutique.afnor.org/fr-fr/norme/nf-z42026/definition-et-specifications-des-prestations-de-numerisation-fidele-de-docu/fa203212/343604 - см. мой пост http://rusrim.blogspot.com/2023/04/nf-z-42-026-1.html
Таким образом, соблюдение требований этого стандарта является важным предварительным условием для того, чтобы после оцифровки можно было уничтожить бумажные подлинники. После пяти лет применения этот стандарт (впервые принятый в 2017 году – Н.Х.) был пересмотрен в 2023 году AFNOR с целью укрепления связей между поставщиками услуг оцифровки и заказчиками посредством соглашений о качестве оцифровке, направленных на гармонизацию и оптимизацию документационных процессов и процедур. «При получении документов мы систематически вычисляем их хеши. Если впоследствии в документе что-то будет изменено, мы сразу об этом узнаем. Таким образом, мы обеспечиваем отсутствие в документах изменений или модификаций», - объясняет Шарль дю Булле.
«В тот момент, когда клиент запрашивает документ, специалист по управлению электронным архивом заново рассчитывает значение хеша (и сравнивает его с эталонным – Н.Х.), чтобы убедиться в верности соответствующего документа»
Перед размещением на серверах документы снабжаются отметкой времени, [электронной – Н.Х.] печатью и подписью. Это целая процедура, позволяющая гарантировать их целостность и соответствие стандарту NF Z42-026. В тот момент, когда клиент запрашивает документ - например, платежную ведомость, нужную для подготовки расчёта с сотрудников при выходе того на пенсию - специалист по управлению электронным архивом заново рассчитывает значение хеша (и сравнивает его с эталонным – Н.Х.), чтобы убедиться в верности соответствующего документа.
Данный стандарт дополняется ещё одним стандартом - NF Z42-013, в котором описаны передовые методы обеспечения защищённого хранения цифровых файлов в системе управления электронными документами, а также их целостности, долговременной сохранности и отслеживаемости.
Мой комментарий: Здесь упоминается стандарт NF Z 42-013:2020 «Управление электронными документами – Рекомендации и требования» (Archivage électronique - Recommandations et exigences, см. https://www.boutique.afnor.org/fr-fr/norme/nf-z42013/archivage-electronique-recommandations-et-exigences/fa197009/260701 ) - о нём также см. мой пост http://rusrim.blogspot.com/2020/10/nf-z-42-013.html . На основе предыдущей редакции этого французского стандарта был подготовлен международный стандарт ISO 14641:2018 «Управление электронными документами - Проектирование и эксплуатация информационной системы для обеспечения долговременной сохранности электронных документов - Требования» (Electronic document management - Design and operation of an information system for the preservation of electronic documents – Specifications – о нём см. http://rusrim.blogspot.com/2018/06/iso-14641.html ). Знаю, что в 2020 году был подготовлен проект ГОСТ Р ИСО на основе ISO 14641:2018, но, по причинам организационно-финансового характера, до публикации дело так и не дошло…
Франция на переднем крае стандартизации
Франция была пионером в области нормативного регулирования вопросов хранения электронных документов. Два упомянутых выше стандарта были разработаны на национальном уровне, а затем переработаны на международном уровне в стандарты Международной организации по стандартизации (ИСО), в то время как обычно всё происходит в обратном направлении.
Сегодня специалисты отрасли изучают возможность гармонизации требований к сохранению доказательной силы электронных документов в европейском масштабе, поскольку работающие в нескольких странах крупные компании хотели бы обеспечить техническую интероперабельность. Они хотят, чтобы гармонизированные правила позволили избежать юридических споров и технологических проблем, связанные с управлением их электронными архивами. «Это также проблема суверенитета при стратегическом управлении информацией. Нам нужны собственные стандарты, чтобы не подпадать под действие правил, написанных американцами или китайцами», - подчёркивает Северин Дени, член технического комитета по стандартизации, работающего над этим вопросом в рамках европейской программы действий цифрового десятилетия.
Электронная подпись и метаданные
Формируемый Евросоюзом пакет законов направлен как на ускорение цифровой трансформации малых и средних предприятий континента, так и на достижение 100% цифровизации основных государственных услуг. Что касается усиления доказательной ценности цифровых процессов, то Европа уже сделала первый шаг в 2014 году, приняв «регламент» (закон) eIDAS об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке.
Данный закон предусматривает несколько уровней безопасности электронной подписи. Первый позволяет аутентифицировать подпись с использованием системы двойной аутентификации, а второй основан на ручной доставке USB-токена, позволяющего аутентифицировать подпись. «Во время подписания фиксируются многочисленные метаданные: отметка времени, режим шифрования, срок действия и т.д. Метаданные затем сохраняются в связанном с документом «файле доказательств» (dossier de preuve), необходимого для подтверждения его подлинности», — комментирует Пьер Фюзо.
«Потребности в отношении доказательной силы неодинаковы для, например, документов отдела кадров и отдела продаж. Это всё вопрос сочетания хороших методов использования и хороших технологий».
«Чтобы наладить надёжное управление документами, крайне важно выявить имеющиеся правовые риски и определить приоритетность документов, которые должны иметь доказательную силу», - считает директор по продажам компании Coexya Пьер Гашон (Pierre Gachon), многопрофильный специалист, который одновременно выступает в роли интегратора, издателя программного обеспечения, а также консультанта по вопросам цифровой трансформации. Когда нужно проконсультировать клиента по вопросам реализации стратегии электронной архивации, компания Coexya использует стандартизированные «матрицы значимости» (matrices d’éligibilité), позволяющие классифицировать документы по степени их важности во взаимосвязи с составлением каталога правовых рисков. Потребности в отношении доказательной силы неодинаковы для, например, документов отдела кадров, бухгалтерии и отдела продаж. Это всё вопрос сочетания хороших методов использования и хороших технологий.
Суверенитет данных
В последнее время компания Coexya прибегла к технологии блокчейна для защиты процессов электронного подписания и обмена документами. В мире электронной архивации это единственный крупный технологический прорыв, поскольку в целом ландшафт технологий остается стабильным на протяжении уже несколько лет. «Срок службы наших дисков колеблется от пяти до десяти лет. Мы очень хорошо управляем операциями по миграции данных и обновлению форматов», - уверяет Шарль дю Булле. «Технологии не являются проблемой. Центральный проблемным вопросом является суверенитет данных. Поставщик услуг вполне может соблюдать французские национальные стандарты и при этом размещать свои данные на американских серверах с учетом экстерриториальности», — продолжает Северин Дени. Хотя доказательная сила документов является важным вопросом для компаний, она не должна затмевать геополитические проблемы, связанные с борьбой за контроль над данными.
Бенуа Колле (Benoît Collet)
Источник: сайт издания «Новый экономист» (Le nouvel Economiste)
https://www.lenouveleconomiste.fr/lesdossiers/la-valeur-probatoire-de-larchivage-electronique/
Комментариев нет:
Отправить комментарий