...

Är signerade dokument juridiskt bindande?

• Fråga din jurist!.

Har eduSign en privacy policy?

• Ja, eduSigns privacy policy går att läsa på Sunets wiki under information och processer.

Vilka avtal krävs, och vad kostar tjänsten?

...

• Vi utgår ifrån att svaret är nej eftersom tjänsten inte sparar dokument som skickas.
• Se även frågan om avtal ovan samt svaret om huruvida data lagras i tjänsten.

Hur många kan signera ett dokument i eduSign?

• I dagsläget finns en begränsning att upp till och med 12 personer kan signera ett och samma dokument i eduSign. Detta beror på att det är antalet signaturer som får plats på den grafiska representationen av signatursidan. Vi upplever inte detta vara ett problem, men skulle det vara så att många organisationer vill att vi ökar denna begränsning kommer vi se över frågan.

Jag har en ide om en ny feature!

• Skicka ett mail till tjänsteförvaltaren som anges som kontaktperson på Sunet hemsida för eduSign.

Jag får felet "Batch Upload Failed". Vad betyder det?

Hur stora dokument går att signera med eduSign?

• I dagsläget har vi satt en gräns på 20MB på storleken på dokument som går att ladda upp i eduSign och signera.

Går det att se statistik för eduSign?

•  Vi har i dagsläget ingen dedikerad statistiktjänst för just signeringar. Däremot går det att få en indikation på användandet genom att se på Géants f-ticks tjänst.
  • Gå till https://f-ticks.edugain.org/index.html
  • Klicka på Statistics -> SPs
  • Välj last 12 month uppe till höger
  • Välj er IdP som idp (om det inte kommer upp något resultat betyder det förmodligen att er IT-avdelning inte slagit på fLog mot Sunet/Swamid)
  • Välj signservice.edusign.sunet.se som sp
• I ovan förfarande ser man hur många autentiseringar som gjorts från en IdP mot signservice. Dvs hur många gång en användare har signerat i eduSign. Att notera är dock att "en signering” kan även vara en bulksignering i eduSign, så själva antalet dokument som signeras kan vara högre än antalet autentiseringar mot signservice.
• OBS Kör en IdP ADFS går det inte att rapportera f-ticks just nu, men en uppdatering av ADFS toolkit som väntas till våren (2024) kommer kunna ändra på just dettaDetta är ett mycket dålig felmeddelande som eg betyder att din inloggningsession gått ut. Ladda om sidan och logga in igen.

Validering av signaturer

Vad innebär en validering?

• Att gå från en process att manuellt skriva sin namnunderskrift på papper till att gå över till en digital process och använda e-signaturer kan kräva vissa förändringar för många organisationer. I grunden är det ofta samma funktion som eftersträvas men processerna behöver ofta ändras eller se något annorlunda ut. Nedan är några liknelser mellan namnunderskrifter för hand på papper och validering av e-signaturer för att skapa en större förståelse för hur det går att relatera till dessa nya processer. Sunet tjänst eduSign följer de rekommendationer som DIGG och PTS har i relation till digitala signaturer och validering, det går att läsa mer om det på PTS sida dessa begrepp i PTS utredning om Betrodda tjänster enligt eIDAS.
• En validering av en e-signatur kan generellt jämföras med att ta ett dokument som har namnunderskrifter gjorda med penna på papper och kontakta alla personer som signerat och jämföra underskrifterna med deras signaturer på deras respektive identitetshandlingar.
  Det är dock väldigt sällan som ovan jämförelse görs, så varför behöver vi då validera e-signaturer? Det är faktiskt inte säkert att det behövs. MEN om det uppstår en tvist eller oklarhet i relation till ett signerat dokument så är det fördelaktigt att det är väldigt enkelt att göra just denna jämförelse i relation till e-signaturer, dvs göra en validering av signaturen. En annan fördel med den digitala valideringen är att det även blir tydligt ifall integriteten på dokumentet är intakt, dvs ifall någon har ändrat något sedan dokumentet signerades.

...

• eduSIGN följer DIGGs tekniska ramverk för digitala signaturer för Svenska svenska myndigheter.
• DIGGs ramverk fokuserar på säkra signaturer och följer CEF byggblock för signaturer inom EU som fungerar på annat sätt än Adobes egna signaturer.
• Inom projektet undersöker vi möjligheterna att koppla signaturerna till certifikat utfärdade av någon publik certifikatsfabrik
• Redan idag kan man välja att lista eduSIGNs certifikat som en betrodd certifikatsutfärdare i Adobe Acrobat/Reader

...

• Nej!
• Uppladdade dokument finns endast i minnet medans signaturen genomförs. Om användaren inte laddar ner dokumentet försvinner det helt. 
• När en användare bjuder in andra att signera så finns dokumentet på Sunets servrar temporärt fram tills dess att alla har svarat på inbjudan eller den som bjuder in andra att signera tar bort dokumentet.
•  Information om inloggade användare finns också bara i minnet medans signaturen genomförs - det skapas mao med andra ord inga permanenta identiteter i tjänsten

Vad händer om en användare tar bort ett dokument ur eduSign?

• Det finns två scenarios att ta hänsyn till när en användare tar bort dokument från eduSign.
  • Det som kallas Personliga dokument och Mallar i eduSign lagras i användarens lokala webbläsare, dvs deras egen dator. Om en användare tar bort detta dokument ur eduSign så tas det bort från den användarens lokala webbläsares lagringsyta.
  • De dokument som en användare bjuder in andra att signera lagras temporärt på Sunets servrar fram tills dess att signeringsflödet avslutas. Om användaren som bjudit in andra att signera tar bort detta dokument kommer information om detta dokument tas bort från Sunets servrar och de som varit inbjudna att signera dokumentet blir notifierade via ett e-post att signeringsförfrågan har avbrutits.

Vilka attributkrav gäller för tjänsten?

...

• Svaret på den frågan är komplext - tekniskt är signaturen väldigt säker: vi använder nycklar med hög säkerhet och återanvänder aldrig en nyckel för mer än en signatur textill exempel.
• Säkerheten i signaturen beror också på hur mycket man litar på säkerheten i inloggningen.
• För närvarande finns inga hårda krav på högre förtroendenivå i tjänsten men information om vilken förtroendenivå som används (se tex SWAMID Assurance Profiles) kommer lagras i signaturen.

...

• Det går inte för närvarande och vi har heller inga konkreta planer på just BankID. Orsaken är att vi ser uppenbara risker med att bryta mot BankIDs licensvilkor som förbjuder sk så kallad identitetslänkning. Se vidare frågan om Svensk e-leg och eIDAS nedan.

...

För tekniker och integratörer

Går det att bjuda in personer att signera i eduSign via e-postalias?

• Som standard går det bara att bjuda in personer att signera via den e-post de har kopplat till sitt "mail" attribut i deras IdP.
  Men om en organisation konfigurerar att släppa även mailLocalAddress från deras IdP till eduSign så går det också att bjuda in personer att signera via deras e-postalias. Förutsatt att mailLocalAdress populeras med de lokala e-postalias som används inom organisationen.
  Attributet som behöver släppas till eduSign är alltså mailLocalAddress enligt http://www.geant.net/uri/dataprotection-code-of-conduct/v1 entitets kategori (aka CoCov1) eller https://refeds.org/category/code-of-conduct/v2 entitets kategori (aka CoCo v2). 
  Se även mer information på SWAMIDs wiki.

Kan jag köra en egen instans av edusign.sunet.se?

• Ja det är möjligt men det krävs en del förberedelser. Läs Teknisk Dokumentation för att få en uppfattning om insatsen.
• OBS att olika instanser har olika signerings-certifikat och av säkerhetsskäl finns det fn för närvarande ingen rutin för att olika instanser ska kunna signera varandras dokument. Dokument som signeras av fler parter måste alltså för närvarande signeras inom samma instans.

...