Drošība

Kā Signatura aizsargā jūsu dokumentus, parakstus un revīzijas taku.

Šī lapa ir mašīntulkojums, kas nodrošināts ērtībai. Angļu valodas versija ir oficiālā un juridiski saistošā versija, un tā ir noteicošā jebkādu neatbilstību gadījumā.

Šifrēšana

Visa klienta un servera datu plūsma tiek šifrēta ar TLS 1.3. Dokumenti un datubāzes ieraksti miera stāvoklī tiek šifrēti ar AES-256. OAuth atsvaidzināšanas marķieri mākoņkrātuves integrācijām (Google Drive, Dropbox, OneDrive) tiek glabāti tikai servera pusē, šifrēti ar atsevišķu atslēgu, un nekad netiek atklāti pārlūkprogrammai.

Dokumenta integritāte

Kad dokuments ir pilnībā parakstīts, Signatura aprēķina galīgā PDF SHA-256 jaucējkodu un ieraksta to mūsu datubāzē. Ikviens var atkārtoti pārbaudīt ar Signatura parakstītu dokumentu vietnē app.getsignatura.com/verify augšupielādējot PDF — mēs pārlūkprogrammā no jauna aprēķinām tā jaucējkodu un apstiprinām, vai tas atbilst mūsu pabeigšanas ierakstam. Tas ļauj konstatēt faila izmaiņas pēc tam, kad tas ir atstājis Signatura. Pārbaude tiek veikta pret Signatura ierakstiem, nevis trešās puses apliecinājumu.

Katrs pabeigtais dokuments tiek piegādāts ar iegultu pabeigšanas sertifikāta PDF, kurā uzskaitīts katrs parakstītājs, viņa IP adrese un laika zīmogs, kā arī dokumenta SHA-256 jaucējkods bezsaistes atsaucei.

Revīzijas taka

Par katru parakstīšanas notikumu Signatura reģistrē:

  • Sūtītāja identitāti un autentifikācijas stāvokli
  • Parakstītāja identitāti (e-pasta adresi, parakstīšanas marķiera apgalvojumu)
  • Katras darbības laika zīmogu (nosūtīts, apskatīts, parakstīts, noraidīts, pabeigts, anulēts)
  • Katras darbības IP adresi un lietotāja aģentu (user-agent)
  • Lauka līmeņa ierakstus (teksta vērtības, izvēles rūtiņu stāvokļus, paraksta attēlu atsauces)

Revīzijas taka tiek saglabāta visu jūsu konta pastāvēšanas laiku un tik ilgi, cik to nosaka piemērojamie tiesību akti par dokumentu glabāšanu, un dokumenta īpašnieks tai var piekļūt par katru dokumentu atsevišķi, izmantojot informācijas paneli.

Datu atrašanās vieta & apakšapstrādātāji

Signatura darbojas, izmantojot Supabase (PostgreSQL + krātuve), kas tiek mitināta Amerikas Savienotajās Valstīs. Mēs izmantojam nelielu apakšapstrādātāju kopumu un starptautiskiem datu pārsūtījumiem paļaujamies uz katra piegādātāja publicētajiem datu aizsardzības noteikumiem (kas parasti ietver līguma standartklauzulas vai Data Privacy Framework sertifikāciju, ja piegādātājs tās piedāvā).

Pilnu apakšapstrādātāju sarakstu skatiet vietnē getsignatura.com/sub-processors. Mēs informēsim konta turētājus vismaz 30 dienas pirms jebkura jauna apakšapstrādātāja piesaistīšanas.

Piekļuves kontrole & rindu līmeņa drošība

Katrai datubāzes tabulai ir Postgres rindu līmeņa drošības (RLS) politikas, kas nodrošina piekļuvi atsevišķi katram lietotājam un katrai organizācijai. Servera puses edge funkcijas pārbauda katru pieprasījumu, izmantojot supabase.auth.getUser() vai parakstīšanas marķiera apgalvojumus; autorizācijai mēs nepaļaujamies uz klienta puses pārbaudēm. SQL ir parametrizēts no gala līdz galam — bez virkņu interpolācijas.

Parakstīšanas saišu aktualitāte

Katrs parakstītājs saņem privātu, ar marķieri ierobežotu parakstīšanas saiti. Saites paliek aktuālas 72 stundas un tiek automātiski atsvaidzinātas ar atgādinājumiem un atkārtotiem sūtījumiem; ja saite tomēr kļūst nederīga, kamēr dokumenta parakstīšanas periods vēl ir atvērts, parakstītājs var pats pieprasīt jaunu — bez vēršanās pie sūtītāja.

Jūsu dati — pārnesami un dzēšami

Konta turētāji ar vienu klikšķi sadaļā Iestatījumi > Drošība var eksportēt visus savus datus mašīnlasāmā JSON formātā — dokumentus, veidnes, kontaktus, revīzijas žurnālus, iestatījumus un citus — kā arī dzēst savu kontu ar paroles apstiprinājumu (pabeigtie parakstītie dokumenti un to revīzijas takas tiek saglabātas kā juridisks ieraksts, kā aprakstīts mūsu Privātuma politikā).

Parakstītājiem bez konta ir tādas pašas pašapkalpošanās tiesības: ar kodu apstiprināta veidlapa vietnē getsignatura.com/signer-privacy ļauj jebkuram parakstītājam eksportēt vai dzēst savus datus. Auto-Sign lietotāji jebkurā laikā var atsevišķi lejupielādēt vai dzēst savus AI analīzes datus.

Auto-Sign privātums

Auto-Sign funkcija izmanto Anthropic Claude, lai jūsu dokumentos atpazītu paraksta, datuma un teksta laukus. Tā tiek aktivizēta pēc jūsu izvēles atsevišķi katrā sesijā. Lapas tiek nosūtītas uz Anthropic API reāllaika analīzei. Anthropic nesaglabā jūsu saturu pēc API izsaukuma, un tā datu apstrādes līgums aizliedz izmantot klientu ievaddatus apmācībai. Signatura atgrieztais analīzes rezultāts (tikai lauku pozīcijas un veidi — nevis dokumenta saturs) tiek glabāts kešatmiņā mūsu infrastruktūrā līdz 1 stundai, lai izvairītos no atkārtotas analīzes, ja pārlādējat lapu, un pēc tam tiek automātiski dzēsts. Jūs jebkurā laikā varat atspējot Auto-Sign, neietekmējot nevienu citu funkciju.

Paziņošana par datu aizsardzības pārkāpumu

Ja mēs uzzinām par personas datu aizsardzības pārkāpumu, kas jūs ietekmē, mēs bez nepamatotas kavēšanās un piemērojamos tiesību aktos noteiktajos termiņos par to informēsim jūs un jebkuru attiecīgo uzraudzības iestādi. Paziņojumos tiks norādīts pārkāpuma raksturs, ietekmēto personu un ierakstu kategorijas un aptuvenais skaits, iespējamās sekas, kā arī pasākumi, ko esam veikuši vai plānojam veikt.

Atbilstības ietvari

  • ESIGN Act (15 U.S.C. § 7001) un UETA — ieviestas prasības par parakstītāja piekrišanu, nodomu, attiecināšanu un saglabāšanu.
  • eIDAS regula (ES 910/2014, ar grozījumiem, kas izdarīti ar ES 2024/1183) — tiek atbalstīti vienkāršie elektroniskie paraksti (SES) ar pieļaujamību saskaņā ar 25. panta 1. punktu visās 27 ES dalībvalstīs. Uzlabotie elektroniskie paraksti (AdES) un kvalificētie elektroniskie paraksti (QES) pašlaik netiek piedāvāti. SES ir pietiekami lielākajai daļai B2B komercdarījumu; konkrētiem augstas vērtības darījumiem (piemēram, nekustamā īpašuma pārejai, atsevišķiem darba līgumiem, oficiāliem korporatīvajiem reģistrācijas dokumentiem, mijiedarbībai ar valsts iestādēm) saskaņā ar dalībvalsts tiesību aktiem var būt nepieciešams AdES vai QES.
  • GDPR — deklarēti 6. panta juridiskie pamati, sniegti 22. panta paziņojumi par automatizētu lēmumu pieņemšanu. Mēs paļaujamies uz katra apakšapstrādātāja publicētajiem datu aizsardzības noteikumiem, nevis atsevišķi apspriestiem DPA.
  • CCPA — Kalifornijas iedzīvotāju tiesības tiek ievērotas saskaņā ar mūsu Privātuma politiku. Mēs nepārdodam personisko informāciju un nekopīgojam to starpkonteksta uzvedības reklāmai; mēs ievērojam Global Privacy Control signālu.
  • PIPEDA un BC PIPA — kā British Columbia–reģistrēts uzņēmums, uz kuru attiecas Kanādas federālie un provinces privātā sektora privātuma likumi, mūsu prakse atbilst to prasībām par piekrišanu, piekļuvi un pārskatatbildību.
  • SOC 2 — pašlaik nav sertificēts. Mēs ievērojam SOC 2 principiem atbilstošu darbības praksi, taču neesam piesaistījuši CPA auditoru oficiāla ziņojuma sagatavošanai.

Ziņošana par ievainojamību

Ja atklājat drošības problēmu, lūdzu, atbildīgi paziņojiet par to uz [email protected]. Mēs apstiprināsim jūsu ziņojuma saņemšanu 2 darba dienu laikā un novēršanas gaitā regulāri sniegsim atjauninājumus.