10 April 2013

De ce afacerile au nevoie de arhivare pe termen lung?

Share Button


Arhivarea pe termen lung a documentelor electronice

Multe dintre companii trebuie sa se asigure ca datele importante si documentele sunt arhivate si raman in forma lor originala chiar si peste 10, 20 sau chiar 50 de ani. Companiile trebuie sa pastreze inregistrari electronice autentice pentru cel putin 7 ani pentru a raspunde cerintelor de conformitate. Contractele, documentele de asigurare, acordurile financiare, fisele medicale si alte date trebuie sa fie pastrate corect pentru o perioada indelungata de chiar 100 de ani sau mai mult.

Problemele de securitate
In orice document digital continutul este usor de modificat, se pot copia logo-urile si se pot crea documente realiste, dar frauduloase. Documentele de tip PDF, XML sau alte documente electronice neprotejate nu pot oferi o modalitate de a determina daca sunt autentice sau daca au fost modificate de la crearea lor in cazul unei examinari viitoare . Exista o solutie pentru aceste nevoi: este foarte usor sa semnati electronic si sa aplicati o marca de timp pe documentele electronice. Astfel puteti crea o amprenta digitala pentru date care pastreza criptat dovada matematica a integritatii documentelor. Fara o incredere eficienta, aceste inregistrari sunt deschise pentru modificari neautorizate care vor crea riscuri substantiale de business si probleme neprevazute daca nu sunt eliminate.

Crearea unei increderi
Increderea poate fi oferita pentru documentele electronice de business prin semnare lor digitala si aplicarea unei marci de timp prin utilizarea produselor si serviciilor standard. Chiar daca nu sunt adaugate semnaturi electronice pe un document, credibilizarea documentului semnat digital poate sa devina o problema de business intr-un timp foarte scurt. O marca de timp ar trebui sa aiba o durata indelungatata de viata .

Unele sisteme vor esua in a verifica documentele dupa expirarea certificatului digital al semnatarului sau al autoritatii de marcare temporala. Totusi exista doua optiuni care pot rezolva aceasta situatie:
  • Crearea de semnaturi pe termen lung care sa includa o marca de timp cu data semnarii. Semnaturile pe termen lung trebuie sa includa si un raspuns de la o autoritate de validare care sa confirme ca certificatul semnatarului a fost valid la momentul semnarii
  • Utilizarea serviciilor de validare a istoricului pentru a verifica lista de revocari ale certificatelor (CRL) care era actuala la momentul semnarii.
Oricare dintre cele doua optiuni reprezinta abordari bazate pe standarde si au mai putina dependenta de capacitatea de securitate sporita din aplicatiile pentru utilizatori finali.

Situatia este mai buna daca decideti sa transmiteti sarcina de credibilizare catre solutii robuste viabile care au fost create pentru crearea si verificarea de arhive. Pot fi utilizati si furnizorii de servicii. Ei pot oferi serviciile de credibilitare prin pagini web. Aplicatiile standard de business trebuie sa fie capabile sa gestioneze astfel de caracteristici avansate pentru multi ani in viitor. Lansarea unui serviciu separat ca parte din procesul fluxului de lucru al afacerii este de bun augur. Datele originale pot fi procesate tot de aplicatie, dar se verifica mai intai increderea datelor.

Servicii de arhivare
O semnatura electronica simpla si o marca de timp sunt suficiente pentru documentele care trebuie pastrate timp de 7 ani. Semnatura electronica va identifica autorul sau persoana care aproba documentul, sau poate identifica chiar compania, in cazul in care sunt primite date care au fost arhivate si atestate. O astfel de notarizare se poate realiza imediat de o aplicatie web care primeste datele. Aplicatia va notariza datele in sistemul de arhivare si le va transmite in sistemele de tip ERP, CRM sau alte sisteme de business. In functie de nevoile de business, poate fi utilizata si arhivata o semnatura detasata sau poate fi aplicata o semnatura PDF sau XML incorporata. Un astfel de sistem de arhivare poate fi gestionat ca serviciu intern sau extern. In oricare dintre cazuri, inregistrarile sunt realizate imediat dupa primirea datelor.

In afacerile actuale, chiar si institutiile guvernamentale si in bancile mari se utilizeaza algoritmi si lungimi de chei care au o durata de viata de 5 pana la 15 ani. In prezent, FIPS recomanda ca sa nu mai fie utilizat algoritmul SHA-1. La aceste hash-uri si semnaturi apar deseori erori si devine prea usor de falsificat o modificare importanta in datele de incredere. O arhiva simpla ar trebui cel putin sa re-protejeze datele utilizand algoritmi de inalta performanta. De exemplu o cerinta legala din Germania solicita ca arhivele sa utilizeze chei RSA de 2048-bit si algoritmi SHA-512. Acestea se asteapta sa protejeze datele pentru o perioada de timp cuprinsa intre 25 si 30 de ani.

Securitatea pe termen lung
Pentru a arhiva si pastra datele pe termen lung de cel putin 30 de ani, sunt solicitate abordari alternative. Fisierele de arhiva cu dovezi pe termen lung sunt necesare pentru a atesta precizia unui document sau fisier cu date atunci cand au fost procesate pentru prima data. Aceste fisiere de arhiva cu dovezi sunt implementate cel mai bine ca documente separate care detin o structura XML de autodescriere. Fisierele permit nivele multiple de semnatura electronica si marca de timp care sa fie aplicate asupra unui hash al datelor originale. Standardul IETF LTANS include o astfel de functie. Aceasta tehnica utilizeaza noi tehnologii care pot fi aplicate pentru a proteja datele originale si toate nivelele de protectie anterioare atunci cand algoritmii de securitate actuali sunt vulnerabili sau chiar atacati. Este clar ca trebuie acordata o atentie sporita modului in care sunt definite, create, gestionate si utilizate astfel de solutii de arhivare a datelor pe termen lung. Ascertia detine experienta considerabila in acest domeniu pentru a furniza o solutie de arhivare de exemplu pentru o biblioteca nationala.

In prezent ADSS Archive Server de la Ascertia ofera optiuni care permit integrarea cu usurinta a serviciilor de arhivare LTANS. ADSS Server este capabil sa verifice toate semnaturile care sunt asociate cu datele care sunt arhivate. Serverul poate arhiva si datele nesemnate sau criptate. Aceasta este o optiune necesara pentru imaginile scanate. Documentele sunt arhivate eficient astfel incat sa poata fi afisate in format orginial nemodificat.

Arhivarea documentelor de business



Cum pot fi verificate independent datele arhivate?
Utilizarea unei arhive auto-descriptiva permite identificarea si descrierea tipului de document protejat, a algoritmilor, a lungimilor de chei si a schemei de credibilizare. Deci arhivele cu date pot fi accesate si continutul poate fi verificat. De vreme ce dovezile arhivei sunt independente de documentul original atunci verificarea poate fi realizata prin obtinerea hash-ului pentru date, prin verificarea marcii de timp de pe semnaturi.

De ce este necesar acest lucru?
Fara o astfel de protectie documentele electronice pot fi modificate foarte usor in special daca sunt utilizate in afara unui sistem intern de gestiune a documentelor. Totusi chiar si cu un astfel de sistem pot exista modificari realizate de angajati sau colaboratori privilegiati. De-a lungul timpului va imposibil de dovedit ca nimic nu s-a modificat daca nu sunt utilizate tehnici criptografice solide care sa protejeze datele.
In cativa ani, algoritmii criptografici actuali si lungimile de chei vor fi vulnerabili pe masura ce vor aparea tot mai multe atacuri informatice. Credentialele de semnare ale utilizatorilor vor expira si uneori vor fi revocate din diferite motive chiar si in timpul perioadei de valabilitate. Increderea si siguranta oferite de solutiile de arhivare pe termen lung reprezinta aspecte deosebit de importante pentru orice serviciu notarial. Aplicabilitatea nu este restrictionata pe niciun segment de piata vertical. Orice afacere care stocheaza date importante pentru orice perioada de timp (scurta, medie , lunga sau infinita) trebuie sa demonstreze ca datele nu au fost modificate de la aprobarea sau arhivarea lor (sau ambele). Acest lucru se poate realiza prin utilizarea dovezilor clare care sa fie acceptate la o examinare independenta a expertilor. Rezultatele vor fi semnate pentru a aproba ca sistemul de arhiva ofera informatii de incredere.

In concluzie, datele care trebuie sa fie pastrate pentru o perioada de timp mai mare de 10-15 ani trebuie sa detina o protectie avansata pentru viitor.

Unde poate fi utila o astfel de abordare?
Arhivarea documentelor de business poate fi aplicata in orice domeniu in care legislatia, reglementarile sau riscul afacerii o solicita. Integrarea unui serviciu de arhivare este usor de realizat pentru:
-facturi electronice si alte documente si inregistrari financiare
-propuneri de reglementare, documente cu politici de asigurare, contracte de imprumut
-documente guvernamentale locale sau centrale, fise medicale, sisteme pentru bibioteci
-schite de inginerie, arhitectura, planificare, cercetare si dezvoltare
-date de testare si studii solicitate pentru evaluari si aprobari independente
-reguli, proceduri, controale interne si documente de conformitate etc.

Decoperiti aici mai multe informatii despre ADSS Archive Server. >>


No comments:

Post a Comment