Честно, медицина со своими согласиями немного напрягает. Сам был в ситуации когда мне предложили расписаться ушибленной правой рукой что согласен с лечением и отказываюсь от больничного. Ну правда, по клавишам нажимать я могу и левой рукой, а вот расписаться не ведущей рукой посложнее будет.
Ближе к технической стороне. Фундаментальная проблема в том что ЭП организации, а не человека. Другими словами, организация удостоверяет что именно было подписано человеком. В случае претензий к этой организации (допустим, человек говорит что не ставил подпись) подпись самой организации не выглядит как убедительное доказательство. Допустим докажете (графологом ага, в стране так много графологов с ПО для данного планшета), что подпись пацента. Что дальше, как докажете что подписывал он именно этот документ, а не какой-то другой? Ведь это по сути заверено именно ЭП организации.
Специальным пером пациент расписывается на планшете? Тогда мне непонятно что мешает расписаться на бумаге, ведь собственноручная подпись точно есть в законе. Можно проверить что из документа не вырезали кусочек с подписью и не приклеили к другому документу. Полагаю, биометрия имела бы смысл в случае когда пациент не мог расписаться, а просто прикладывал палец или подставлял глаз для сканирования (хотя это конечно можно сделать без осмысленного согласия человека). Сбербанк сейчас в разговорах с клиентом просит говорить "да" или "подтверждаю", хоть под эти тоже нет юридической основы и можно доказать отсутствие монтажа записи. Расписываться на планшете ради электронного документооборота? Полагаю проще выдавать пластиковые карты с чипом для ЭП как в банках или в некоторых университетах. Подпись на получение собственноручная, защита данных, предупреждение никому не давать и сообщать о потере. Снова все регламентировано законодательством.
Что мешает на планшете показывать одно, а подписывать другое? Тут наверно помог бы еще и скриншот экрана планшета на момент подписи, скриншот с биометрий и подписывать, а не какой-то там pdf файл.
Что помешает перевести часы планшета или часы источника времени? Сомнительно что в планшете есть высокоточный цезиевый репер частоты, значит он периодически синхронизируется с каким-то источником времени. По идее сама строка биометрии должна содержать метку сервера доверенного времени с хэшем биометрии.
Опять же не решает проблему взаимоотношений между объектами (биометрией, ЭП, скриншотом). Что помешает скопировать строчку биометрии в другую подпись с другим скриншотом и подписать ЭП организации? Метка доверенного времени показывает что данные не изменялись с некого достоверно известного момента, но нет защиты от изменения данных до получения метки доверенного времени. Удаляете метку, изменяете, получаете новую метку - готово. Просто времени между отметкой времени в биометрии и в ЭП организации как будто прошло больше времени.
Место - имеется место на планшете для графолога или GPS/глонасс? Тут тоже геолокация наверно мало что даст для доказательства подлинности, про графолога выше писал, что именно подписано так не докажете.
В итоге, с моей точки зрения, в данной схеме очень много дыр.
Отредактировано пользователем 14 ноября 2019 г. 12:02:36(UTC)
| Причина: Не указана