Varnost podpisne komponente v spletni poslovalnici

Glede na članek z naslovom Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti, ki je bil danes objavljen na spletni strani SLOTECH (https://slo-tech.com/novice/t694978/0), obveščamo uporabnike spletne poslovalnice KD Skladi.net, da v naši spletni poslovalnici varnostne zlorabe, ki so opisane v omenjenemu članku, niso možne, čeprav je uporabljena ista podpisna komponenta »mdSign«.

Varnostne pomanjkljivosti, ki so opisane v članku, niso posledica tehničnih napak v podpisni komponenti »mdSign«, temveč so posledica pomanjkljivih postopkov pri pripravi in podpisovanju dokumentov.
Izpostavljamo bistvene razlike v postopku priprave in podpisa dokumentov, zaradi katerih je digitalni podpis v spletni poslovalnici KD Skladi.net varen:

  1. Stranka se v spletno poslovalnico vedno prijavi z osebnim digitalnim potrdilom in takoj vzpostavi šifrirano povezavo med strežnikom in odjemalcem po protokolu https.
  2. Na strežniku pripravljen dokument je podpisan z digitalnim potrdilom KD Skladi, tako da vsebine dokumenta tretja oseba ne more neopaženo spremeniti.
  3. Stranka prejme v podpis celoten dokument in ne samo identifikator dokumenta.
  4. Stranka pred podpisom celotnega dokumenta, vidi in preveri vsebino, ki jo podpisuje.
Zaradi zgoraj opisanih razlik vam v spletni poslovalnici KD Skladi.net omogočamo varen digitalni podpis z uporabo podpisne komponente »mdSign«.