Skip to main content

Anhang zum ID-Check für AES für Docusign eSignatur

Datum der Version des Service-Anhangs: 10. Januar 2020

Sofern in diesem Service-Attachment nicht anders definiert, haben die in Großbuchstaben geschriebenen Begriffe die Bedeutung, die ihnen in der Vereinbarung gegeben wird.

1. DEFINITIONEN

"Fortgeschrittene elektronische Signatur" (oder "AES") bedeutet fortgeschrittene elektronische Signatur gemäß der Definition in Artikel 3-11 von eIDAS.

"Zertifikat(e)" bedeutet das von der CA über den Dienst für einen Unterzeichner generierte Zertifikat, das die eindeutige Verbindung zwischen den Unterzeichnerinformationen und einem öffentlichen Schlüssel bescheinigt. Der öffentliche Schlüssel ist eindeutig mit einem von Docusign France verwalteten privaten Schlüssel verbunden. Der Begriff "Zertifikat" bezeichnet in diesem Fall das Zertifikat für die elektronische Signatur, wie in Artikel 3-14 der eIDAS definiert, das von Docusign France zugunsten eines Unterzeichners erstellt wird.

"Zertifizierungsstelle" (oder "CA") ist Docusign France, die Stelle, die Zertifikate generiert und den Lebenszyklus des Zertifikats (Ausstellung, Erneuerung, Widerruf) auf Antrag der Registrierungsstelle verwaltet, in Übereinstimmung mit den Regeln und Praktiken, die in ihrer/ihren Zertifizierungspolitik(en) und dem zugehörigen Certification Practice Statement definiert sind.

"Zertifizierungsrichtlinie" (oder "CP") bezeichnet das von der CA veröffentlichte Regelwerk. Eine Zertifizierungsrichtlinie beschreibt die allgemeinen Merkmale der Zertifikate sowie die Pflichten und Verantwortlichkeiten der CA, der RA, der Unterzeichner, der Zertifikatsanforderer und aller anderen PKI-Komponenten, die an der Verwaltung des Lebenszyklus eines Zertifikats beteiligt sind. Die Zertifizierungsrichtlinie(n) von Docusign und ihre nachfolgende(n) Aktualisierung(en) können auf der Website von Docusign (https://www.docusign.fr/societe/certification-policies) eingesehen werden und sind integraler Bestandteil dieses Service Anhangs. Für die Zwecke dieser Service-Ergänzung lautet die anwendbare OID 1.3.6.1.4.1.22234.2.14.3.32.

"Zertifikatswiderrufsliste" (oder "CRL") ist die Liste der ungültigen Zertifikate, die vor ihrem Ablaufdatum widerrufen wurden. CRLs werden in regelmäßigen Abständen herausgegeben und sind von der CA, die die Zertifikate in der Liste ausgestellt hat, digital signiert. Die URL, unter der die CRL zu finden ist, ist im Zertifikat enthalten.

"Dokumentation" bezeichnet die kommerzielle, funktionale und technische Dokumentation, die sich auf den Service bezieht und dem Kunden von Docusign zur Verfügung gestellt wird, einschließlich der Zertifizierungsrichtlinien. Die Dokumentation kann in Papierform, auf einem magnetischen Speichermedium oder in jedem anderen von Docusign verwendeten Format vorliegen.

"Docusign France" (oder "DSF") bedeutet Docusign France SAS, eine Tochtergesellschaft von Docusign.

"eIDAS" bezeichnet die EU-Verordnung Nr. 910/2014.

"ID Check für AES" (oder "Service") bezeichnet den Docusign ID Check für AES Service, der (i) fortgeschrittene elektronische Signaturen, (ii) die RA-Onlineschnittstelle und (iii) Beweisspeicherdienste bereitstellt. Der Dienst ist über Docusign Signatur zugänglich.

"Schwerwiegender Sicherheitsvorfall" bezeichnet eine Aktivität, die (i) den Dienst und/oder (ii) die Daten des Unterzeichners betrifft, die wahrscheinlich zu einem Verlust der Integrität, Vertraulichkeit, Verfügbarkeit und/oder des Nachweises im Dienst führt, einschließlich der Unterzeichner-Identifizierungsoperation durch die Zertifizierungsstelle, der Widerrufsanfragen des Unterzeichners durch den Kunden, der Speicherung persönlicher Daten in Docusign Signatur und der Docusign Signature- und Unterzeichner-Signieroperation.

"Privater Schlüssel" bezeichnet einen mathematischen Schlüssel, der mit dem öffentlichen Schlüssel verbunden ist, der geheim ist, eindeutig in einem Hardware-Sicherheitsmodul (HSM) enthalten ist und vom Unterzeichner aus der Ferne aktiviert wird, um eDokumente zu signieren. Für die Zwecke dieses Service-Anhangs werden die privaten Schlüssel nur für den Zweck einer einzigen Transaktion generiert und nach Abschluss dieser Transaktion gelöscht.

"Registration Authority" (oder "RA") ist Docusign France, die Einrichtung, die Anträge auf Ausstellung, Erneuerung und Widerruf von Zertifikaten registriert. Die RA sammelt elektronische Kopien des ID-Dokuments des Unterzeichners, um den Namen des Unterzeichners zu verifizieren und die Identität des Unterzeichners zu belegen. Die RA interagiert direkt mit der CA und verwendet Docusign Signature zur Interaktion mit dem Unterzeichner.

"Registrierungspolitik" bezeichnet die von der Registrierungsstelle definierten und umgesetzten Verfahren und Regeln zur Identifizierung und Authentifizierung von Unterzeichnern, zur Überprüfung und Speicherung von Belegen für die Registrierung von Unterzeichnern und zur Registrierung von Anträgen auf Ausstellung, Erneuerung und Widerruf von Unterzeichnerzertifikaten.

"Unterzeichner" bedeutet jede Person, die eDokumente mit dem Dienst unterzeichnet.

"Unterzeichnerinformationen" bezeichnet die persönlichen Daten (einschließlich Name, E-Mail-Adresse, Mobiltelefonnummer und Kopie eines offiziellen Ausweises), die zur Identifizierung eines Unterzeichners verwendet werden.

"Transaktion(en)" bezeichnet die Durchführung eines Signaturprozesses, definiert durch eine Reihe von eDokumenten, die zur elektronischen Signatur eingereicht werden, durch einen oder mehrere Unterzeichner über Docusign Signatur.

"Schwachstelle" bezeichnet einen Pfad im Dienst, in den Daten oder im Kundensystem, der zu einem schwerwiegenden Sicherheitsvorfall führen kann.

2. FORTGESCHRITTENE SIGNATUR

2.1 Die Parteien erkennen an und vereinbaren, dass: (a) Docusign France ein "Vertrauensdiensteanbieter" für die Zwecke der Bereitstellung des Dienstes ist; (b) wenn der Kunde mit Docusign einen Vertrag über die Bereitstellung des Dienstes und der damit verbundenen Zertifizierungsdienste abschließt, Docusign befugt ist, als Vertreter für und im Namen von Docusign France für die Zwecke des Vertragsabschlusses mit dem Kunden zu handeln, während Docusign France das Unternehmen ist, das die tatsächliche Lieferung von fortgeschrittenen elektronischen Signaturen und Zertifikaten bereitstellt; und (c) die Nutzung des Dienstes davon abhängig ist, dass der Kunde die Bedingungen dieses Service-Anhangs einhält.

2.2 Während der Laufzeit und vorbehaltlich der Bedingungen dieses Service-Anhangs hat der Kunde das begrenzte Recht, eDokumente an Unterzeichner zu senden, die mit dem Dienst über Docusign Signature signiert werden. Das Recht zur Nutzung des Dienstes ist auf die autorisierten Unterzeichner des Kunden beschränkt. Der Kunde und seine Beauftragten dürfen den Dienst nicht weiterverkaufen oder anderweitig bereitstellen oder bei der Bereitstellung des Dienstes helfen: (a) zugunsten einer anderen Partei; (b) als Teil eines Dienstes, den der Kunde Dritten anbietet; oder (c) im Rahmen einer Sublizenz- oder Dienstleistungsvereinbarung.

2.3 Der Kunde erkennt an und stimmt zu, dass er von Docusign vollständig darüber informiert wurde bzw. hiermit informiert wird, dass:

(a) der Service auf Docusigns anwendbaren Zertifikatsrichtlinien basiert;

(b) die Zertifizierungsrichtlinien  wesentliche Verpflichtungen von Docusign gegenüber Dritten darstellen, die sich auf den Service verlassen; und

(c) die Zertifizierungsrichtlinien wurden oder werden dem Kunden vor dem Startdatum der Bestellung des Dienstes zur Verfügung gestellt und können auf der Website von Docusign, https://www.docusign.fr/societe/certification-policies, abgerufen werden.

3. VERANTWORTLICHKEITEN DES KUNDEN.

3.1 Der Kunde erkennt an, dass er von Docusign alle Informationen erhalten hat, die er benötigt, um zu beurteilen, ob der Service seinen Bedürfnissen entspricht und um alle notwendigen Vorkehrungen für die Implementierung und den Betrieb des Service zu treffen.

3.2 Der Kunde ergreift Maßnahmen, um korrekte und vollständige Informationen an die RA zu senden, die die Ausstellung von Zertifikaten unterstützen. Der Kunde erkennt an, dass Docusign die Mobiltelefonnummern und E-Mail-Adressen des Unterzeichners nicht überprüft.

3.3 Der Kunde ist für die Richtigkeit und Vollständigkeit der an Docusign gesendeten Informationen für die Ausstellung von Zertifikaten verantwortlich. Docusign lehnt jede Haftung für die Richtigkeit der vom Kunden und Unterzeichner übermittelten Unterzeichnerinformationen ab.

3.4 Der Kunde kann über eine sichere Remote-Verbindung auf den Dienst zugreifen. DEMENTSPRECHEND TRÄGT DER KUNDE DIE ALLEINIGE VERANTWORTUNG FÜR ALLE FOLGEN, DIE SICH AUS DER UNBEFUGTEN NUTZUNG SEINER PRIVATEN SCHLÜSSEL UND ZERTIFIKATE, DIE DEN ZUGRIFF AUF DEN DIENST ERMÖGLICHEN, DURCH DRITTE ERGEBEN, UNABHÄNGIG DAVON, AUF WELCHEM WEGE SIE VOM KUNDEN ERLANGT WURDEN.

4. DOCUSIGN-VERANTWORTLICHKEITEN

4.1 Vertrauensdiensteanbieter (TSP). Docusign unternimmt wirtschaftlich angemessene Anstrengungen, um: (a) sicherzustellen, dass seine Rechenzentren und die Informationstechnologie seiner verbundenen Unternehmen sicher und vertrauenswürdig sind; (b) den Namen jedes Unterzeichners anhand einer Kopie eines gültigen amtlichen Ausweisdokuments, das der Unterzeichner im Rahmen des Dienstes zur Verfügung stellt, zu verifizieren; und (c) sicherzustellen, dass elektronische Signaturen, die mit dem Dienst erstellt werden, vorbehaltlich der Erfüllung der Pflichten des Kunden im Rahmen dieses Service-Anhangs, den Definitionen für fortgeschrittene elektronische Signaturen in Artikel 3-11 der eIDAS entsprechen.

4.2 Zertifizierungsdienste. Docusign France ist in seiner Eigenschaft als CA und RA für das ordnungsgemäße Funktionieren der Komponenten des Dienstes und die Übereinstimmung seines Zertifikatsverwaltungssystems und seiner Verfahren mit den in der/den anwendbaren Zertifizierungsrichtlinie(n) dargelegten Bestimmungen verantwortlich. Docusign France verwaltet technisch den Lebenszyklus der Zertifikate während ihrer gesamten Gültigkeitsdauer in Übereinstimmung mit den in den anwendbaren Zertifizierungsrichtlinien festgelegten Bedingungen.

5.    WIDERRUF

5.1 Allgemeiner Widerruf. In seiner Eigenschaft als CA ermöglicht Docusign France dem Unterzeichner, unrichtige Unterzeichnerinformationen zu melden. Diese Berichte sind Widerrufsanfragen. Wenn Docusign innerhalb der ersten zehn (10) Tage nach Ausstellung eines Zertifikats eine authentifizierte Online-Sperrungsanfrage über das Formular für persönliche Zertifikats-Sperrungsanfragen (zu finden unter https://www.docusign.fr/revocation) vom Unterzeichner erhält, fügt Docusign das Zertifikat des Unterzeichners der von der CA geführten und veröffentlichten Zertifikats-Sperrungsliste hinzu. Wenn der RA von unrichtigen Unterzeichnerinformationen Kenntnis erhält, muss er den Vorfall wie in Abschnitt 6 beschrieben melden.

5.2 Ein Widerruf, der nach der Ausführung einer AES registriert wird, macht diese AES nicht de facto ungültig. Widerrufsinformationen sind immer bei der CA verfügbar, die eine CRL veröffentlicht. Im Falle des Endes der Lebensdauer der CA oder der Einstellung des Dienstes mit dieser CA oder auch im Falle eines kompromittierten CA-Schlüssels wird eine letzte CRL generiert und bei Docusign France archiviert. Die CRL wird auf der Website von Docusign France veröffentlicht, bis der TSP seine Tätigkeit beendet. Sie wird auch auf der im Zertifikat enthaltenen CRL-Verteilungs-URL veröffentlicht, bis das letzte von der CA ausgestellte Zertifikat abläuft.

6. BERICHT VON VORFÄLLEN

6.1 Der Kunde erkennt an, dass Docusign France als TSP bestimmte Vorfälle an seine Aufsichtsbehörde (ANSSI) melden muss. Der Kunde muss Docusign innerhalb von vierundzwanzig (24) Stunden nach Entdeckung eines schwerwiegenden Sicherheitsvorfalls oder einer Schwachstelle benachrichtigen ("Vorfallsbericht"). Ungeachtet dieses Abschnitts 6.1 ist der Kunde nicht verpflichtet, Docusign eine Sicherheitslücke zu melden, wenn ein Patch für die Sicherheitslücke existiert und der Kunde diesen Patch innerhalb von drei (3) Tagen nach Entdeckung der Sicherheitslücke auf alle betroffenen Systeme anwendet.

6.2 Vorfallsbericht. Jeder Vorfallsbericht muss mindestens und soweit zutreffend Folgendes enthalten:

(a) Name, Beschreibung und genauer Standort des gefährdeten Systems;

(b) Beschreibung, Auswirkungen, aktueller Status und Liste der von dem Vorfall betroffenen Personen;

(c) Datum und Uhrzeit, wann der Vorfall aufgetreten ist und wann der Kunde den Vorfall entdeckt hat;

(d) Beschreibung der Abhilfemaßnahmen des Kunden, aktueller Status dieser Abhilfemaßnahmen und Datum, an dem der Kunde mit den Abhilfemaßnahmen begonnen hat;

(e) Art der Kompromittierung;

  • mm Falle eines Hacks die Quelle des Angriffs;

  • im Falle eines Unfalls eine Beschreibung der Ursache des Unfalls;

(f) Ob der Kunde eine Beschwerde oder einen Bericht bei einer zuständigen Behörde eingereicht hat;

(g) Name einer Strafverfolgungsbehörde, die wegen des Vorfalls kontaktiert wurde;

(h) Liste der Kunden, die den Dienst nutzen, und deren Standorte; und

(i) genaue Art der Informationen, die während des Vorfalls offengelegt wurden.

6.3 Der Kunde stellt sicher, dass die Vorfallsberichte korrekt sind. Wenn ein Vorfallsbericht ungenaue Informationen enthält, muss der Kunde Docusign unverzüglich benachrichtigen und den Vorfallsbericht innerhalb von zweiundsiebzig (72) Stunden nach Entdeckung solcher Ungenauigkeiten oder wie anderweitig zwischen dem Kunden und Docusign vereinbart, aktualisieren.

7. VEREINBARUNG ÜBER DEN NACHWEIS

7.1 Vorbehaltlich anderslautender Bestimmungen werden computergestützte Aufzeichnungen, die in den Informationssystemen von Docusign und seinen verbundenen Unternehmen unter Verwendung angemessener Sicherheitsmaßnahmen gespeichert sind, als Beweis für die Kommunikation und Vereinbarungen zwischen den Parteien akzeptiert.

7.2 Docusign ist berechtigt, jedes Dokument, jede Datei, Aufzeichnung, jeden Überwachungsbericht oder jede Statistik in jedem Medium, einschließlich eines elektronischen Mediums, das direkt oder indirekt von Docusign erstellt, empfangen oder in einer Datenbank gespeichert wurde, zu verwenden, auch zum Zwecke des Nachweises oder der Erstellung einer Rechnung.

8. GARANTIEN UND HAFTUNGSAUSSCHLÜSSE

8.1 Docusign-Service-Garantien. Docusign garantiert, dass der Service während der geltenden Laufzeit, wenn er wie in diesem Service-Anhnag autorisiert, verwendet wird, im Wesentlichen in Übereinstimmung mit der zugehörigen Dokumentation funktioniert. Der einzige und ausschließliche Rechtsbehelf des Kunden bei einer Verletzung dieser Garantie durch Docusign besteht darin, dass Docusign den betroffenen Service repariert oder ersetzt, um ihn vereinbarungskonform zu machen, oder, falls Docusign feststellt, dass die vorgenannte Abhilfe wirtschaftlich nicht angemessen ist, kann jede Partei diesen Service-Anhang kündigen.

8.2 Haftungsausschluss. Mit Ausnahme der ausdrücklichen Zusicherungen und Gewährleistungen in diesem Abschnitt 8 (Gewährleistungen und Haftungsausschlüsse) gibt Docusign: (a) keine weiteren Zusicherungen oder Gewährleistungen irgendwelcher Art ab; (b) schließt alle stillschweigenden Gewährleistungen aus, einschließlich, aber nicht beschränkt auf die Marktgängigkeit, die Eignung für einen bestimmten Zweck und das Eigentum; und (c) gewährleistet nicht, dass der Service fehlerfrei ist oder sein wird oder den Anforderungen des Kunden entspricht. Der Kunde ist nicht berechtigt, Zusicherungen oder Garantien im Namen von Docusign gegenüber Dritten abzugeben oder weiterzugeben.

9. ANSPRÜCHE DRITTER. Zusätzlich zu den in der Vereinbarung festgelegten Verpflichtungen bezüglich Ansprüchen Dritter stellt der Kunde Docusign und seine Mitarbeiter, verbundenen Unternehmen, Direktoren, Agenten und Vertreter ("freigestellte Parteien") von jeglichen Ansprüchen frei und verteidigt Docusign und die freigestellten Parteien gegen jegliche Ansprüche, soweit diese aus oder im Zusammenhang mit folgenden Punkten entstehen (a) Zusicherungen oder Garantien in Bezug auf den Service, die der Kunde gegenüber Dritten (einschließlich, aber nicht beschränkt auf Unterzeichner) gemacht hat, die nicht von Docusign autorisiert sind; und (b) Nichterfüllung von Verpflichtungen durch den Kunden, die in diesem dieses Service-Anhang und der anwendbaren Zertifizierungsrichtlinie definiert sind.