DigiOHSDigiOHS← Înapoi la pagina principală

Cum funcționează semnătura electronică avansată pe DigiOHS

Explicație pas cu pas, fără jargon tehnic. Ce este, cum se face, cum o verifici și de ce contează — pentru salariați, manageri și inspectori ITM/ISU.

eIDAS art. 26 Legea 214/2024 Format PAdES (UE)
Pe scurt, în 30 de secunde

Sigiliu criptografic invizibil, lipit peste fiecare PDF

Semnătura olografă (cea desenată cu degetul pe telefon) este doar o poză. Oricine ar putea modifica PDF-ul în Photoshop și nimeni n-ar ști. Semnătura electronică avansată (AES) este un sigiliu criptografic încorporat în întregul fișier PDF. Dacă cineva schimbă un singur byte — fie și un spațiu — sigiliul se sparge automat. Adobe Reader îți arată imediat un X roșu: „Document a fost modificat după semnare".

Diferența: imaginea olografă demonstrează cine a semnat. Sigiliul AES demonstrează că documentul nu a fost atins după aceea. Avem nevoie de amândouă — și avem.

Comparație rapidă

Imagine olografă vs. semnătură avansată (AES)

Doar imagine olografă
  • Demonstrează cine a desenat semnătura.
  • NU detectează modificările ulterioare ale PDF-ului.
  • Poate fi copiată ușor și lipită peste alt document.
  • Greu de demonstrat juridic fără probe externe (jurnale, server-time).
Imagine olografă + AES (DigiOHS)
  • Demonstrează cine a semnat (nume, telefon confirmat OTP, firmă, CUI).
  • Detectează orice modificare a PDF-ului — chiar și un byte.
  • Sigiliul nu poate fi copiat — depinde de hash-ul SHA-256 al întregului fișier.
  • Valoare juridică egală cu semnătura olografă — eIDAS art. 25(2).
Mecanismul tehnic, explicat simplu

Cum funcționează la noi, pas cu pas

Tot procesul durează aproximativ 200 milisecunde și se întâmplă automat în spatele scenei, după ce salariatul confirmă semnătura prin codul OTP primit pe telefon.

  1. 1
    Avem propria „fabrică de certificate"

    Pe serverele noastre am construit o ierarhie de certificate digitale, exact cum folosesc băncile. E ca un sistem de ștampile oficiale, în mai multe niveluri, una mai puternică decât cealaltă:

    Root CA DigiOHS — „regele"
    RSA 4096 biți, valabilă 20 ani. Cheia privată e generată offline și ținută în 2 seifuri fizice, NU pe niciun server. Asta este maxima ta protecție: chiar și dacă un atacator compromite serverul, nu poate atinge cheia rege.
    Intermediate CA DigiOHS Signing
    RSA 2048 biți, valabilă 5 ani, semnată de Root. Trăiește pe server criptată AES-256-GCM. Ea este cea care emite certificatele individuale ale salariaților, sub umbrela de încredere a Root.

    De ce două niveluri? Dacă serverul este vreodată compromis, doar Intermediate cade. Root rămâne neatinsă în seifuri și putem emite o nouă Intermediate fără să afectăm încrederea construită până atunci. Așa fac DigiCert, Let's Encrypt, sistemele bancare — standardul mondial.

  2. 2
    Salariatul primește un certificat doar al lui

    Când Popescu Ion completează codul OTP primit pe telefon (deci confirmăm criptografic că el are acel telefon), se întâmplă automat în mai puțin de o secundă:

    1. Generăm o pereche de chei RSA 2048 doar pentru el, doar pentru această semnătură.
    2. Construim un certificat X.509 personalizat cu datele lui:
    CN           = Popescu Ion              (numele lui complet)
serialNumber = 0725999000               (telefonul confirmat OTP)
O            = SC Moneta Cons SRL       (firma)
OU           = CUI RO12345678           (CUI-ul firmei)
E            = ion.popescu@firma.ro     (emailul)
C            = RO                       (țara)
    1. Semnăm certificatul cu Intermediate CA → moștenește încrederea de la Root.
    2. Certificatul trăiește 48 ore. Cheia privată NU se salvează nicăieri — se folosește o singură dată pentru semnare și apoi se aruncă din memoria serverului.

    Asta este diferența esențială: certificatul nu este pe numele DigiOHS, ci pe numele salariatului real. Asta îl face strict conform eIDAS art. 26(a) — „legată unic de semnatar".

  3. 3
    PDF-ul primește un sigiliu PAdES

    Fișa de instruire generată trece printr-un proces criptografic:

    1. a.Calculăm un hash SHA-256 peste tot conținutul PDF-ului. Hash-ul este o „amprentă" digitală unică — orice modificare a PDF-ului produce un hash complet diferit.
    2. b.Criptăm hash-ul cu cheia privată a salariatului → asta este „semnătura".
    3. c.Atașăm în PDF: semnătura + certificatul salariatului + Intermediate CA + Root CA — adică tot lanțul de încredere.
    4. d.Rezultatul: un singur fișier PDF auto-conținut, care poate fi verificat oriunde, oricând, fără internet.
    Format folosit: PAdES Baseline B-B (PDF Advanced Electronic Signature) — formatul oficial recomandat de Comisia Europeană pentru semnăturile pe documente PDF, conform standardului ETSI EN 319 142.
  4. 4
    Verificarea — automată, oriunde

    Oricine deschide PDF-ul în Adobe Acrobat Reader DC (gratuit) vede automat în panoul Signatures (iconul pana albastră, stânga):

    • Cine a semnat — numele complet, telefonul, firma, CUI-ul.
    • Când s-a semnat — data și ora exactă, cu precizie de secundă.
    • Mesajul magic: „Document has not been modified since it was signed"— confirmare criptografică că fișa este intactă.
    • Lanțul complet: certificat utilizator → DigiOHS Signing CA → DigiOHS Root CA.

    Inspectorul ITM/ISU nu trebuie să intre pe niciun site, să sune pe nimeni, să verifice cu nimeni. Totul este în PDF. Funcționează și pe plajă, și fără internet.

Conformitate juridică

Cele 4 criterii eIDAS art. 26 — îndeplinite

Regulamentul UE 910/2014 (eIDAS) art. 26 definește exact ce trebuie să îndeplinească o semnătură pentru a fi „avansată". Iată cum bifăm fiecare criteriu:

eIDAS art. 26 (a)
Legată unic de semnatar

Telefonul confirmat prin OTP intră în certificat ca atribut serialNumber X.520 (OID 2.5.4.5) — identificator personal unic conform RFC 5280.

eIDAS art. 26 (b)
Permite identificarea semnatarului

Numele complet, telefonul, firma, CUI-ul, emailul — toate sunt înscrise în certificatul personal al semnatarului.

eIDAS art. 26 (c)
Sub controlul exclusiv al semnatarului

Certificatul se emite doar după ce salariatul introduce codul OTP primit prin SMS pe telefonul lui personal — confirmând că el și nu altcineva inițiază semnătura.

eIDAS art. 26 (d)
Detectează orice modificare ulterioară

Hash-ul SHA-256 al întregului PDF este încorporat în semnătura PKCS#7 detașată. Orice modificare invalidează imediat semnătura.

Aplicare în platformă

Ce documente sunt semnate cu AES

Fiecare PDF generat de DigiOHS trece automat prin procesul de semnare AES înainte de a fi trimis utilizatorului. Fără excepție.

Fișa de instruire SSM (introductiv-generală, la locul de muncă, periodică, suplimentară)
Fișa de instructaj SU (introductiv, periodic)
Fișa văzută de inspector pe linkul cu PIN trimis pe email
Fișele descărcate de salariat din portalul propriu
Arhiva organizației (export ZIP cu toate fișele)
Dovada eIDAS (PDF-ul cu detaliile criptografice complete + audit trail)
Important — clarificare

Ce înseamnă „Validity unknown" în Adobe Reader

Dacă inspectorul deschide PDF-ul fără să fi importat în prealabil DigiOHS Root CA, Adobe Reader îi afișează „Validity unknown" (galben) în loc de bifa verde. Asta NU înseamnă că semnătura este invalidă. Înseamnă doar că Adobe nu cunoaște din fabrică ștampila DigiOHS — exact ca la un site cu certificat HTTPS dintr-o țară mică, unde browser-ul funcționează, dar nu cunoaște autoritatea respectivă.

Importul Root CA se face o singură dată, durează 30 de secunde, și după aceea toate fișele DigiOHS apar cu bifa verde completă. Important juridic: conform eIDAS art. 26, validitatea AES nu depinde de ce este instalat în Adobe-ul inspectorului. Criteriile (a)-(d) sunt îndeplinite la momentul semnării.

Cum import Root CA în Adobe (instrucțiuni pas cu pas)
De ce contează pentru tine

Trei beneficii concrete

⚖️
În fața inspectorului

Nu mai trebuie să demonstrezi nimic suplimentar. PDF-ul demonstrează singur că nu a fost modificat după semnare. Mai puternic decât o ștampilă pe hârtie — pentru că ștampila pe hârtie poate fi falsificată, semnătura criptografică, nu.

🏛️
În fața tribunalului

Conform eIDAS art. 25(2), AES are valoare juridică egală cu semnătura olografă în întreaga UE. Fișele tale digitale au aceeași greutate ca cele pe hârtie cu pix și ștampilă.

🚀
Diferențiator competitiv

Majoritatea platformelor SSM oferă doar imaginea desenată cu degetul. DigiOHS oferă AES adevărată — același nivel cerut de IGSU prin pdv 1537/27.05.2025 și folosit de SSM.ro.

Bază legală

Cadrul juridic

UE
Regulamentul UE 910/2014 (eIDAS)
Art. 26 definește criteriile AES. Art. 25(2) stabilește valoarea juridică echivalentă cu semnătura olografă.
România
Legea 214/2024
Recunoaște semnătura electronică în raporturile de muncă, inclusiv fișele de instruire SSM/SU.
România
Legea 319/2006 + HG 1425/2006
Norme generale SSM. Permit fișele de instruire în format electronic, cu condiția să fie semnate verificabil.
România
OMAI 712/2005 + IGSU pdv 1537/27.05.2025
Norme SU. Punctul de vedere IGSU recunoaște explicit valabilitatea fișelor în format electronic semnate cu AES.

Ai întrebări despre semnătura electronică?

Suntem deschiși să-ți răspundem la orice întrebare juridică sau tehnică despre cum funcționează AES pe DigiOHS.

Scrie-ne pe emailDescarcă Root CA