Stand 12.06.2024 - nicht fertig Version X.XStand 14.08.2024 - Version 1.0
Leistungsbeschreibung
(1) Standardsoftware
Die webSignatureAPI mit dazugehörigen Software Development Kit webSignatureOffice Anwendung wird als dedizierter Server in der Standardsoftwarekonfiguration ohne Anpassungen dem Kunden zum hosten in derem System in der jeweils vereinbarten Version per Download („Übergabepunkt“) zur Nutzung bereitgestellt. Die Konfiguration und der Standort des Servers wird vom Kunden festgelegt. Die für die Nutzung erforderliche Rechenleistung, und der erforderliche Speicher- und Datenverarbeitungsplatz werden vom Servicenehmer bzw. von dessen Auftragnehmer bereitgestellt. Der Servicegeber schuldet nicht die Herstellung und Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden.Standardsoftwareversion ohne Anpassungen als Docker Images bereitgestellt. Die Leistungsmerkmale sind im Vertrag definiert.
(2) Art und Umfang der Leistung
Die Software wird vom Servicenehmer als SaaS- bzw. Cloud-Lösung betrieben. Dem Kunden wird ermöglicht, die auf den Servern des Servicegebers bzw. eines vom Servicegeber beauftragten Dienstleisters gespeicherte und ablaufende Software über eine, nach dem aktuellen Stand der Technik gesicherte, Internetverbindung (derzeit HTTPS verschlüsselte Verbindung) während der Laufzeit dieses Vertrags für eigene Zwecke zu nutzen und seine Daten mit ihrer Hilfe zu speichern und zu verarbeiten.
Der Servicegeber stellt dem Kunden die Software in der jeweils vereinbarten Version am Routerausgang des Rechenzentrums, in dem der Server mit der Software steht („Übergabepunkt“), zur Nutzung bereit. Die Software, die für die Nutzung erforderliche Rechenleistung, und der erforderliche Speicher- und Datenverarbeitungsplatz werden vom Servicegeber bzw. von dessen Auftragnehmer bereitgestellt. Der Servicegeber schuldet nicht die Herstellung und Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden und dem beschriebenen ÜbergabepunktDem Auftraggeber wird die webSignatureOffice Anwendung mit voller Funktionalität zur Verfügung gestellt. Der Betrieb der Anwendung erfolgt vollständig durch den Auftraggeber.
Die Software ermöglicht es dem Anwender Auftraggeber handgeschriebene und zertifikatsbasierte fortgeschrittene und qualifizierte elektronische Unterschriften zu erfassen und diese in PDF/a konforme Dokumente einzubetten. Die biometrischen Daten der von webSignatureOffice erfassten handgeschriebenen Unterschriften werden mit einer sicheren hybriden Verschlüsselung (RSA public key Verschlüsselung in Kombination mit AES256BitAES) verschlüsselt und dabei bereits mit der Dokumentenprüfsumme – und somit mit dem zu unterzeichnenden Dokument – verknüpft.
Im Falle der Verwendung von StepOver Signaturpads erfolgt diese Verschlüsselung und Verknüpfung bereits im Signaturpad selbst, im . Im Falle der Android und iOS StepOver Apps auf den jeweiligen Endgeräten und im Falle des HTML-Signers auf einem separaten dem webSignatureOffice Server.
(3) Funktionen
Biometrie-basierte SignaturenSignaturen
Bei elektronischen Signaturen basierend auf der Handschrift werden die biometrischen Daten der Handschrift als Identifikationsmerkmal der Unterzeichner verwendet. Sie werden durch ein Signaturerfassungsgerät erfasst, mit einem notariellen Schlüssel verschlüsselt sowie untrennbar mit dem Dokument verknüpft und in dieses eingefügt.
Die Erfassung kann erfolgen:
mittels Browser (Tablet, Smart Device, StepOver Unterschriftenpad*)(fortgeschrittene und qualifizierte elektronische Unterschrift)
mittels nativer Apps / Anwendungen (iOS, Android, WindowseSignatureOffice) (nur fortgeschrittene elektronische Unterschrift)
*die Nutzung von Unterschriftenpads erfordert lokal den „StepOver Pad - Connector“ (ein auf Windows/MacOS/Linux lauffähiges Programm, welches das Signaturpad via USB anspricht und dies der Website im Webbrowser via eines lokalen Sockets zugänglich macht).
Zertifikatsbasierte Signaturen
Zertifikatsbasierte Signaturen (Fortgeschrittene e-Signatur) werden durch Klick (Klicksignaturen
Eine Klicksignatur ist eine Zertifikatsbasierte Signatur (fortgeschritten oder qualifiziert), welche lediglich durch einen Klick und ggf. eine einer Passworteingabe ) geleistet . Die dem Unterzeichner zugeordneten Zertifikate werden durch webSignatureOffice generiert und verwaltet und basieren auf bestimmten Benutzerdaten.
Die für die Zertifikate erforderlichen Benutzerdaten stammen:
...
Aus den für interne / registrierte Anwender hinterlegten Benutzerkonten / Logins (z.B. In House Verwendung mit „bekannten“ / registrierten Usern)
...
wird
...
Zertifikatsbasierte Signaturen finden somit „asynchron remote“ statt (orts- und zeitversetzt(nicht handschriftlich).
Verfügbare (MehrZwei-Faktor-) AuthentifizierungenAuthentisierungen:
via Email
SMS-Token
...
SMS-one-time-token
Dokumenten- bzw. Envelope-Passwort
Die Zwei-Faktor-) Authentifizierungen Authentisierungen können sowohl für handgeschriebene (asynchrone remote) als auch für zertifikatsbasierte e- Signaturen verwendet werden.
Audit Trails
Audit Trails können erstellt und über die Schnittstelle abgerufen werden . Sie enthalten eine detaillierte Prozessdokumentation für signierte Dokumente, darunter eine Audit Trail ID, für einen eindeutigen Verweis/Link auf das entsprechende Dokument, den Upload-Zeitpunkt, die E-Mail-Adressen oder Handynummern an welche die Signaturanforderung gesendet wurde, den Dokumentenschutz über die Multi-Faktor-Authentifizierung hinterlegt (Dokumentenpasswort oder SMS-Token-Eingabe), Formularfeldänderungen, die Signaturzeit (UTC) und Ort (GPS-Koordinaten).
Weitere Funktionen
Audit Trail ID, für einen eindeutigen Verweis/Link auf das entsprechende Dokument
...
für jedes Dokument erstellt und können heruntergeladen werden. Die Audit Trails beinhalten folgende Informationen:
Upload-Zeitpunkt; zeigt an, wann und von welchem Benutzer das Dokument hochgeladen wurde
Gesendet, ; zeigt an, an welche E-Mail-Adressen oder Handynummern die Signaturanforderung gesendet wurde (Link-Sendefunktion für nicht registrierte Unterzeichner/Nutzer).
Geöffnet, ; zeigt an, wann welcher Benutzer das Dokument geöffnet hat (jeder Öffnungszeitpunkt wird vermerkt)
Bedingung (Umschlagfunktion)
Download, ; zeigt an, wann welcher Benutzer das Dokument heruntergeladen hat (jeder Download-Zeitpunkt wird vermerkt).
Upload, ; zeigt an, wann welcher Benutzer eine Datei hochgeladen hat , z.B. als Teil eines Umschlags (jeder Upload wird vermerkt).
Dokumentenschutz, ; wurde für den Zugriff auf das Dokument eine MultiZwei-Faktor-Authentifizierung Authentisierung hinterlegt (Dokumentenpasswort oder SMS-Token-Eingabe), so wird dies ebenfalls protokolliert.
Unterzeichnertyp/-gruppe und deren Prüfstufen, gibt den Typ des Unterzeichners bzw. der Unterschriftengruppe an: Eigener Benutzer, Kontakt, Gastunterzeichner (inkl. Gruppe, falls beim Upload definiert) sowie welche Verifizierungsstufen dieser Unterzeichner hat (E-Mail Adresse verifiziert, Briefidentifikation, SMS-Identifikation.
Signaturtyp,
Signaturtyp; gibt an, wie ein Signaturfeld signiert wurde: . Unterschriftenpad, QR-Code-Scan, Direkt am Bildschirm, Klick-Signatur mit Benutzerzertifikat.
Formularfeldbewertung, Formularfeldwert; zeigt an, welcher Benutzer welche Formularfelder wie ausgefüllt hat (z.B. Benutzer XY hat die Checkbox "Zusatzoption1" angekreuzt).
Signaturzeit (UTC) / Ort (GPS-Koordinaten)
Tenant-ID / Servername, ; zeigt an, von welchem webSignatureOffice-Server das entsprechende Dokument stammt
Erfassen der IP-Adresse des Unterzeichners, diese Option kann aufgrund Datenschutzgründen deaktiviert werden
Benachrichtigungsmeldungen / Notification Messages für Unterzeichner und Dokumentenersteller
Ausfüllen von PDF-Formularfeldern
Verwendung optionaler- und Pflichtfelder
webSignatureOffice erlaubt das Definieren von optionalen und zwingend erforderlichen Unterschriftenfeldern. Optionale Felder können beliebig übersprungen werden und müssen nicht zwangsweise zum Abschluss des Vorgangs unterschrieben werden.
Teilen von Dokumenten via Link und QR-Code
Insbes. für das Teilen von Dokumenten in Online-Beratungen (synchrone Fernsignaturen/remote signatures) kann ein Dokument via QR-code oder Teilen eines Links mit dem mobilen Endgerät des Kunden für die Unterzeichnung geteilt werden. Die Weitergabe der Dokumentenansicht auf diesem Wege ist auch für face2face-Situationen geeignet – so etwa im Falle des Teilens von Dokumenten mit einem Tablet, um bei physischer Präsens dort Dokumente anzuzeigen und Signaturen einzuholen.
Wird im Rahmen einer Online-Beratung das Dokument zum Unterschreiben mit dem Endgerät des Kunden geteilt (z.B. via QR-code), kann der Berater mit nur leichtem Zeitversatz die Unterzeichnung mitverfolgen, da im „Primärbrowser“ geleistete Signaturen eingefügt und das aktive Unterschriftenfeld angezeigt wird.
Verteilung von Dokumenten / Offlinefähigkeit
...
Envelope
Fasst mehrere zu signierende Dokumente in einer Signaturanforderung zusammen. Hierbei können die Reihenfolge, sowie eine Download-Bedingung der Dokumente definiert werden.
Unterzeichnerreihenfolge
Optional kann eine Reihenfolge der Unterzeichner festgelegt werden.
Signaturgruppen
Signaturgruppen finden ausschließlich Verwendung bei integrativer Nutzung von webSignatureOffice über die Serverseitige API. Sie dienen zur Unterscheidung der Unterzeichner (z.B. Anforderer und Gastunterzeichner) bei Verwendung mit nur einem technischen User.
Qualifizierte elektronische Signatur (QES nach eIDAS)
Die elektronische Signatur mit dem höchsten Sicherheitsstandard, welche die Anforderungen der eIDAS Verordnung erfüllt.
Ausfüllen von PDF Formularfeldern
Die Formularfelder müssen Bestandteil des PDFs sein. Formularfelder können ausschließlich bis zur ersten Signatur editiert werden.
Email Customizing
Email-Vorlagen können angepasst werden.
Unterschriftenerfassung über QR-Code
Es wird ein QR-Code erzeugt, welchen man mit einem Smartphone/ Tablet scannen kann. Man gelangt direkt in das Dokument und kann dieses anschließend auf dem mobilen Gerät signieren.
Unterzeichner ohne vorherige Anmeldung
webSignatureOffice bietet die Möglichkeit Dokumente zu signieren, ohne sich registrieren zu müssen. Dies sind dann so genannte Gastunterzeichner. Hierbei wird der Dokumentenlink per Email oder SMS an den Gastunterzeichner gesendet, welcher direkt ohne Registrierung oder Anmeldung in das zu signierende Dokument gelangt und dies signieren kann.
Call-back API
Es kann als Server-Einstellung eine Callback-URL hinterlegt werden. An diese wird ein Request gesendet, wenn bestimmte Aktionen ausgeführt werden. Dazu zählen der Upload eines Dokumentes, das Unterzeichnen eines Signaturfeldes, ein Status-Wechsel des Dokumentes, das Unterzeichnen aller Felder eines Users. Die Callback-URL kann bei Verwendung des TyrService auch Dokumenten-spezifisch gesetzt werden.
iFrame Post Message
Wenn der Viewer als iFrame eingebettet ist, werden bei bestimmten Aktionen Benachrichtigungen an die umgebende Website gesendet. Auf diese kann dann dynamisch reagiert werden. Benachrichtigungen werden gesendet, wenn alle Unterschriften eines Nutzers geleistet wurden, alle Unterschriften des Dokumentes geleistet wurden oder der Viewer verlassen wurde.
Optional und Erforderlich
webSignatureOffice erlaubt das Definieren von optionalen und zwingend erforderlichen Unterschriftenfeldern. Optionale Felder können beliebig übersprungen werden und müssen nicht zwangsweise zum Abschluss des Vorgangs unterschrieben werden.
Offline
Dokumente können in den Apps synchronisiert werden, um diese später und ggf. ohne Onlineverbindung aus einer Liste auszuwählen, anzuzeigen und zu signieren. Die Verteilung kann dabei Userbezogen (erfordert dedizierte Benutzerkonten) oder dokumentenbasiert im Zuge einer Integration stattfinden. Nach erfolgter Unterschrift muss eine erneute Onlineverbindung hergestellt werden, damit die signierten Dokumente aus der App zum Server synchronisiert werden. Es stehen offlinefähige Apps für folgende Plattformen zur Verfügung
Apps
iOS
Android
App-Integration mittels Libraries (ist das / die Library aktuell?)
Libraries für iOS und Android ermöglichen die Integration der nativen StepOver Apps in eigene Apps.
Kundenspezifische Apps für iOS und Android
Die StepOver Apps für iOS und Android können auf Wunsch bzgl. der Einstellungen/Settings, des Logo und der Farbwahl angepasst werden.
Print2Cloud
Druckertreiber für Windows – aus jeder druckfähigen Anwendung kann ein PDF erstellt und automatisch auf den Signaturserver hochgeladen werden, um dort manuell einen Signature Request zu erstellen. Die Nutzung des print2Cloud Druckertreibers erfordert die ein Benutzerkonto (Login).
Dokumentenkopie
Für die zur Verfügungsstellung signierter Dokumente ist neben dem signierten PDF eine Kopie ohne die verschlüsselt eingebundenen biometrischen Daten verfügbar. Diese kann auf Wunsch für die zur Verfügung Stellung außerhalb des eigenen DMS / Archiv verwendet werden (Langezeitschutz der biometrischen Daten).
Individuelle notarielle Schlüssel
...
(
...
Individuelle intermediate Certificates
Erstellung von individuellen „intermediate certificates“ zur Anzeige z.B. des Betreibernamens in den Unterschriftendetails (Anzeige im Adobe Reader bei der Validierung). (Nur bei Kundenspezifischem Server SAAS oder HOP)
(4) Systemarchitektur
...
Zur Integration stellt webSignatureOffice eine Serverseitige API bereit (sog. Tyr-Service Tyrservice = XML-RPC-Interface und JSON-RPC (!!)), über welche Dokumente hochgeladen, Signaturanforderungen erzeugt, - und signierte Dokumente heruntergeladen und -gelöscht werden können.
Optional können über diese API auch Benutzeraccounts verwaltet werden (anlegen, löschen etc.).Über die sog. Callback-API informiert webSignatureOffice das umgebende System über Statusänderungen (z.B. Statusänderung auf „signiert“ / „fehlgeschlagen“).
Der responsive Viewer, welcher das zu signierende Dokument im Browser darstellt und auf touchfähigen Geräten auch zur Unterschriftenerfassung (HTML-Signer) verwendet werden kann, kann mittels responsive iFrame in Websites/Webanwendungen integriert werden. (Wenn Iframe erwähnt wird, könnte man auch "postmessage" oder "Webhooks" erwähnen. Bin mir nicht sicher, welcher Begriff besser ist. Beispiel:) Bei der Einbindung des Viewers als IFrame, wird das parent-Window per postMessage über Status-Änderungen informiert, auf die dynamisch reagiert werden kann. Bei webSignatureOffice handelt es sich um eine horizontal skalierbare Webserver-Lösung, bestehend aus einem Frontend-Webserver (Frigg) einem Backend-Server (Braga), welcher in einer DMZ stehen kann und für das Rendering der Dokumente, die Signaturaufbringung und das Datenmanagement verantwortlich ist.
Zudem wird ein Datenbankserver benötigt , welcher vom Hoster bereitgestellt werden muss (aktuelle MySQL-DB / MariaDB). Des Weiteren wird ein Dokumente werden entweder in einem File-Share zur Ablage der Dokumente und der gerenderten Seitenansichten benötigt. Alternativ können diese auch oder inder Datenbank gespeichert werden.webSignatureOffice kann sowohl auf aktuellen Linux-, als auch auf Windows-Servern betrieben werden. (Müssen wir nochmal überlegen, ob wir es so allgemein stehen lassen wollen) Für größere/lastintensivere Projekte können die Server mittels Load-Balancer horizontal skaliert werden
(
...
Da webSignatureOffice ein äußerst umfangreiches und sich ständig in Weiterentwicklung befindliches Produkt ist, kann diese Leistungsbeschreibung nur die grundlegenden zugesicherten Eigenschaften darstellen. Eine jeweils aktuelle Beschreibung aller zur Verfügung stehenden API Funktionen, Produktfeatures etc. finden Sie online unter: Information for Integrators
(5) Servermindestanforderungen
Dennis Machowetz bitte ausfüllen
...
WebSignatureOffice
Client-Konfiguration
Browser-Kompatibilität
· Chrome Version 32 und höher (Java Applet wird nur bis Version 42 unterstützt)
· FireFox Version 23 und höher
· Edge (Java Applet wird in Edge nicht unterstützt)
Unterstützt werden die jeweils aktuellen Versionen der Browser Chrome, Firefox, Safari und Edge
Java JRE (Java, Application Server etc. nur relevant, wenn kein Docker verwendet wird)
· Java 1.6
· Java 1.7
· Java 1.8 (läuft bei uns aus → kein oder teurer Support, wenns nicht mehr geht.)
Java 17 (LTS - long time support)
java
HINWEIS: Verwenden Sie immer die neueste Java-Version für maximale Sicherheit. Um das Java-Applet zum Signieren verwenden zu können, muss Ihr Browser die NPAPI unterstützen. → evtl. komplett streichen.
Mobile Endgeräte Devices (evtl. noch mal netnautix nachfragen, könnte sich geändert haben)
· Android Version 4.4 und höher
· iOS Version 8 und 9
Server Konfiguration
Frontend Server (Frigg)
Betriebssystem
· Linux (Bitte kontaktieren Sie StepOver für Details)
· Windows Server 2008 R2 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
· Windows Server 2012 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
· Windows Server 2012 R2 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
Application Server
· Apache Tomcat Version 7.0.0 und neuer
· Oracle JBOSS Version 8.0.0. und neuer
Backend Server (Braga)
Betriebssystem
· Linux (Bitte kontaktieren Sie StepOver für Details)
· Windows Server 2008 R2 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
· Windows Server 2012 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
· Windows Server 2012 R2 (würde ich als Standard weglassen. Notfalls teureren Pflegevertrag/Support, da wir keine Berührungspunkte haben)
Application Server
· Apache Tomcat Version 9.0.29 und neuer
Apache Tomcat Version 7.0.0 und neuer
· Oracle JBOSS Version 8.0.0. und neuer (Evtl. rausnehmen? Benutzen wir nicht direkt, was support aufwändiger macht evtl.)
Zusätzliche Anwendungen
· OpenSSL Version 1.0.2 und höher
Database
· MySQL Database Version 5.5 und höher
MariaDB 10.5 or higher
· Oracle 11.2g und höher (Würde ich nicht als direkten Standard anbieten - nur mit teurerem Support evtl. Wir pflegen es nicht direkt derzeit)
5) Servermindestanforderungen
Systemanforderungen für Frontend und Backend Server jeweils:
Hardware
min. Quadcore 2.5 Ghz and 16 GB RAM
100 GB Hard drive
Software
Windows or Unix systems
MariaDB 10.5 or higher
Docker Engine Version 20.10 or higher
Docker Compose Version 1.19 or higher
(6) Zusatzsoftwarekomponenten
...
Testserver können für verschiedene Zwecke verwendet werden, von denen die erforderliche Beschaffenheit abhängt.
...
Für initiale funktionale Tests, für den Test von Erweiterungen, neuen Funktionen und für die Integration sowie zum Test von Updates / neuen Versionen im Zuge einer Freigabe durch den Auftraggeber kann ein Tenant auf einem in den Geschäftsräumen der StepOver GmbH betriebener webSignatureOffice Testserver bereitgestellt werden. Eigenschaften und Konditionen eines solchen Servers sind:
...
.
Der Server wird ggf. als VM-Ware auf einer für andere Zwecke genutzten Hardware betrieben und ist bzgl. der Performance nicht repräsentativ für die in der produktiven Phase geplanten Infrastruktur. Diese Testserver sind nicht geeignet, um repräsentative Lasttests durchzuführen
...
7.2 Testserver für Lasttests
Für Last- und Performancetests ist der Aufbau und Betrieb eines webSignatureOffice-Testservers möglich. Eigenschaften und Konditionen eines solchen Servers sind:
Der Server wird in der exakten Version, die für den Auftragnehmer in der Produktiven Phase oder nach einem Update vorgesehen ist, und mit der gleichen Konfiguration betrieben.
Für die repräsentativen Lasttests wird dieser Testserver in einer Infrastruktur betrieben, die in Bezug auf alle eingesetzten Komponenten und Leistungsmerkmalen mit der für die Produktivphase vorgesehenen Infrastruktur identisch ist.
Der Auftraggeber sichert dem Auftragnehmer gegenüber zu, den Testserver für Lasttests in keiner Weise produktiv, sondern ausschließlich zu Testzwecken zu nutzen und ausschließlich mit Daten aus einer Testdatenbank ohne personenbezogene Daten echter Probanden zu nutzen.