← Back to all articles

Czym jest Pakiet Dowodowy i co się w nim zawiera?

SealDoc Team · · 4 min read

Przechowywanie dokumentu to nie to samo, co posiadanie dowodu na to, że dokument istniał.

Jeśli urząd skarbowy, sąd lub organ regulacyjny poprosi Cię o udowodnienie, że konkretna faktura została wysłana w określonym dniu, że umowa była podpisana przed terminem lub że raport zgodności został złożony w oryginalnej, niezmodyfikowanej formie, samo przedstawienie dokumentu nie wystarczy. Musisz wykazać, że dokument jest autentyczny, niezmieniony i że jego znacznik czasu jest wiarygodny.

To właśnie zapewnia Pakiet Dowodowy.

Czym jest

Pakiet Dowodowy to ustrukturyzowane archiwum łączące dokument z dowodem potrzebnym do jego weryfikacji. Odpowiada na cztery pytania, na które sam dokument nie może odpowiedzieć:

  1. Czy ten dokument istniał w tym momencie czasu?
  2. Czy był modyfikowany od tamtej pory?
  3. Kto go przetworzył, kiedy i w jakiej kolejności?
  4. Czy spełnia mający zastosowanie standard lub format?

Pakiet bundluje dowody dla wszystkich czterech pytań w jeden audytowalny artefakt.

Co zawiera

Kompletny Pakiet Dowodowy zawiera co najmniej:

Sam dokument w długoterminowym formacie archiwalnym. W większości przypadków zgodności jest to PDF/A-3: archiwalny PDF ISO 19005 osadzający wszystkie czcionki, profile kolorów i dane ustrukturyzowane, gwarantujący identyczne renderowanie w przyszłych przeglądarkach. Zwykły PDF jest niewystarczający, ponieważ zewnętrzne odniesienia do czcionek, JavaScript i połączone zasoby mogą ulec zmianie lub zniknąć.

Znacznik czasu RFC 3161 powiązany ze skrótem dokumentu w chwili utworzenia. Znacznik ten jest wydawany przez zaufany urząd znacznikowania czasu i dowodzi, że dokument istniał w swojej dokładnej formie w określonym punkcie czasu. Znacznik czasu RFC 3161 to techniczny odpowiednik poświadczonego stempla pocztowego: jest wydawany przez stronę trzecią, weryfikowalny offline i nie może być retroaktywnie przeniesiony. Data modyfikacji systemu plików nie jest równoważna; można ją zmienić bez śladu.

Ścieżka audytu rejestrująca każdy etap przetwarzania, który dotknął dokument. Każdy wpis w ścieżce audytu zawiera: typ kroku (utworzony, zwalidowany, podpisany, zarchiwizowany), aktora, znacznik czasu i skrót stanu dokumentu na tym etapie. Wpisy są połączone łańcuchem skrótów, tak że manipulacja którymkolwiek wpisem unieważnia wszystkie kolejne.

Raport walidacyjny potwierdzający, że dokument był zgodny z mającym zastosowanie standardem w czasie przetwarzania. Dla faktury jest to walidacja Schematron EN16931. Dla umowy może to być sprawdzenie formatu i walidacja schematu. Raport jest dołączony do pakietu jako ustrukturyzowany artefakt, a nie tylko flaga zakończona sukcesem lub porażką.

Manifest ze skrótami SHA-256 każdego pliku w pakiecie. Umożliwia audytorowi niezależną weryfikację, że żaden plik w pakiecie nie został podmieniony ani zmieniony od czasu jego utworzenia.

Paszport Zgodności podsumowujący powyższe w formie czytelnej maszynowo i dla człowieka. To jest artefakt, który wręczasz audytorowi: jeden plik mówiący “ten dokument przeszedł te kontrole, był opatrzony znacznikiem czasu o tej godzinie i ma ten łańcuch odpowiedzialności.”

Kiedy tego potrzebujesz

Wymagania dotyczące audytu podatkowego różnią się w zależności od kraju, ale wzorzec jest spójny w całej UE: dokument musi być przechowywany w formie potwierdzającej integralność i umożliwiającej weryfikację. W Niemczech GoBD wymaga, aby dokumenty elektroniczne były archiwizowane w sposób uniemożliwiający późniejszą zmianę i pozwalający na odtworzenie oryginalnego stanu. We Francji DGFiP wymaga podobnych gwarancji. W Holandii Belastingdienst oczekuje, że faktury będą archiwizowane przez siedem lat w weryfikowalnej formie.

Postępowania sądowe mają podobne wymagania. Jeśli spór umowny trafia do sądu, pytanie “czy ta umowa istniała w tej formie w tym dniu” jest odpowiadane przez dowody, a nie przez zawartość Twojego serwera plików.

Kontrole regulacyjne (NIS2, RODO, sektorowe: opieka zdrowotna, finanse, ubezpieczenia) coraz częściej wymagają dowodów procesu, a nie tylko wyników. Pakiet dowodowy dostarcza obu.

Czego sam dokument Ci nie da

PDF w folderze na serwerze plików nie mówi Ci nic o tym:

  • Czy PDF istniał przed dniem dzisiejszym
  • Czy był modyfikowany od chwili utworzenia
  • Jakie przetwarzanie przeszedł przed zapisaniem
  • Czy spełnia jakikolwiek mający zastosowanie standard

Wszystkie te rzeczy wymagają zewnętrznego dowodu. Znacznik czasu RFC 3161 ustala kiedy. Łańcuch skrótów ustala, jaka sekwencja zdarzeń nastąpiła. Raport walidacyjny ustala zgodność. Manifest ustala, że żadna z powyższych rzeczy nie była manipulowana.

Bez pakietu masz dokument. Z pakietem masz dowód.

Różnica między archiwizacją a dowodem

Większość systemów zarządzania dokumentami zapewnia archiwizację: dokument jest przechowywany w miejscu, którego nie można łatwo zmodyfikować. Archiwizacja rozwiązuje problem dostępu i przechowywania.

Dowód to coś innego. Dowód oznacza, że istnienie dokumentu, jego forma i proweniencja mogą być zweryfikowane przez stronę, która nie brała udziału w jego tworzeniu, z wykorzystaniem informacji, którymi pierwotny kustosz nie może manipulować.

Skrót opatrzony znacznikiem czasu przez zewnętrzny organ spełnia ten wymóg. Plik przechowywany na własnym serwerze, z własnymi dziennikami kopii zapasowych i własnymi politykami przechowywania, nie. To nie jest teoretyczne rozróżnienie. To jest pytanie, które postawi audytor.

SealDoc i Pakiety Dowodowe

SealDoc generuje Pakiet Dowodowy jako ustrukturyzowane wyjście dla każdego przetwarzanego dokumentu. Pakiet to pojedynczy plik ZIP zawierający dokument PDF/A-3, token znacznika czasu RFC 3161, ścieżkę audytu z łańcuchem skrótów, raport walidacyjny i manifest. Każdy komponent jest weryfikowalny maszynowo bez kontaktowania się z SealDoc: znacznik czasu można zweryfikować na podstawie publicznego certyfikatu wystawiającego organu, skróty można ponownie obliczyć na podstawie plików w pakiecie, a łańcuch ścieżki audytu można zwalidować lokalnie.

Jeśli Twoja organizacja musi wykazać integralność dokumentów audytorowi, organowi regulacyjnemu lub sądowi, pakiet dowodowy jest artefaktem, który przedstawiasz. Nie wymaga żadnego dodatkowego przygotowania, ponieważ dowody zostały przechwycone w momencie przetwarzania.

← Back to all articles