eSignature

In der Rubrik Verwendung auf API-Ebene können Sie Ihre kostenlosen und abonnierten bzw. aufgestockten Anfragen überwachen. Sie sind sowohl grafisch (Zeitraum Monat und Jahr) als auch in Form einer textlichen Zusammenfassung verfügbar.

Die Zugangsdaten CERT_USERNAME und CERT_PASSWORD werden nicht unmittelbar nach dem Kauf eines QES-Signaturzertifikats bereitgestellt. Um diese zu erhalten, muss das Identifizierungsverfahren des Zertifikatsinhabers abgeschlossen werden.

Nachdem eine Kaufanfrage über die Endpunkte POST /certificates/namirial-automatic oder POST /certificates/namirial-otp gestellt wurde, gibt die API-Antwort das Feld certificateLink zurück. Dieses enthält die URL, über die der Identifizierungsprozess gestartet werden kann. Das Verfahren dauert in der Regel nur wenige Minuten und muss direkt vom Zertifikatsinhaber durchgeführt werden.

Nach erfolgreichem Abschluss der Aktivierung werden die Zugangsdaten aus Sicherheitsgründen über getrennte Kanäle bereitgestellt:

• SMS mit der PIN;
• E-Mail mit dem CERT_USERNAME sowie einem passwortgeschützten PDF-Anhang, der das CERT_PASSWORD enthält.

Um das PDF zu öffnen und das CERT_PASSWORD einzusehen, müssen Sie die per SMS erhaltene PIN verwenden.

Die getrennte Übermittlung der Zugangsdaten reduziert das Risiko unbefugter Zugriffe und gewährleistet einen höheren Schutz des Signaturzertifikats.

Sollten Sie die E-Mail mit den Zugangsdaten nicht erhalten, prüfen Sie bitte auch Ihren Spam-/Junk-Ordner und stellen Sie sicher, dass die bei der Zertifikatsanfrage angegebene E-Mail-Adresse korrekt ist.

Der Erwerb eines QESeal-Zertifikats (mit einer Gültigkeit von 1 oder 3 Jahren erhältlich) erfordert derzeit ein manuelles Verfahren über den Kundensupport.

Folgen Sie diesen Schritten:

1. Kontaktieren Sie den Kundensupport, um den Kaufprozess zu starten.
2. Schließen Sie den Kauf gemäß den Anweisungen des Supports ab und erhalten Sie das Identifizierungsformular per E-Mail.
3. Senden Sie die für den Identifizierungsprozess erforderlichen Unterlagen ein:

• Ausweisdokument
• Handelsregisterauszug (oder ein gleichwertiges Dokument, abhängig vom Land des antragstellenden Unternehmens)
• ausgefülltes Formular (erhalten in Schritt 2)

4. Sie erhalten die Zertifikatszugangsdaten (certificateUsername und certificatePassword) an die im Formular angegebene E-Mail-Adresse. Der certificateUsername ist eine Zeichenfolge mit dem Präfix SHI.

WICHTIG: Der Erwerb des Siegels ist Voraussetzung, um den QESeal-Service auf Openapi nutzen zu können.

Für den Prozess der qualifizierten elektronischen Signatur gibt es drei Pflichtfelder:

• Dokument (inputDocument)
• Benutzername des Signaturzertifikats
• Passwort für das Signaturzertifikat

Wenn keine Angabe (im Feld signatureType) gemacht wird, sucht das System anhand des MimeTyps der hochgeladenen Datei nach dem am besten geeigneten Format (CAdES, PAdES, XAdES und PKCS#1).

Die europäische eIDAS-Verordnung (Electronic Identification, Authentication and Trust Services) unterscheidet drei Stufen elektronischer Signaturen, die sich in ihren Eigenschaften und ihrem rechtlichen Wert unterscheiden:

Einfache Elektronische Signatur (EES)
Sie ist die grundlegendste Form der elektronischen Signatur. Sie ermöglicht die Zuordnung einer Handlung oder Zustimmung zu einer Person, bietet jedoch nur begrenzte Garantien hinsichtlich der Identität des Unterzeichners. Sie wird häufig verwendet, um Geschäftsbedingungen zu akzeptieren, Online-Transaktionen zu bestätigen oder auf digitale Dienste zuzugreifen.

Fortgeschrittene Elektronische Signatur (FES)
Sie gewährleistet eine eindeutige Verbindung zwischen dem Unterzeichner und dem unterzeichneten Dokument, ermöglicht die Identifizierung des Unterzeichners und erkennt nachträgliche Änderungen am Dokument. In vielen Fällen kann sie die gleiche Rechtswirkung wie eine handschriftliche Unterschrift haben und eignet sich für Verträge und private Vereinbarungen.

Qualifizierte Elektronische Signatur (QES)
Dies ist die höchste Stufe der elektronischen Signatur gemäß der eIDAS-Verordnung. Sie wird mithilfe eines qualifizierten Zertifikats eines qualifizierten Vertrauensdiensteanbieters erstellt, bietet das höchste Sicherheitsniveau und besitzt volle Rechtsgültigkeit in der gesamten Europäischen Union. In Italien wird sie üblicherweise mit der digitalen Signatur gleichgesetzt.

Welche Signatur Sollte Gewählt Werden?

Hinweis: Die bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Die Wahl der geeigneten elektronischen Signatur hängt vom rechtlichen Rahmen, dem Risikoniveau und den spezifischen Anforderungen Ihres Unternehmens ab. Um die passende Lösung zu ermitteln, empfiehlt es sich, das eigene Rechtsteam oder spezialisierte Berater zu konsultieren.

Sie können den Signiervorgang per API über die Endpunkte

• POST/EU-QES_automatic für massive automatische Signaturzertifikate
• POST/EU-QES_OTP für Fernzertifikat mit OTP
• POST/EU-QES_eseal für Qualifiziertes Elektronisches Siegel

Die Dienste QES OTP und QES Automatic unterstützen verschiedene Standards für qualifizierte elektronische Signaturen, die jeweils für bestimmte Dokumenttypen und Anwendungsfälle entwickelt wurden:

• CAdES (CMS Advanced Electronic Signatures): ermöglicht die Signatur beliebiger Dateitypen. Das signierte Dokument wird in der Regel mit der Erweiterung .p7m erzeugt, die sowohl die Originaldatei als auch die digitale Signatur enthält.
• PAdES (PDF Advanced Electronic Signatures): speziell für PDF-Dokumente. Das Format .pdf bleibt erhalten und die Signatur kann direkt im Dokument angezeigt werden.
• XAdES (XML Advanced Electronic Signatures): speziell für XML-Dokumente entwickelt, die häufig für den Datenaustausch zwischen Anwendungen und Informationssystemen verwendet werden.
• PKCS#1: stellt kein Dokumentensignaturformat dar, sondern einen auf RSA basierenden kryptografischen Standard zur Signierung von Hashwerten oder Anwendungsdaten.

Zusammenfassend definieren CAdES, PAdES und XAdES das Format und die Art und Weise, wie eine digitale Signatur in verschiedene Dokumenttypen eingebettet wird, während PKCS#1 den kryptografischen Mechanismus zur Erzeugung und Verifizierung der Signatur definiert. Die Wahl des Standards hängt vom Dokumentformat und den Integrationsanforderungen des Signaturprozesses ab.

Hinweis: Abhängig vom ausgewählten Signaturstandard (CAdES, PAdES, XAdES oder PKCS#1) stehen zusätzliche Konfigurationsoptionen zur Verfügung, die während der Signaturanfrage über das Feld option im Payload festgelegt werden können.

Diese Optionen ermöglichen beispielsweise die Anpassung des Signaturverhaltens, des Ausgabeformats des Dokuments sowie weiterer standardspezifischer Parameter.

Eine vollständige Übersicht aller verfügbaren Optionen, unterstützten Werte und Nutzungsmöglichkeiten finden Sie in der technischen Dokumentation sowie im entsprechenden API-Schema des ausgewählten Signaturstandards. Dadurch können Sie den Dienst optimal an Ihre Integrationsanforderungen anpassen.

Der Dienst ermöglicht die Konfiguration verschiedener Optionen, darunter:

• Validierungs- und Signaturmodus (synchron oder asynchron)
• Signaturstufe
• Hash-Algorithmus
• Callback für Benachrichtigungen und Aktualisierungen

Einige Optionen sind nur für bestimmte Formate verfügbar, z. B. die Positionierung der Signatur in PDF-Dokumenten.

Die Antwort hängt vom Status der Anfrage ab und kann sein:

• Warten auf die Validierung
• Warten auf den Abschluss des Signaturprozesses
• Signaturprozess abgeschlossen

Im Falle eines erfolgreichen Ergebnisses („DONE“) enthält die Antwort Angaben zum Status, zum Signaturformat, zu den gewählten Optionen (z.B. Signaturstufe, Algorithmus-Hash, möglicher Rückruf) und zum Abschlussdatum.

Beides. Der Dienst Qualifizierte Elektronische Signatur (QES) über API ermöglicht es Ihnen zu wählen, ob die Dokumentenvalidierung und -signierung synchron oder asynchron erfolgen soll.

Ja, der Dienst unterstützt das Anbringen von Zeitstempeln jeder Art und bietet so ein zusätzliches Maß an Sicherheit und Rechtsgültigkeit für signierte Dokumente.

Ja, die Dienste QES OTP und QES Automatic ermöglichen es, die Position der Signatur innerhalb des Dokuments individuell festzulegen, indem die Seite oder die zu verwendenden Signaturfelder angegeben werden.

Hinweis: Diese Funktion ist ausschließlich für Signaturen im PAdES-Format verfügbar, da dies das einzige Format ist, bei dem die Signatur direkt im PDF-Dokument sichtbar ist.

Wird keine Konfiguration angegeben, wird die Signatur automatisch in der unteren linken Ecke der ersten Seite platziert.

Um die Position der Signatur über die Endpunkte /EU-QES_otp oder /EU-QES_automatic anzupassen, können Sie die im Objekt options des Request-Payloads verfügbaren Parameter verwenden.

1. Positionierung nach Seite (page)

Sie können die PDF-Seite angeben, auf der das Signaturfeld erstellt und die digitale Signatur angewendet werden soll:

• 1 → erste Seite des Dokuments
• 2 → zweite Seite des Dokuments
• -1 → letzte Seite des Dokuments

Wenn Sie beispielsweise page: -1 festlegen, wird die Signatur automatisch auf der letzten Seite des PDFs eingefügt.

Bei Verwendung dieses Parameters wird die Signatur immer in der unteren linken Ecke der ausgewählten Seite platziert.

2. Alle Signaturfelder im Dokument signieren (signAllFields)

Wenn das Dokument ein oder mehrere vordefinierte Signaturfelder enthält, können Sie die folgende Eigenschaft im Objekt "signerImage" festlegen:

"signAllFields": true

Die Signatur wird dann automatisch auf alle im PDF vorhandenen Signaturfelder angewendet.

3. Bestimmte Felder signieren (fieldsNameList)

Wenn Sie nur bestimmte Felder signieren möchten, können Sie den Parameter fieldsNameList innerhalb des Objekts signerImage verwenden.
Der Parameter muss ein Array mit den Kennungen der zu signierenden Signaturfelder enthalten:

"fieldsNameList": [
"KundenSignatur",
"VertragspartnerSignatur"
]

Die Signatur wird ausschließlich auf die im Array angegebenen Felder angewendet.

Ja, über den Endpoint GET /signatures/{id}/{actionType} am Ende des Signiervorgangs ist es möglich, die vollständigen Details des Vorgangs, das signierte Dokument, das validierte Dokument oder den Prüfpfad abzufragen. Letzteres enthält alle Informationen, die zur erfolgreichen Signatur geführt haben, und ermöglicht im Falle von Streitigkeiten die technische Rekonstruktion der einzelnen Verfahrensschritte.

Es ist möglich, die Gültigkeit der Signatur eines Dokuments über den Endpoint POST /verify zu überprüfen.

Die Antwort enthält Informationen wie:

• Bestätigung der Gültigkeit der Signatur und des verwendeten Formats
• Eigentümer des Dokuments
• Zertifikatsstatus und Datum
• Mögliche Sperrung des Zertifikats mit Datum
• Vorhandensein und Datum eines Zeitstempels

Automatische und Massensignatur-Zertifikate, mit oder ohne OTP, können über die folgenden Endpunkte erworben werden

• POST /certificates/namirial-automatic
• POST /certificates/namirial-otp

Sobald die Anfrage über die API gestellt wurde, steht in der Antwort ein Link zur Verfügung, über den das Identifizierungsverfahren des Antragstellers gemäß den geltenden Vorschriften eingeleitet und somit das Zertifikat erworben werden kann.

Unser Service umfasst die Videoerkennung, die bequem von zu Hause oder vom Büro aus in wenigen Sekunden durchgeführt werden kann. Alternativ sind auch andere Identifizierungsverfahren über verfügbar:

• SPID
• CIE
• CNS
• Digitale Unterschrift

BITTE BEACHTEN: Der Erwerb des Zertifikats ist Voraussetzung für die Nutzung des Dienstes der automatischen und massiven qualifizierten elektronischen Signatur (mit oder ohne OTP).

Das Zertifikat hat eine Gültigkeit von 3 Jahren.

Das Signaturverfahren hat Rechtsgültigkeit (eIDAS) und wird durch die Übermittlung von OTPs zur Überprüfung des Unterzeichners verstärkt. Am Ende des Signiervorgangs können über die API sowohl das signierte Dokument als auch eine Kopie des Prüfpfads angefordert werden. Der Prüfpfad ist das Dokument, das alle Informationen enthält, die zur erfolgreichen Signatur geführt haben. Im Falle eines Rechtsstreits lässt sich mit dieser Datei jeder Schritt des Verfahrens technisch nachvollziehen.  Der Prüfpfad enthält Daten über das Verfahren (Kennung, Erstellungsdatum, Versand- und Ablaufdatum), über die Unterzeichner (Vor- und Nachname, E-Mail, Telefonnummer, IP-Adresse) und den Authentifizierungsmodus des Unterzeichners (Authentifizierungsmethode, gesendete Nachricht und Zeitpunkt der Validierung). Der Audit-Trail wird für 10 Jahre in seiner Originalform archiviert.

Ja, es ist möglich, die SES-Signaturoberfläche für den Endnutzer bereits im Antragsprozess anzupassen.

Die Anpassung kann beispielsweise die Änderung von Farben (Hintergrund, Titel und Text) sowie die Sichtbarkeit von Sidebar, Header und Footer umfassen, ebenso wie das Hinzufügen des Unternehmenslogos. Außerdem kann aktiviert oder deaktiviert werden, ob der Nutzer das Dokument herunterladen darf.

Abschließend kann am Ende des Signaturprozesses eine Weiterleitungs-URL zu einer benutzerdefinierten Webseite konfiguriert werden.

Ja, es ist möglich, die Sprache der SES-Signaturoberfläche auf Ebene des einzelnen Unterzeichners festzulegen.

Die Sprache, in der der Nutzer die Oberfläche sieht und die Mitteilungen (E-Mail oder SMS mit dem OTP) erhält, kann über das Feld „Language“ im Objekt Signers definiert werden.

Der elektronische Signaturdienst (SES) ermöglicht es, PDF-Dokumente aus der Ferne einfach, sicher und in Übereinstimmung mit den geltenden regulatorischen Standards zu signieren. Mehrere Unterzeichner können in dasselbe Dokument eingebunden werden, auch mit unterschiedlichen Positionierungen der Signatur innerhalb der Seiten.

Der Prozess gliedert sich in die folgenden Schritte:

1. API-Anfrage senden
Führen Sie einen API-Aufruf durch und geben Sie dabei die Daten der Unterzeichner (Vor- und Nachname), die anzuwendende Signaturart (typed oder drawn), die OTP-Authentifizierungsmethode (E-Mail oder SMS) sowie die Sprache der Benutzeroberfläche und der OTP-Kommunikation an. Je nach gewählter Authentifizierungsmethode müssen zusätzlich die E-Mail-Adresse oder die Mobilnummer des Unterzeichners angegeben werden.

2. Generierung der Signatur-Links
Das System gibt eindeutige Links für jeden Unterzeichner zurück, die für den Zugriff auf den Signaturprozess verwendet werden. Es liegt in Ihrer Verantwortung, diese Links an die jeweiligen Unterzeichner zu verteilen und die Zustellung der Signaturoberfläche zu verwalten.

3. Dokument unterzeichnen
Die Unterzeichner greifen über den erhaltenen Link auf die Plattform zu, schließen die OTP-Authentifizierung ab und unterzeichnen das Dokument.

4. Abschluss des Prozesses und Download
Nach Abschluss des Prozesses wird das signierte und validierte Dokument zum Download bereitgestellt, zusammen mit dem vollständigen Protokoll der Vorgänge (Audit Trail), das die vollständige Nachverfolgbarkeit des Signaturprozesses gewährleistet.

Fehler 815 – invalid signer email wird zurückgegeben, wenn die E-Mail-Adresse des Unterzeichners ungültig ist oder in der Anfrage nicht korrekt angegeben wurde.

Zur Behebung des Problems empfehlen wir zu prüfen, ob der übermittelte Wert formal korrekt ist und keine unerwünschten Leerzeichen vor oder nach der E-Mail-Adresse enthält.

Insbesondere empfehlen wir die Implementierung der folgenden clientseitigen Validierungen vor dem Senden der API-Anfrage:

1. Syntaxprüfung (E-Mail-Format)
Stellen Sie sicher, dass die eingegebene Zeichenfolge einem gültigen E-Mail-Format entspricht (z. B. [email protected]).
Ist das Format nicht korrekt, sollte die Anfrage direkt in der Benutzeroberfläche blockiert werden, bevor der API-Aufruf erfolgt.

2. String-Bereinigung
Entfernen Sie führende und nachgestellte Leerzeichen, indem Sie eine Normalisierung wie .trim() auf den E-Mail-Wert anwenden.

3. Vorab-Formularvalidierung
Um Fehler zu minimieren, sollte die Formularübermittlung erst zugelassen werden, wenn die Validierung erfolgreich abgeschlossen wurde, um ungültige API-Anfragen zu vermeiden.

Ja. Der SES-Dienst ermöglicht es, über das Objekt userEditableData, das innerhalb des options-Objekts der Anfrage POST /EU-SES verfügbar ist, festzulegen, ob die Daten eines Unterzeichners während des Signaturprozesses geändert werden dürfen.

Standardmäßig können Unterzeichner bestimmte persönliche Daten ändern, darunter:

• Vor- und Nachname
• E-Mail-Adresse
• Mobiltelefonnummer

Diese Optionen sind standardmäßig aktiviert und auf true gesetzt.

Wenn Sie verhindern möchten, dass Unterzeichner ein oder mehrere Felder ändern, setzen Sie die entsprechenden Eigenschaften einfach auf false. Die Daten werden dann in der Signaturoberfläche im Nur-Lese-Modus angezeigt und können vom Benutzer nicht bearbeitet werden.

Diese Funktion ist besonders nützlich, wenn sichergestellt werden soll, dass zuvor erfasste und verifizierte Daten während des gesamten Signaturprozesses unverändert bleiben.

Die Aktivierungs- und Nutzungszeiten der eSignature-Dienste variieren je nach Art der angeforderten Signatur oder des Zertifikats:

• Automatische QES (mit oder ohne OTP): Die Aktivierung des Zertifikats hängt vom Abschluss des Video-Identifizierungsverfahrens ab, das in den meisten Fällen nur wenige Minuten dauert.
• QESeal (Qualifiziertes Elektronisches Siegel): Die Ausstellung des Zertifikats dauert in der Regel bis zu 10 Werktage ab Eingang der Zahlung und aller für die Vorabprüfung erforderlichen Unterlagen.
• SES (Einfache Elektronische Signatur): Die Identifizierung des Unterzeichners erfolgt in Echtzeit während des Signaturvorgangs durch eine OTP-Verifizierung.
• Anbringen der Signatur oder des Siegels: Nach der Aktivierung des Dienstes erfolgt das Anbringen der automatischen Signatur, der OTP-Signatur, der einfachen Signatur (SES) oder des elektronischen Siegels in Echtzeit über die API.

Für den QES-Signaturdienst fallen keine jährlichen Gebühren an; eine Zahlung ist nur für die Aktivierung des Zertifikats (99€) und für die tatsächliche Nutzung erforderlich.

Die Kosten für Anrufe sind:

• ab 0,013€ für das Abonnement und 0,050€ für die Aufladung für den automatischen Signaturzertifikatsdienst
• ab 0,007€ beim Abonnement und 0,050€ beim Aufladen für den automatischen Signaturzertifikatsdienst mit OTP

Die Kosten für die Zertifikate hingegen sind wie folgt:

• 137€ für für den automatischen Signaturzertifikatsdienst mit OTP + Video-ID
• 29€ für das automatische 3-Jahres-Signaturzertifikat mit OTP + Video-ID

Für den Dienst fallen keine jährlichen Gebühren an. Es fallen nur Gebühren für die Aktivierung des Siegels und für die tatsächliche Nutzung an.

Die Kosten für die Nutzung betragen nur 0,013€/Anruf bei einem Abonnement oder 0,050€/Anruf bei einer Aufladung.

Die Aktivierung des Siegels kann für 1 oder 3 Jahre beantragt werden und kostet 387€ für 1 Jahr und 987€ für 3 Jahre.

Die Kosten werden pro Unterzeichner berechnet, nicht nach der Anzahl der auf dem Dokument angebrachten Signaturen:

• Ab 0,09 € pro Unterzeichner bei einem Abonnement
• 0,49 € pro Unterzeichner für Einzelanfragen mit Abrechnung über Guthaben

Bei mehreren Unterzeichnern werden die Kosten mit der Anzahl der beteiligten Unterzeichner multipliziert, unter Anwendung des jeweils gültigen Tarifs (Abonnement oder Einzelanfrage). Die Abrechnung erfolgt zum Zeitpunkt der Anforderung, unabhängig davon, wie der Signaturprozess anschließend abgeschlossen wird.

Während des Signaturvorgangs kann ein europaweit rechtsgültiger Zeitstempel zu einem zusätzlichen Preis von 0,15 € hinzugefügt werden.