Kā aizsargāt un droši glabāt savu darbu PDF formātā

Katru dienu tūkstošiem dokumentu ceļo pa e-pastu, nonāk mākonī un tiek pārsūtīti tālāk bez jebkādas aizsardzības. Līgumi, nodokļu deklarācijas no VID, medicīniskā dokumentācija, finanšu pārskati, personas apliecinošo dokumentu skenējumi: katrs no tiem var nodarīt reālu kaitējumu, ja nonāks nepareizās rokās. Labā ziņa ir tā, ka nopietnu PDF aizsardzību var izveidot dažās sekundēs, un tas nemaksā neko. Šajā ceļvedī mēs parādām, kā garantēt dokumentu konfidencialitāti, kā padarīt sensitīvus datus neatgūstamus, kā nodrošināt atbilstību ES GDPR un Fizisko personu datu apstrādes likumam (2018) un kā izskatās profesionālā labākā prakse, kad dokumentam jāatstāj organizācija.

Kāpēc PDF drošība ir svarīgāka, nekā jums šķiet

Datu noplūdes incidenti, kas saistīti ar neaizsargātiem PDF failiem, pieder pie biežākajiem un visretāk apspriestajiem. E-pasts, kas piegādāts nepareizam adresātam, PDF, kas augšupielādēts kopīgā diskā bez paroles, fails, kas nodots partnerim, kurš to savukārt pārsūta konsultantam — tie ir ikdienas scenāriji, kas noved pie incidentiem, sodiem un reputācijas zaudējumiem. Pareiza prakse ir ierakstīt aizsardzību pašā formātā, nevis paļauties uz pārsūtīšanas kanālu.

• E-pasti, kas piegādāti nepareizam adresātam: tas notiek biežāk, nekā šķiet. Bez paroles PDF ir lasāms ikvienam.
• E-pasti, kas pārsūtīti kolēģiem, partneriem, klientiem bez jūsu piekrišanas: parole ierobežo piekļuvi tikai pilnvarotām personām.
• Nozagti vai pazaudēti datori un ierīces: aizsargāts PDF paliek nepieejams personai, kura atrada iekārtu.
• Nejaušas dalīšanās mākonī: saites, kas turpina ceļot. Parole paliek kā barjera.
• Atbilstība ES GDPR un Fizisko personu datu apstrādes likumam (2018): dokumentiem, kas satur personas datus, šifrēšana ir viens no „atbilstošajiem tehniskajiem pasākumiem”, ko prasa tiesību akti, un Datu valsts inspekcija (DVI) to gaida no datu pārziņiem Latvijā.

Paroles šifrēšana: pirmā aizsardzības līnija

Rīks [Aizsargāt PDF](/lv/aizsargat-pdf) PDFtoAll piemēro dokumentam AES (Advanced Encryption Standard) šifrēšanu — starptautisku standartu, ko izmanto valdības, bankas un militāras organizācijas. Pieejami divi līmeņi:

• AES 128 bitu: pietiekams pārliecinošā vairākumā ikdienas profesionālo scenāriju. Savietojams ar visiem PDF lasītājiem, pat vecākiem.
• AES 256 bitu: maksimālas drošības standarts, ieteicams īpaši konfidenciāliem dokumentiem (juridiskie dosjē, medicīniskie dati, komercnoslēpumi, augsta svara finanšu dati). Prasa modernus PDF lasītājus — to atbalsta katrs lasītājs pēdējo 10 gadu laikā.

Atvēršanas parole pret atļauju paroli

Rīks ļauj iestatīt divu veidu paroles:

• Atvēršanas parole (User Password): bez tās PDF neatvērsies. Tā ir pamata aizsardzība, kas nepieciešama 90 % gadījumu.
• Atļauju parole (Owner Password): kontrolē uzlabotus ierobežojumus pat lietotājiem, kuri jau ir atvēruši failu: drukāšanu (atļauta / aizliegta / tikai zemā izšķirtspējā), teksta kopēšanu, rediģēšanu, veidlapu aizpildīšanu, attēlu izvilkšanu.

Kā izvēlēties spēcīgu paroli

AES-256 šifrēšana kombinācijā ar vāju paroli praktiski ir bezjēdzīga. Zelta likumi:

• Vismaz 12–16 rakstzīmes: garums ir svarīgāks par sarežģītību.
• Lielo un mazo burtu, ciparu un simbolu sajaukums.
• Bez vārdiem no vārdnīcas un acīmredzamiem personas datiem (dzimšanas datums, partnera vārds, dzimtā pilsēta).
• Izmantojiet atmiņā paliekošu paroļu frāzi: četri nejauši vārdi (`Maratons$Daugava7Dzintars`) ir spēcīgi un viegli atcerami.
• Ģenerējiet paroles paroļu pārvaldniekā (1Password, Bitwarden, KeePass) un pierakstiet tās: ja aizmirsīsiet, fails ir zaudēts uz visiem laikiem — PDFtoAll neuzglabā nevienu paroli.

Neatgriezeniska cenzēšana: faktiska sensitīvu datu dzēšana

Fundamentāla atšķirība, par kuru maz kurš zina: melnais marķieris nav redakcionāla cenzēšana. Daudzi dokumenti, ko izplata kā „cenzētus”, patiesībā ir nepilnīgi aizsargāti — bieži tas ir tikai melns taisnstūris, uzklāts uz teksta, kamēr oriģinālais teksts paliek PDF failā un to var atgūt, kopējot vai apskatot faila struktūru. Šī problēma ir izraisījusi skaļus skandālus valsts iestāžu līmenī, arī Latvijā saistībā ar publiski pieejamiem dokumentiem.

Rīks [Cenzēt PDF](/lv/cenzet-pdf) PDFtoAll veic profesionālu cenzēšanu: dati zem slāņa tiek fiziski izdzēsti no faila un aizstāti ar neatgriezenisku melnu taisnstūri. Pat tehniski pieredzējuši lietotāji tos nevar atgūt.

Kad pielietot cenzēšanu

• Līgumu publicēšana vai vienošanos, saglabājot pušu anonimitāti.
• Tiesas dokumentu kopīgošana ar trešo personu, kuras nav saistītas ar lietu, datu noņemšanu.
• Atbalsta pieprasījumu nosūtīšana ar ekrānuzņēmumiem, kuros paslēpti jūsu personas dati.
• Iestāžu dokumentu izvilkumu publicēšana presei.
• Atbilstība ES GDPR un Fizisko personu datu apstrādes likumam (2018): pirms dokumenta ar personas datiem nodošanas nepilnvarotam saņēmējam.
• Medicīnas nozare: medicīniskās dokumentācijas anonimizācija statistikas pētījumiem vai zinātniskām publikācijām.

Ūdenszīmes: statusa un īpašumtiesību identifikācija

Ūdenszīme ir aizsardzības slānis, kas papildina šifrēšanu: tā attur no neatļautas kopēšanas, identificē dokumenta statusu un piešķir zīmolu uzņēmuma materiāliem. Rīks [Ūdenszīme PDF](/lv/udenszime-pdf) uzklāj tekstu vai attēlu uz katras lappuses ar pozīcijas kontroli (9 pozīciju režģis), caurspīdīgumu (10–100 %), pagriešanu (piemēram, 45° diagonāli statusa tekstam) un krāsu.

Stratēģiski lietošanas gadījumi

• „MELNRAKSTS”: sākotnējām versijām, lai skaidri atšķirtu tās no galīgās.
• „KONFIDENCIĀLI”: apzīmē dokumentus, kuri nedrīkst atstāt uzņēmuma perimetru.
• Uzņēmuma logotips: piešķir zīmolu komercpiedāvājumiem, pārskatiem un iekšējiem materiāliem.
• „Kopija priekš [Klienta vārds]”: nepārprotami identificē dokumenta saņēmēju — noderīgi, lai izsekotu iekšējām noplūdēm.
• „NEIZPLATĪT”: attur no tālākas pārsūtīšanas.

Elektroniskais paraksts: integritāte un juridiskais spēks

Elektroniskais paraksts nav tikai autentifikācija: tā ir arī integritātes garantija. Digitāli parakstīts PDF ar kvalificētu sertifikātu reģistrē arī precīzu parakstīšanas brīdi un neļauj vēlākas izmaiņas, neanulējot parakstu. Rīks [Parakstīt PDF](/lv/parakstit-pdf) ļauj pievienot vienkāršu elektronisko parakstu (SES) — derīgu eIDAS regulas izpratnē lielākajai daļai komerclīgumu — zīmējot ar pirkstu, ierakstot uzvārdu kaligrāfiskā fontā vai augšupielādējot skenētu attēlu.

Dokumentiem, kuriem nepieciešams uzlabots elektroniskais paraksts (AdES) vai kvalificēts elektroniskais paraksts (QES) — notariālie akti, oficiāli dokumenti, nekustamā īpašuma līgumi, dāvinājumi — nepieciešams akreditēts uzticamības pakalpojumu sniedzējs. Latvijā kvalificēto parakstu nodrošina eParaksts un Smart-ID (ar kvalificēto sertifikātu) caur Latvija.lv platformu. PDFtoAll tomēr var izmantot, lai sagatavotu dokumentu (apvienotu, numurētu, cenzētu) pirms sertificētā paraksta pievienošanas.

Privātums pēc dizaina: PDFtoAll modelis

Visus aplūkotos drošības rīkus apvieno viena īpašība: tie darbojas pilnībā pārlūkprogrammā. Kad ar paroli aizsargājat PDF, cenzējat, pievienojat ūdenszīmi vai parakstāt dokumentu — apstrāde notiek lokāli, jūsu ierīcē, izmantojot WebAssembly. Faili nekad netiek sūtīti uz mūsu serveriem.

Šim modelim — saukts par privacy by design — ir trīs svarīgas praktiskas sekas:

• Ne mums, ne mūsu mitināšanas pakalpojumam, ne kādam tīkla starpniekam nav piekļuves dokumentu saturam.
• Mūsu sistēmās netiek izveidota neviena pastāvīga kopija: faili pastāv tikai pārlūkprogrammas atmiņā sesijas laikā.
• Jūsu iestatītās paroles nekad netiek glabātas, ierakstītas, sinhronizētas vai pārsūtītas citur.

ES GDPR un Fizisko personu datu apstrādes likums: praktiski aspekti

Regula (ES) 2016/679 (GDPR) kopā ar Fizisko personu datu apstrādes likumu (2018) uzliek pārziņiem un apstrādātājiem pienākumu īstenot atbilstošus tehniskos un organizatoriskos pasākumus, lai aizsargātu personas datus (32. pants). Praksē PDF dokumentiem tas nozīmē:

• Failu šifrēšana, kas satur personas datus, kad tie pamet uzņēmuma perimetru.
• Pseidonimizācija vai anonimizācija ar neatgriezenisku cenzēšanu, kad dati vairs nav nepieciešami mērķa sasniegšanai.
• Versiju izsekošana ar ūdenszīmēm un elektroniskajiem parakstiem.
• Minimizēšana: izvelciet tikai tās lappuses, kas patiešām nepieciešamas saņēmējam, nesūtiet visu dosjē (ar Izvilkt PDF lappuses).
• Pārkāpuma paziņošana Datu valsts inspekcijai (DVI) 72 stundu laikā incidenta gadījumā: atbilstošs šifrējums var samazināt risku un līdz ar to arī pienākumu paziņot datu subjektiem.

Aizsargātu dokumentu kopīgošanas labākā prakse

PDF un paroles nosūtīšana vienā un tajā pašā kanālā atceļ lielāko daļu aizsardzības: ikviens, kas pārtver ziņojumu, vienlaikus iegūst gan failu, gan atslēgu. Profesionālā labākā prakse:

• Atsevišķi kanāli: nosūtiet PDF pa e-pastu, bet paroli — ar SMS, telefonu, šifrētu biznesa ziņapmaiņu vai personīgi.
• Kopīgs paroļu pārvaldnieks (1Password Teams, Bitwarden, LastPass) komandām, kas pastāvīgi sadarbojas.
• Droši pārsūtīšanas pakalpojumi ar ierobežotu derīguma termiņu (Privnote, Onetime Secret) vienreizējai paroles nodošanai.
• Nekad nepierakstiet paroli e-pasta saturā vai faila nosaukumā (`ligums_parole_PIPPO123.pdf` ir acīmredzama kļūda).

Drošības kontrolsaraksts katram izejošajam PDF

Pirms konfidenciāla dokumenta nosūtīšanas izejiet šo sarakstu:

1. Cenzējiet sensitīvus datus, kas nav būtiski saņēmējam (ar Cenzēt PDF).
2. Pievienojiet ūdenszīmi, kas identificē statusu vai saņēmēju (ar Ūdenszīme PDF).
3. Parakstiet digitāli, ja jāapstiprina autorība un integritāte (ar Parakstīt PDF).
4. Saspiediet failu, lai ierobežotu ekspozīciju (ar Saspiest PDF).
5. Šifrējiet ar spēcīgu AES-256 paroli (ar Aizsargāt PDF).
6. Nosūtiet paroli pa kanālu, kas atšķiras no faila kanāla.
7. Saglabājiet paroli paroļu pārvaldniekā — ja aizmirsīsiet, atgūt nevarēs.

Kopsavilkums

PDF aizsardzība šodien ir dažu sekunžu darbība, taču tieši tā izšķir, vai dokuments atstāj viegli izsekojamus caurumus vai paliek drošs neatkarīgi no pārsūtīšanas kanāla. Apvienojot četrus galvenos rīkus — Aizsargāt, Cenzēt, Ūdenszīme, Parakstīt — jūs veidojat aizsardzības līmeni, kas atbilst praktiski jebkuram profesionālam scenārijam, saskaņā ar ES GDPR, Fizisko personu datu apstrādes likumu (2018) un starptautisko labāko praksi. Un tā kā PDFtoAll darbojas pilnībā pārlūkprogrammā, jūsu faili paliek droši pat aizsardzības brīdī.