电子合同是怎么保障信息安全的？

电子合同数据保护，需要构建全链路、全周期的保护体系。而可靠的第三方平台将从数据链路、结构化数据存储、文件存储、秘钥管理、用户数据权限、用户账户管理、数据审计、运维管理等多个角度，保障用户数据安全。

1、 数据链路：可靠的第三方平台所有文件数据传输过程采用SSL安全协议全链路加密（回源链路也加密），确保文件不会在传输过程中被窃取。

2、 结构化数据及文件加密：结构化数据采用AES256对称加密，加密秘钥在内存中随机生成，不直接存储于任何存储介质，而是采用RSA非对称加密算法封装于用户的数字信封中，开启此数字信封需要两部分秘钥，一部分通过用户密码获取，另一部分存储于第三方系统，从而确保秘钥不会泄露。加密后文件数据，通过切割算法打散分块存储。

3、 秘钥管理：用户数据加密秘钥，通过RSA算法封装于数字信封。数字信封开启秘钥，通过用户密码及独立的秘钥子系统联合获取。用户数据、加密秘钥、数字信封开启秘钥分别于不同的子系统存储，并最终通过用户登录授权动作提取使用。

4、 用户数据权限：企业内的合同数据，需要管理员设置及分配相应访问权限，内部员工账号才具有相应数据访问权限。

5、 账户管理：严密的个人账号实名及信息修改规则，企业管理员权限分权制约、可审计。

6、 数据审计：所有用户行为及管理员管理行为可审计，系统管理及数据管理角色分权制约。

7、 运维管理：契约锁内部子系统，采用分权运维策略，单个运维人员，不可能获得任何一份合同完整的加密后数据，更无法跳过用户自行解密。

契约锁平台上述数据安全体系已通过ISO270001信息安全管理体系认证，及公安部信息系统安全等级保护（三级）。

电子合同在签订与存储过程中主要从以下三点保障信息安全：

一、防篡改

电子数据本身具有易消逝、易篡改、易损毁的特点，为了解决电子合同防篡改的问题，法大大采用了以下三种技术：

• 防篡改技术。法大大电子合同采用国际通用哈希值技术固化原始电子文件数据，可轻松识别文件是否被篡改。

• 第三方取时技术。即时间戳，法大大接入了由联合信任时间戳服务中心提供的时间戳服务，为电子签名添加时间属性，有效确认合同生成的时间以及文件内容的不可篡改性。

• 区块链存证技术。2016年，法大大联合微软（中国）、Onchain共同发起成立了“法链”，将电子合同与区块链技术深度融合，电子合同的签署时间、签署主体、文件哈希值等数字指纹信息会广播到“法链”所有成员的各自节点上。所有信息一经存储，任何一方都无法篡改，实现电子证据的防篡改，保证其客观真实性。

可以说，采用了防篡改、第三方取时、区块链存证技术，可以有效确保合同内容的完整、可靠，防止电子合同遭篡改。

二、存储中防泄密

拿我们为例，为了确保电子合同不被泄密，对电子合同数据进行了多重加密存储。从电子合同签发开始，电子合同传输、存储过程中采取高强度加密技术，确保合同文件仅对本人可见，其他任何人都无法查看到合同内容。

作为电子签名行业资质认证完备的电子合同服务商，率先通过了ISO27001信息安全管理体系认证、信息系统安全等级保护三级认证、可信云企业级SaaS服务认证。并于2017年4月率先上线手机盾，成为电子签名行业首个采用手机盾实现手机端的身份认证、电子签名和数据加密传输的平台，保障了电子签名的法律效力、安全性和可追溯性。

除了法律效力外，大家都很关注电子合同的安全，害怕合同数据被改、丢失，害怕电子合同泄露隐私？

其实大可不必担心，电子合同在签订、传输与存储过程中都有保障。

哈希值校验/科学基础

哈希值，即HASH值，相当于电子数据的“指纹”，

不同的数据（哪怕细微的差异）得到的哈希值均不相同，且哈希值是不可逆的。

因此，可以通过对数据进行哈希值较验，以判断该文件是否在发布后被人修改过。君子签采用哈希值技术固化原始电子文件数据，可轻松识别文件是否被篡改。

电子签名/身份认证

电子签名技术的实现需要使用到非对称加密（RSA算法）和报文摘要（HASH算法）。非对称加密保证了不会有第三者插入，报文摘要即电子信息的“指纹”，因此，电子签名实现了两个基本功能：

（1）识别签名人

（2）表明签名人对内容的认可

使用君子签电子合同，可确保双方的真实身份，防止代签、冒签的可能。

可靠时间戳/时间认证

当用户签约时，会提出时间戳请求，其Hash值被传递给第三方时间戳服务器，时间戳服务器采用权威时间源，对电子数据摘要和权威时间记录进行数字签名生成时间戳。

通过可信时间戳可确定电子文件生成的精确时间，并防止电子文件被篡改，为电子数据提供可信的时间证明和内容真实性、完整性证明，作为证据使用具有权威性和可信赖性，符合《电子签名法》要求，在法律上具备证明效力。

保全链/加密技术

君子签区块链电子签约平台利用保全链技术把核心数据信息（电子签名、时间戳、内容摘要）转化成哈希值进行保存，而下一个数据进入保全链的时候，会将上一个数据哈希值与本次数据的主体、时间戳、内容摘要一起转化为另一个哈希值保存，以此类推进行加密。

同时，电子合同的签署时间、签署主体、文件哈希值等数字指纹信息会广播到数据保全中心、公证处、司法鉴定中心、仲裁委员会等权威机构组成的区块链上。所有信息一经存储，任何一方都无法篡改，可保证电子合同的客观真实性。

"因情况紧急，在证据可能灭失或者以后难以取得的情况下，利害关系人可以在提起诉讼或者申请仲裁前向证据所在地、被申请人住所地或者对案件有管辖权的人民法院申请保全证据。
证据保全的其他程序，参照适用本法第九章保全的有关规定。"

电子合同采用的是数字签名的方式
数字签名就是采用PKI数字证书技术由签名者对某个文件生成一段固定长度的别人无法伪造的数字字符串，这个字符串就是文件摘要(HASH)，有时被形象地称为“指纹”。摘要算法能确保无法从摘要数据得到原文，保证了原文的安全。这段字符串也同时是对文件的发送者的身份真实性的一个有效证明，它是一种类似写在纸上的普通的物理签名，使用了公钥加密技术来实现，用于鉴别数字信息的真伪。数字签名通常定义两种互补的运算，一个用于签名，另一个用于验签。文件摘要的唯一性决定了一旦此摘要数据被固化则能有效地证明签名者的真实身份和签名行为的不可抵赖。
签名者需要由权威的第三方CA机构验证其身份并为其颁发签名证书用于数字签名PDF文件
需要特别指出的是：密信电子签名服务只提交用户的待签名文件的摘要(HASH值)到云端，不提交用户的待签名的原文件到云端，在云端完成摘要签名后，由密信App在用户本地电脑把签名数据写入PDF文件中，有效保护用户的原文件个人隐私信息和商业机密安全。