FreeSign

Soukromý a bezpečný e-podpis · BEZ ODESÍLÁNÍ NA SERVER

Soukromý a bezpečný elektronický podpis v prohlížeči. Bez nahrávání PDF, bez účtu.

Hledáte-li oblíbený elektronický podpis zdarma, FreeSign je soukromý, bezpečný a bezplatný elektronický podpise-podpis, který vytváříte kompletně ve svém prohlížeči. Váš PDF soubor není nikdy odeslán na naše servery — celá operace podpisu probíhá lokálně na vašem zařízení. Nahrajete soubor, zadáte jméno a příjmení, potvrdíte e-mail jednorázovým kódem a stáhnete hotový podepsaný PDF. Dokument si zachovává důkazní hodnotu a podpis lze ověřit v Adobe Reader i dalších běžných programech pro práci s PDF. Bez účtu. Bez limitů. Nic se neinstaluje.

Podepsat PDF teď →

Shrnutí popisu FreeSign v češtině

Co je soukromý elektronický podpis (e-podpis)?

Elektronický podpis (zkráceně e-podpis, hovorově též digitální podpis) je elektronický ekvivalent vlastnoručního podpisu: přiřazuje dokument konkrétní osobě a potvrzuje, že tato osoba souhlasila s jeho podepsáním. V Evropské unii právní rámec stanoví nařízení eIDAS (nařízení Evropského parlamentu a Rady (EU) č. 910/2014): elektronickému podpisu nelze upírat právní účinek ani přípustnost jako důkazu pouze proto, že má elektronickou podobu nebo není kvalifikovaným elektronickým podpisem. V USA obdobnou funkci plní zákon ESIGN (15 U.S.C. §7001) a UETA.

Soukromý e-podpis je takový, u nějž váš dokument nikdy nedorazí do cloudu poskytovatele. Prakticky všechny známé služby — DocuSign, Adobe Acrobat Sign, HelloSign, SignNow — nahrávají váš PDF na své servery, ukládají ho a distribuují. FreeSign je jedinou službou, která vytváří skutečný elektronický podpis a nikdy nevidí obsah vašeho dokumentu. Váš prohlížeč vygeneruje krátký jednosměrný otisk souboru — a to je vše, co se k nám dostane. Samotný PDF zůstává na vašem počítači.

Jak funguje e-podpis FreeSign v prohlížeči?

Celá podpisová ceremonie probíhá na vaší straně. Šest jednoduchých kroků:

  1. Nahrajete PDF do prohlížeče. Váš prohlížeč vytvoří krátký jednoznačný otisk souboru a odešle pouze ten — nikoli samotný soubor. PDF vaše zařízení neopustí.
  2. Zadáte jméno a e-mailovou adresu. Vznikne podpisová obálka, která spojuje vaše údaje s otiskem dokumentu a s vaším souhlasem k podpisu.
  3. Potvrdíte e-mailovou adresu jednorázovým kódem. Do vaší schránky přijde šestimístný kód. Jeho zadáním potvrdíte, že jste to skutečně vy.
  4. Podepíšete. Váš prohlížeč vytvoří podpis lokálně. Současně náš server vystaví jednorázový certifikát s vaším jménem a e-mailem — svázaný s tímto konkrétním dokumentem.
  5. Pečeť a časové razítko. K dokumentu se připojí: kryptografická pečeť podpisu, důvěryhodné časové razítko (od nezávislého poskytovatele) a veřejný časový důkaz zakotvený v blockchainu Bitcoinu — pečeť bude ověřitelná i za 10 let, bez ohledu na to, zda FreeSign nadále existuje.
  6. Stáhnete. Získáte standardní podepsaný PDF, který Adobe Reader a další běžné programy uznají jako správně podepsaný — bez nutnosti kontaktu s FreeSignem.

Při dalších návštěvách — přístupový klíč (passkey). Po prvním podpisu si můžete na stejném zařízení uložit přístupový klíč (passkey), který odemykáte biometrií nebo PIN-em zařízení. Další dokumenty pak podepíšete dotykem prstu, Face ID, Touch ID nebo kódem zařízení — bez nutnosti zadávat kód z e-mailu. Celá ceremonie se zkrátí na několik sekund a zůstává plně soukromá.

Úplný technický popis s diagramy: stránka architektury (v angličtině). Podrobnosti pro pokročilé uživatele jsou také v dolní části této stránky.

Proč na soukromí „bez nahrávání“ záleží

Protože alternativa — odeslat PDF poskytovateli — znamená předat kopii každého podepisovaného dokumentu třetí straně. V několika kategoriích je to aktivně nebezpečné:

  • NDA (dohody o mlčenlivosti) jsou doslova dohodami o nezveřejnění obsahu; nahrát dosud nepodepsanou NDA k třetí straně je přesně to zveřejnění, kterému má dohoda zabránit.
  • Fúze, akvizice a investiční transakce uvádějí strany a částky dlouho před jakýmkoli veřejným oznámením.
  • Zdravotnická, právní a HR dokumentace podléhá regulacím (GDPR, HIPAA, advokátní mlčenlivost), které smluvní podmínky poskytovatele mohou, ale nemusí ctít.
  • Komunikace chráněná profesní mlčenlivostí (advokát–klient, lékař–pacient, novinář–zdroj) může tuto ochranu ztratit ve chvíli, kdy ji přečte třetí strana.
  • Osobní údaje ve smyslu GDPR — každé nahrání podepisovaného dokumentu obsahujícího osobní údaje k poskytovateli zakládá smlouvu o zpracování (čl. 28 GDPR) se vší s tím spojenou dokumentací. FreeSign tento problém nevytváří: obsah dokumentu nedostáváme, takže nám žádné údaje z jeho vnitřku nesvěřujete.

Soukromí FreeSign je strukturální, nikoli pouze deklarativní: v naší službě technicky neexistuje způsob, jak nám obsah souboru odeslat. Úplný diagram architektury: stránka architektury.

Právní postavení v České republice a Evropské unii

Čl. 25 odst. 1 nařízení eIDAS stanoví, že elektronickému podpisu nelze upírat právní účinek ani přípustnost jako důkazu v soudním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky kladené na kvalifikované elektronické podpisy. FreeSign je postaven podle modelu zaručeného elektronického podpisu (Advanced Electronic Signature, AES) z čl. 26 nařízení eIDAS (nařízení Evropského parlamentu a Rady (EU) č. 910/2014). eIDAS rozlišuje tři kategorie podpisu:

  • Prostý elektronický podpis (SES, čl. 3 bod 10) — např. napsané jméno v patičce e-mailu. Důkazně přípustný, ale slabý.
  • Zaručený elektronický podpis (AES, čl. 26) — podpis, který splňuje čtyři podmínky: je jednoznačně spojen s podepisujícím, umožňuje identifikaci podepisujícího, je vytvářen pomocí prostředků pod jeho výhradní kontrolou a je s podepsanými daty spojen tak, že každá pozdější změna je zjistitelná. To je kategorie, ve které funguje FreeSign.
  • Kvalifikovaný elektronický podpis (QES, čl. 25 odst. 2) — AES vystavený kvalifikovaným poskytovatelem služeb vytvářejících důvěru na kvalifikovaném prostředku (QSCD). Zákon ho vyžaduje pouze v úzkém okruhu (některé zápisy v rejstřících, notářské zápisy).

FreeSign splňuje podmínky AES podle čl. 26 následujícím způsobem:

  • Jednoznačně spojen s podepisujícím — váš jednorázový certifikát obsahuje vaše jméno, příjmení a e-mailovou adresu.
  • Umožňuje identifikaci — ověření e-mailu jednorázovým kódem a zadané jméno a příjmení.
  • Vytvořen pod vaší výhradní kontrolou — klíč, kterým podepisujete, vzniká výhradně ve vašem prohlížeči, nikdo jiný k němu nemá přístup.
  • Spojen s daty tak, že změna je zjistitelná — pečeť dokumentu a nezávislý časový důkaz zakotvený v blockchainu Bitcoinu.

V českém právním řádu rámec doplňují:

  • Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce — implementace nařízení eIDAS, který upravuje operační stránku kvalifikovaných služeb vytvářejících důvěru v ČR.
  • §561 občanského zákoníku (zákon č. 89/2012 Sb., NOZ) — k platnosti právního jednání učiněného v písemné formě se vyžaduje podpis jednajícího; podpis může být nahrazen mechanickými prostředky tam, kde je to obvyklé. V návaznosti §562 NOZ stanoví, že písemná forma je zachována i při právním jednání učiněném elektronickými prostředky umožňujícími zachycení obsahu právního jednání a určení jednající osoby. Pro zaručený elektronický podpis (AES) tak tato ustanovení vytvářejí důkazně silnou pozici v civilním obratu.
  • §134 občanského soudního řádu (zákon č. 99/1963 Sb., OSŘ) — veřejné listiny zakládají presumpci pravdivosti svého obsahu; soukromé elektronické dokumenty s elektronickým podpisem se posuzují podle §125 a násl. OSŘ v rámci zásady volného hodnocení důkazů, přičemž čl. 25 odst. 1 eIDAS navíc zakazuje odepřít jim právní účinek pouze pro elektronickou formu.

Česká specifika — praktická poznámka. Některé oblasti českého práva vyžadují zvláštní pozornost. V pracovněprávních vztazích vyžaduje §34 zákoníku práce (zákon č. 262/2006 Sb., ZP) pro pracovní smlouvu písemnou formu a §310 ZP stanoví, že konkurenční doložka po skončení pracovního poměru musí být sjednána písemně pod sankcí neplatnosti. V autorském právu vyžaduje §46 autorského zákona (zákon č. 121/2000 Sb., AutZ) písemnou formu pro výhradní licenční smlouvu. Notářské zápisy — zejména převody nemovitostí, darovací smlouvy s notářským zápisem, některé závěti a plné moci k úkonům vyžadujícím notářský zápis — jsou z rozsahu prostého i zaručeného elektronického podpisu zcela vyloučeny a spadají výhradně do působnosti notáře. U smluv vysoké hodnoty nebo netypických konstrukcí se poraďte s advokátem nebo notářem.

Úkony vůči orgánům veřejné moci — uznávaný elektronický podpis. Při právním jednání vůči orgánu veřejné moci (úřadům, soudům, katastru nemovitostí, obchodnímu a dalším veřejným rejstříkům, jakož i u úkonů činěných prostřednictvím datové schránky, které vyžadují podpis) stanoví §6 zákona č. 297/2016 Sb. zvláštní pravidlo: použít lze pouze uznávaný elektronický podpis — tedy buď kvalifikovaný elektronický podpis (QES), nebo zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Prostý zaručený elektronický podpis (AES) v podání FreeSign zde tomuto požadavku nevyhovuje, protože nestojí na kvalifikovaném certifikátu. Pro podání úřadům, soudům, do katastru či veřejných rejstříků proto FreeSign není vhodným nástrojem.

Naproti tomu v soukromém právu — tj. ve vztazích mezi soukromými stranami — podle §7 zákona č. 297/2016 Sb. nahrazuje podpis vlastnoruční i prostý elektronický podpis; zaručený elektronický podpis (AES) je zde tedy více než dostatečný. Pro běžnou většinu soukromoprávních smluv proto platí: AES (zaručený elektronický podpis ve smyslu čl. 26 eIDAS) má v ČR stejnou důkazní hodnotu jako vlastnoruční podpis pro převážnou většinu soukromoprávních smluv; uznávaný podpis (QES nebo AES na kvalifikovaném certifikátu) je nutný pro úkony vůči orgánům veřejné moci a QES navíc pro výše uvedené notářské a rejstříkové výjimky.

FreeSign není kvalifikovaným elektronickým podpisem (QES) a provozovatel služby není kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Katalog dokumentů vyžadujících QES se liší v každém členském státě EU — co je přípustné pod AES v ČR, může vyžadovat QES v Německu, Francii nebo Španělsku (a opačně). Požadavek QES platí výhradně v Evropské unii; v USA a mnoha dalších jurisdikcích toto rozlišení neexistuje. V praxi převážná většina běžných obchodních a soukromých smluv — NDA, smlouvy s dodavateli, souhlasy, prohlášení — nevyžaduje QES v žádném členském státě EU. Pokud ovšem činíte úkon vůči orgánu veřejné moci (úřadu, soudu, katastru nemovitostí, obchodnímu či jinému veřejnému rejstříku, anebo úkon prostřednictvím datové schránky vyžadující podpis), vyžaduje §6 zákona č. 297/2016 Sb. uznávaný elektronický podpis — QES nebo AES založený na kvalifikovaném certifikátu — a prostý AES v podání FreeSign zde nepostačuje. FreeSign zde proto není vhodným nástrojem.

Tento text není právní rada. V pochybnostech ověřte požadovanou formu s advokátem nebo podle vašich interních předpisů.

Právní postavení v USA (pro přeshraniční smlouvy)

Federální Electronic Signatures in Global and National Commerce Act (ESIGN, 15 U.S.C. §7001) a Uniform Electronic Transactions Act (UETA, přijatý 49 státy plus DC) stanoví, že „podpisu, smlouvě ani jinému záznamu nelze upírat právní účinek, platnost ani vymahatelnost pouze proto, že má elektronickou podobu“. USA mají model jediné kategorie — nerozlišují AES od QES. Každý elektronický podpis splňující kritéria ESIGN/UETA je elektronickým podpisem.

K čemu lze elektronický podpis zdarma použít?

Ke všemu, co povinně nevyžaduje kvalifikovaný elektronický podpis (QES) ani notářský zápis. V praxi se FreeSign skvěle hodí pro:

  • NDA a dohody o mlčenlivosti — klasický dokument „nikam mě nenahrávej“. Viz návod na podpis NDA bez nahrávání.
  • Pracovní smlouvy, dohody o provedení práce a dohody o pracovní činnosti — nabídky zaměstnání, převody autorských práv (s ohledem na §46 AutZ pro výhradní licence), náhrady. U konkurenční doložky po skončení pracovního poměru (§310 ZP) doporučujeme konzultaci s advokátem ohledně volby AES vs. QES.
  • Smlouvy s dodavateli — rámcové (MSA), objednávky výkonu (SOW), zakázky, dodatky, obchodní podmínky.
  • Usnesení statutárního orgánu a zápisy — písemné souhlasy, usnesení, aktualizace seznamu společníků (s výjimkou těch, které vyžadují notářský zápis).
  • Term sheety a investiční dokumentace — vše kromě závěrečných dokumentů vyžadujících notářský zápis.
  • Souhlasy podle GDPR, lékařské souhlasy, souhlasy rodičů, majetková prohlášení.
  • Nájemní smlouvy (s výjimkami vyžadujícími zvláštní formu).
  • Interní směrnice, řády, akceptace — dokument nemusí nikdy opustit firemní síť.

Kdy FreeSign NENÍ vhodný nástroj

  • Úkony vůči orgánům veřejné moci — podání úřadům, soudům, do katastru nemovitostí, obchodního a dalších veřejných rejstříků, jakož i úkony prostřednictvím datové schránky vyžadující podpis. Podle §6 zákona č. 297/2016 Sb. zde lze použít pouze uznávaný elektronický podpis (QES nebo zaručený podpis založený na kvalifikovaném certifikátu); prostý AES v podání FreeSign nepostačuje.
  • Úkony, pro které zákon vyžaduje kvalifikovaný elektronický podpis (QES) — např. některé zápisy do veřejných rejstříků, u nichž zvláštní předpis QES výslovně vyžaduje.
  • Úkony vyžadující notářský zápis — převody vlastnictví nemovitostí, zřízení zástavních práv k nemovitostem, darovací smlouvy s notářským zápisem, některé závěti a plné moci k úkonům, pro které je notářský zápis povinný.
  • Úkony, u nichž zákon výslovně vyžaduje písemnou formu pod sankcí neplatnosti — například konkurenční doložka po skončení pracovního poměru (§310 ZP) nebo výhradní licenční smlouva podle §46 AutZ: posuďte s právníkem, zda zaručený elektronický podpis k naplnění formálního požadavku postačí, nebo zda je vhodnější kvalifikovaný podpis.

V pochybnostech ověřte požadovanou formu s advokátem. Tento text není právní rada.

FreeSign vs DocuSign vs Adobe Sign — porovnání e-podpisů

DocuSign a Adobe Acrobat Sign jsou nejznámější značky v kategorii elektronického podpisu (e-podpisu). Pokud hledáte nejlepší bezplatnou alternativu k DocuSign pro soukromí — tedy podpis bez nahrávání PDF do cloudu — je FreeSign navržen přesně pro tento případ. Vytvářejí stejný standardní podpis PDF jako FreeSign — ale po cestě nahrávají váš dokument na své servery, ukládají ho a účtují si za to. FreeSign poskytuje stejný konečný výsledek, aniž by kdy viděl obsah dokumentu, a bez placeného tarifu.

  • Soukromí: DocuSign a Adobe přijímají a ukládají váš PDF do svého cloudu. FreeSign obdrží pouze krátký jednosměrný otisk souboru — samotný PDF váš prohlížeč nikdy neopustí.
  • Co nakonec získáte: všechny tři služby vytvoří stejný standardní podepsaný PDF, ve stejném formátu (PAdES) a s důvěryhodným časovým razítkem. FreeSign navíc přidá nezávislý časový důkaz zakotvený v blockchainu Bitcoinu — ověřitelný, i kdyby FreeSign přestal existovat.
  • Důvěra v Adobe Reader: DocuSign a Adobe Sign jsou na komerčním seznamu důvěryhodných poskytovatelů Adobe (Adobe Reader pak žluté varování nezobrazuje). FreeSign na tomto seznamu není — protože členství stojí šesticiferné částky ročně. Samotný podpis je stejně platný a stejně ověřitelný — varování se týká výhradně seznamu důvěry, nikoli integrity dokumentu (níže vysvětlujeme, jak to vyřešit).
  • Cena: DocuSign začíná zhruba na 15 USD za uživatele měsíčně, s měsíčním limitem dokumentů. Adobe Acrobat Sign je součástí placených tarifů Acrobat. FreeSign je zdarma bez limitů.

Úplná porovnání: FreeSign vs DocuSign · FreeSign vs Adobe Acrobat Sign · všechna porovnání.

Jak druhá strana ověří podpis?

Bez nutnosti důvěřovat FreeSignu. PDF podepsaný FreeSignem je plně soběstačný — vše potřebné k ověření je v samotném souboru:

  • Adobe Reader. Otevře soubor a zobrazí podpisový panel se jménem podepisující osoby, časem podpisu a informací, že dokument nebyl změněn. Žluté varování se týká výhradně seznamu důvěry — nikoli integrity podpisu.
  • Běžné open source nástroje (např. openssl, pyHanko) parsují soubor, ověří podpis a řetězec certifikátů — bez kontaktu s FreeSignem. Krok za krokem: návod na ověření.
  • Nezávislý časový důkaz (OpenTimestamps) zakotvený v blockchainu Bitcoinu — ukazuje, že váš dokument existoval v daném okamžiku. Ověřitelný, i kdyby FreeSign zmizel.
  • Ověřovač FreeSign v prohlížeči: /verify — stejné kontroly lokálně, pokud raději přetáhnete soubor do prohlížeče než používat příkazovou řádku. Zdrojový kód tohoto ověřovače je open source (licence MIT) a zveřejněný na GitHubu: github.com/free-sign/verifier — můžete si přesně přečíst, co dělá, samostatně ho spustit a dokonce ho nasadit na vlastní server, pokud nechcete důvěřovat naší kopii.

Co znamená žluté varování v Adobe Reader?

Adobe Reader barví stav podpisu podle vlastního komerčního seznamu důvěryhodných poskytovatelů (Adobe Approved Trust List, AATL). FreeSign provozuje vlastní certifikační autoritu — ale na tomto seznamu není (členství stojí šesticiferné částky ročně). Proto Adobe ve výchozím nastavení zobrazuje žluté hlášení „At least one signature has problems“.

Toto hlášení se týká seznamu důvěry, nikoli integrity podpisu. Otevřete podpisový panel v Adobe — tentýž panel nadále potvrzuje, že dokument nebyl změněn, zobrazuje jméno a příjmení podepisující osoby a čas podpisu.

Můžete to ručně opravit několika kliknutími. Stačí jednorázově přidat certifikační autoritu FreeSign do lokálního seznamu důvěryhodných poskytovatelů v Adobe Reader/Acrobat — od té chvíle Adobe zobrazuje u každého podpisu FreeSign zelenou ikonu místo žlutého varování. Nastavení trvá méně než minutu a platí pro všechny další podpisy na daném zařízení. Krok za krokem: návod na konfiguraci důvěry v Adobe a odpověď v FAQ.

E-podpis bez účtu a bez měsíčních limitů

Většina „bezplatných“ podpisových služeb na trhu má ve skutečnosti omezení — 3 až 5 dokumentů měsíčně, povinnost založit účet, možnost podepsat jen ty dokumenty, které vám oni poslali. FreeSign je opravdu zdarma:

  • Bez registrace. Žádný účet ani heslo.
  • Bez měsíčního limitu. Nepočítáme podpisy.
  • Bez poplatku za dokument. Neexistuje „premium“ ani „pro“ tarif — placená varianta neexistuje.
  • Bez instalace. Vše funguje ve vašem prohlížeči.

To je možné, protože PDF soubory nikdy neukládáme (nemáme náklady na úložiště) a běžíme na infrastruktuře Cloudflare, kde je cena jednoho podpisu mikroskopická.

AI shrnutí dokumentu ve vašem jazyce — také v prohlížeči

Než podepíšete dlouhý dokument, můžete si jedním kliknutím vygenerovat shrnutí ve vašem jazyce — v češtině, bez ohledu na jazyk samotného dokumentu. Stejně jako u podpisu probíhá celá analýza ve vašem prohlížeči: model umělé inteligence se jednorázově stáhne a běží lokálně na vašem počítači. Obsah vašeho dokumentu se nedostane ani k nám, ani k žádné externí AI službě — ne k OpenAI, ne ke Googlu, ne k Anthropic. Funkce je v současnosti dostupná pouze na stolních počítačích a noteboocích, nikoli na telefonech, s moderním prohlížečem; na telefonech nefunguje, protože model je pro běžné mobilní zařízení příliš velký.

Podpisová ceremonie je dostupná v češtině

Samotná podpisová ceremonie — celé rozhraní, ve kterém nahrajete soubor, zadáte údaje, potvrdíte jednorázový kód a stáhnete podepsaný PDF — je dostupná v 29 jazycích: ve všech 24 oficiálních jazycích EU (bulharština, chorvatština, čeština, dánština, nizozemština, angličtina, estonština, finština, francouzština, němčina, řečtina, maďarština, irština, italština, lotyština, litevština, maltština, polština, portugalština, rumunština, slovenština, slovinština, španělština, švédština) a navíc v ukrajinštině, japonštině, korejštině, norštině a islandštině. Jazyk se rozpozná automaticky podle nastavení vašeho prohlížeče; můžete ho také ručně přepnout v podpisovém panelu.

Samotný podepsaný PDF je nezávislý na jazyce — ověřuje se stejně bez ohledu na to, ve kterém jazyce ceremonie proběhla.

Pro produktové týmy: integrace na vašich stránkách

Pokud stavíte portál nebo aplikaci, ve které vaši uživatelé podepisují dokumenty — můžete ceremonii FreeSign vložit jako rámec do své stránky. PDF stále neopouští prohlížeč uživatele (ani váš, ani náš): soubor putuje pouze mezi vaší stránkou a rámcem, podepsaný dokument se vrací stejnou cestou. Bez API klíčů, bez konfigurace webhooků, bez svěřování dat.

Úplný návod: návod na integraci. Interaktivní demo: /demo/embed-signing.

Podepsat PDF teď

Podepište první PDF, aniž byste ho kamkoli nahrávali

Nic se neinstaluje. Nahrajete PDF, podepíšete, stáhnete — celá ceremonie trvá méně než minutu.

Podepsat PDF teď →
Technické podrobnosti pro pokročilé uživatele

Kryptografie

Your browser computes SHA-256 of the file locally (via WebCrypto) and sends FreeSign only the 32-byte hash — PDF bytes do not leave your device. The end product is a standard signed PDF in PAdES-B-T format: a CMS PKCS#7 signature (RFC 5652) under a single-use X.509 leaf certificate issued under the FreeSign CA, with an RFC 3161 timestamp embedded inside that same CMS. Every signature also carries an independent OpenTimestamps proof which — once the public OpenTimestamps calendar server confirms our submission — is upgraded with an attestation in a Bitcoin block header.

The signing-ceremony evidence (signer identity, OTP or passkey assertion, consent, signed payload) is embedded inside the same CMS as an unsignedAttribute under the FreeSign IANA Enterprise Number — so a multi-signer file carries every signer's evidence inside their own revision. Evidence schema: evidence JSON schema (v1 for OTP signers, v2 for passkey). On free-sign.com we also append a PAdES-B-LT revision with long-term validation material: the FreeSign CA certificate and a published CRL (/.well-known/free-sign-signing-ca.crl) are inserted into the PDF's /DSS — so openssl, pyHanko and Adobe can validate the chain years later, even after the single-use leaf certificate has expired.

Ověřování — bez účtu a bez API klíče

Adobe Reader, openssl cms -verify and pyHanko sign validate parse and verify the file without a single round-trip to free-sign.com. The OpenTimestamps proof is verified by the official ots CLI against public Bitcoin block headers — with no FreeSign-side trust anchor. Step by step: Verify a signed PDF with openssl.

The /verify page runs the same checks — CMS signature, certificate chain, RFC 3161 timestamp, OpenTimestamps anchor and embedded evidence record — entirely client-side, with no upload. FreeSign runs the same verifier on every freshly sealed PDF before showing you the receipt, so every file you download has already been verified once on your own device.

Zaručený elektronický podpis (AES) — mapování na čl. 26 eIDAS

FreeSign is designed against the eIDAS Art. 26 (Regulation (EU) No 910/2014) evidence model for an advanced electronic signature (AES): signer attribution (single-use X.509 certificate with CN = full legal name and SAN rfc822Name = verified email), signing intent (typed consent + signed canonical consent payload), sole control (non-extractable ECDSA P-256 session key in the browser, stored in IndexedDB), and tamper detection (CMS message-digest binding + independent OpenTimestamps). FreeSign is not a qualified electronic signature (QES); QES/QTSP support is a separate roadmap item.

HSM — kryptografie certifikační autority

The FreeSign CA private key lives in Google Cloud KMS HSM (FIPS 140-2 Level 3). The CA uses RSA-2048; the single-use leaf certificates and browser session keys — ECDSA P-256. The HSM signs only the TBSCertificate hash of each leaf certificate — it never sees PDF bytes, the signature, or any signer personal data. Every ceremony generates a fresh leaf cert under this CA; the ephemeral signing key is destroyed at the end of the ceremony.

Co ukládáme na straně serveru

The SHA-256 of the document, an envelope-scoped HMAC of the email, the consent payload, the signed canonical payload, the public JWK, the RFC 3161 + OpenTimestamps tokens, and a hash-chained audit log. Never the PDF bytes — the seal is built from a 32-byte ByteRange digest your browser computes locally.

Rozhraní pro AI agenty (MCP) a automatizaci

A full REST + MCP server for AI agents. The MCP contract publicly declares documentUpload: false, and an automated public-contract test forbids adding an endpoint that accepts PDF content. Headless automation: headless guide. Full public API map: openapi.json · llms.txt.

The full legal mapping — how FreeSign answers ESIGN, UETA and every eIDAS tier (SES / AES / QES) — is in the FAQ.