A lista de verificação definitiva sobre a segurança das assinaturas electrónicas

Autenticação do utilizador

As leis sobre assinaturas electrónicas não dizem muito no que diz respeito a técnicas e tecnologias de segurança, mas a definição legal de uma assinatura eletrónica inclui sempre linguagem sobre a identidade do signatário. Isto significa que é necessário:

• Autenticar os utilizadores antes de assinar eletronicamente.
• Associar esta autenticação à assinatura eletrónica e ao registo assinado eletronicamente.

O que procurar:

1. Uma solução que suporta
   
   múltiplos métodos de autenticação
   
   tais como:

• Autenticação remota do utilizador através de ID de utilizador / palavra-passe.
• Verificação do endereço eletrónico através de convite para a sessão de assinatura eletrónica.
• Autenticação de utilizadores remotos através de perguntas e respostas secretas (também conhecida como desafio-resposta).
• Capacidade de aproveitar as credenciais existentes.
• KBA (autenticação baseada no conhecimento) dinâmica através de bases de dados de terceiros (por exemplo, Equifax).
• Suporte para certificados digitais.
• Possibilidade de carregar imagens como parte de uma transação de assinatura eletrónica, por exemplo, fotografia de uma carta de condução.

2. A capacidade de configurar diferentes métodos de autenticação na mesma transação.
3. Flexibilidade para adaptar os métodos de autenticação ao perfil de risco da sua organização e para automatizar cada processo (por exemplo, personalizar as perguntas de desafio-resposta e o número de perguntas de acordo com os seus requisitos).
4. Opções flexíveis para a atribuição de assinaturas presenciais, incluindo declarações juramentadas e palavra-passe num SMS (PIN) enviado para um dispositivo móvel pessoal (verifique se a autenticação do utilizador via SMS está incluída gratuitamente).

Depois de avaliar as capacidades de autenticação do utilizador, o passo seguinte é verificar se o serviço de assinatura eletrónica capta a autenticação como parte da pista de auditoria do documento e integra a pista de auditoria no documento assinado eletronicamente.

Pista de auditoria integrada

Os documentos assinados eletronicamente que podem ser verificados e arquivados independentemente do fornecedor da assinatura eletrónica proporcionam uma camada adicional de segurança. Quer mantenha ou não uma conta no serviço de assinatura eletrónica no futuro, os seus documentos não serão afectados, uma vez que você, os seus clientes e outras partes interessadas não têm de se ligar à Internet para aceder ou verificar o documento assinado eletronicamente.

A única forma de conseguir a independência do fornecedor é ter uma solução que incorpore assinaturas electrónicas e

assinaturas electrónicas

a marcação da hora e a pista de auditoria diretamente no documento. Cria-se assim um registo autónomo e transferível.

O que procurar:

• Capacidade de verificar a autenticidade do documento independentemente do serviço de assinatura eletrónica. Isto significa que não precisa de se preocupar se uma ligação de verificação ainda será válida daqui a alguns anos ou se dará uma mensagem de erro 404 “página não encontrada”.
• Capacidade de indexar, armazenar e recuperar o documento assinado eletronicamente no sistema de registo da sua escolha e não no serviço de armazenamento em nuvem do fornecedor. Isto ajuda-o a cumprir os requisitos de retenção a longo prazo da sua organização.

Segurança de documentos e assinaturas

Está à procura de uma solução de assinatura eletrónica que empacote e proteja o documento final assinado através de uma

assinatura digital

. A solução de assinatura eletrónica deve implementar a assinatura digital em dois níveis:

1. Ao nível da assinatura , para evitar a manipulação da própria assinatura.
2. Ao nível do documento para impedir a manipulação do seu conteúdo.

A segurança da

assinatura digital

associa a intenção de assinar às informações acordadas no momento da assinatura. Também bloqueia e torna inviolável o documento assinado eletronicamente, para que as alterações não autorizadas não passem despercebidas.

Embora fornecedores como a DocuSign apliquem uma assinatura digital que funciona como o envelope de um documento (depois de todas as assinaturas terem sido capturadas), esta não é uma prática recomendada. Esta abordagem deixa o documento e as assinaturas desprotegidos enquanto o processo é concluído e resulta em carimbos de data e hora incorrectos em assinaturas individuais. Se um signatário e um cossignatário assinarem eletronicamente um registo em dois dias diferentes, é necessário que esse facto seja refletido na pista de auditoria. A melhor prática é aplicar a encriptação de assinaturas digitais à medida que cada assinatura eletrónica é adicionada ao documento. Isto cria uma pista de auditoria abrangente com a data e a hora em que cada assinatura foi efectuada.

O que procurar:

• O documento deve ser protegido com uma assinatura digital.
• Cada assinatura deve ser protegida por uma assinatura digital.
• Uma pista de auditoria completa deve incluir a data e a hora de cada assinatura.
• A pista de auditoria deve ser integrada de forma segura no documento.
• A pista de auditoria deve estar ligada a cada empresa.
• Possibilidade de verificar a validade do registo assinado offline, sem aceder a um sítio Web.
• Assinatura e verificação de documentos com um clique.
• Possibilidade de descarregar uma cópia verificável do registo assinado com a pista de auditoria.
• O documento deve ser acessível a todas as partes.

Pista de auditoria do processo de assinatura

Quando as empresas regulamentadas são submetidas a uma auditoria de conformidade, elas são

auditoria de conformidade

são frequentemente solicitadas a provar o processo comercial exato que seguiram. Neste contexto, os auditores procuram igualmente obter um registo de quando os documentos essenciais são tocados, quando e por quem.

Recomendamos a captura de uma pista de auditoria abrangente do processo de assinatura, uma vez que lhe permite demonstrar exatamente como um cliente concluiu uma transação na Web ou através de um dispositivo móvel. A maioria das soluções de assinatura eletrónica soluções de assinatura eletrónica As soluções existentes no mercado não são suficientes para demonstrar a conformidade porque não têm a capacidade de captar um registo completo das acções do signatário.

O que procurar:

Uma solução que recolhe informações sobre o processo utilizado para recolher assinaturas inclui:

• Endereço IP.
• Registo de data e hora de todos os eventos.
• Todas as páginas Web, documentos, divulgações e outras informações apresentadas.
• O tempo gasto na análise de cada documento.
• O que cada uma das partes reconheceu, acordou e assinou.
• Todas as outras acções realizadas durante a transação.

Neste contexto, verifique se tem a capacidade de pesquisar, encontrar e reproduzir o processo da pista de auditoria de uma transação específica para auditores ou outras partes interessadas da empresa com apenas alguns cliques.

Segurança na nuvem

Para além dos critérios acima enumerados, analisa os protocolos que um fornecedor de assinaturas electrónicas fornecedor de assinaturas electrónicas tem para identificar e evitar violações de dados. É importante conhecer as práticas de segurança do fornecedor, as certificações, a manutenção de registos e a frequência das auditorias de segurança. A falta de atenção à infraestrutura e às práticas de segurança de um fornecedor pode expor-nos a violações de segurança, incidentes de perda/fuga de dados ou outros riscos, tais como conhecimentos insuficientes de segurança na nuvem.

O que procurar:

• Verifica que a plataforma de assinatura eletrónica utiliza uma encriptação forte dos dados em trânsito e no destino e armazena os dados num volume de base de dados encriptado para garantir um canal encriptado para todas as comunicações.
• Um fornecedor que tem parcerias com fornecedores de serviços de infra-estruturas de nuvem presentes a nível mundial, tais como
  
  Amazon Web Services
  
  ,
  
  IBM SoftLayer
  
  o
  
  Microsoft Azure
  
  . Estes fornecedores de serviços em nuvem são concebidos e geridos de acordo com as melhores práticas de segurança e cumprem uma variedade de normas regulamentares, industriais e de TI para a segurança e proteção de dados, incluindo: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA e muitos outros.
• Para além de tirar partido dos fornecedores de serviços de computação em nuvem que seguem programas e quadros de conformidade para a segurança e a proteção de dados a nível de centro de dadosSe tiver um parceiro que cumpra os requisitos adicionais de controlo de segurança e conformidade na camada de aplicação, faça uma parceria com um fornecedor que cumpra os requisitos adicionais de controlo de segurança e conformidade na camada de aplicação. Isto garante que a solução de assinatura eletrónica é segura e que os dados dos clientes estão protegidos.
• Centros de dados globais para cumprir os requisitos de residência de dados no país.

Para mais informações sobre as nossas certificações e garantias, visite o

Centro de confiança

da OneSpan, o fornecedor de assinaturas electrónicas com o qual a MailTecK & Customer Comms trabalha, ou descarregue o documento técnico que o ajudará a identificar os

requisitos de segurança

para a avaliação das soluções de assinatura eletrónica.