Die ultimative E-Signatur-Sicherheitscheckliste

Jeannine Mulliner, 20. Februar 2020
The Ultimate E-Signature Security Checklist

Keine Organisation möchte Sicherheitsnarben. Aus diesem Grund führen IT- und Informationssicherheitsabteilungen im Allgemeinen eine umfassende Due Diligence für ihre Cloud-Hosting- und Softwareanbieter durch, um sich vor Datenverletzungen zu schützen. Datenverlust , Malware , Viren , Phishing , und andere Sicherheitsbedrohungen. Um Ihre Organisation zu verteidigen, haben wir eine zusammengestellt elektronische Signatur Sicherheitscheckliste speziell zur Bewertung E-Signatur-Dienste . Diese Checkliste verfolgt einen ganzheitlichen Sicherheitsansatz. Wir empfehlen, nicht nur die Sicherheit des Dienstes zu untersuchen, sondern auch die Authentifizierung der Unterzeichner, den Ansatz des Anbieters zur Sicherheit von Dokumenten und Signaturen sowie den mit der digitalen Transaktion verbundenen Prüfpfad.

Benutzerauthentifzierung

E-Signatur-Gesetze sagen nicht viel über Sicherheitstechniken und -technologien aus, aber die rechtliche Definition einer elektronischen Signatur umfasst immer die Sprache rund um die Identität des Unterzeichners. Dies bedeutet, dass Sie:

  • Authentifizieren Sie Benutzer vor dem elektronischen Signieren
  • Binden Sie diese Authentifizierung an die elektronische Signatur und den elektronisch signierten Datensatz
     

Wonach schauen:

1. Eine Lösung, die unterstützt mehrere Authentifizierungsmethoden , sowie:

  • Remote-Benutzerauthentifizierung über Benutzer-ID / Kennwort
  • Überprüfung der E-Mail-Adresse durch Einladung zur E-Sign-Sitzung
  • Remote-Benutzerauthentifizierung durch geheime Fragen und Antworten (aka Herausforderung-Antwort)
  • Möglichkeit, vorhandene Anmeldeinformationen zu nutzen
  • Dynamische KBA über Datenbanken von Drittanbietern (z Equifax )
  • Unterstützung für digitale Zertifikate
  • Möglichkeit zum Hochladen von Bildern im Rahmen einer E-Sign-Transaktion, z. B. Foto eines Führerscheins 

2. Die Möglichkeit, verschiedene Authentifizierungsmethoden innerhalb derselben Transaktion zu konfigurieren.

3. Flexibilität bei der Anpassung der Authentifizierungsmethoden an das Risikoprofil Ihres Unternehmens und bei der Automatisierung jedes Prozesses (z. B. Anpassung der Challenge-Response-Fragen und der Anzahl der Fragen an Ihre Anforderungen);

4. Flexible Optionen für die persönliche Zuweisung von Signaturen, einschließlich eidesstattlicher Erklärungen und SMS-Passwort (PIN), die an ein persönliches Mobilgerät gesendet werden (überprüfen Sie, ob die Benutzerauthentifizierung per SMS kostenlos enthalten ist).

Nach der Bewertung der Benutzerauthentifizierungsfunktionen besteht der nächste Schritt darin, zu überprüfen, ob der elektronische Signaturdienst die Authentifizierung als Teil des Dokumentprüfpfads erfasst und den Prüfpfad in das elektronisch signierte Dokument einbettet.

 

Sicherheit und Vertrauen

Sicherheit und Vertrauen in elektronische Signaturen

Bauen Sie digitales Vertrauen durch Sicherheit, Authentifizierung, Verifizierung und Zuverlässigkeit auf

Jetzt herunterladen

Embedded Audit Trail

E-signierte Dokumente, die unabhängig vom Anbieter der E-Signatur überprüft und archiviert werden können, bieten eine zusätzliche Sicherheitsebene. Unabhängig davon, ob Sie in Zukunft ein Konto beim E-Signatur-Service führen oder nicht, sind Ihre Dokumente nicht betroffen, da Sie, Ihre Kunden und andere Interessengruppen nicht online gehen müssen, um auf das E-Signatur-Dokument zuzugreifen oder es zu überprüfen.

Die einzige Möglichkeit, Herstellerunabhängigkeit zu erreichen, besteht darin, eine Lösung zu haben, in die das System eingebettet ist elektronische Signaturen , Zeitstempel und Prüfpfad direkt im Dokument. Dadurch wird eine in sich geschlossene, tragbare Aufzeichnung erstellt.

Wonach schauen:

  • Möglichkeit zur Überprüfung der Dokumentauthentizität unabhängig vom E-Signaturdienst. Das heißt, Sie müssen sich keine Sorgen machen, ob ein Bestätigungslink zurück zu einem Server in Jahren gültig ist oder ob die Fehlermeldung "Seite nicht gefunden" 404 angezeigt wird.
  • Möglichkeit zum Indizieren, Speichern und Abrufen des elektronisch signierten Dokuments im Aufzeichnungssystem Ihrer Wahl, nicht im Cloud-Speicher des Dienstanbieters. Auf diese Weise können Sie die Anforderungen Ihres Unternehmens an die langfristige Aufbewahrung erfüllen.

Dokument- und Signatursicherheit

Suchen Sie nach einer E-Signatur-Lösung, die das endgültige E-Signatur-Dokument mithilfe von a verpackt und sichert Digitale Unterschrift . Die E-Signatur-Lösung sollte die digitale Signatur auf zwei Ebenen anwenden:

  1. Bei der Signaturstufe um Manipulationen an der Signatur selbst zu verhindern.
     
  2. Bei der Dokumentebene um Manipulationen am Inhalt des Dokuments zu verhindern.

Digitale Unterschrift Die Sicherheit verbindet die Absicht der Unterzeichnung mit den Informationen, die zum Zeitpunkt der Unterzeichnung vereinbart wurden. Außerdem wird das elektronisch signierte Dokument gesperrt und manipulationssicher, sodass nicht autorisierte Änderungen nicht unbemerkt bleiben können.

Anbieter wie DocuSign wenden zwar eine digitale Signatur als Umschlag auf ein Dokument an (sobald alle Signaturen erfasst wurden), dies wird jedoch nicht empfohlen. Dieser Ansatz lässt das Dokument und die Signaturen ungeschützt, während der Prozess abgeschlossen wird, und führt dazu, dass einzelne Signaturen mit einem falschen Datums- und Zeitstempel versehen werden. Wenn ein Unterzeichner und ein Mitunterzeichner an zwei verschiedenen Tagen einen Datensatz per E-Mail unterzeichnen, möchten Sie, dass dieser Verlauf im Prüfpfad angezeigt wird. Die beste Vorgehensweise besteht darin, die Verschlüsselung mit digitalen Signaturen anzuwenden da jede elektronische Signatur dem Dokument hinzugefügt wird . Dadurch wird ein umfassender Prüfpfad mit dem Datum und der Uhrzeit erstellt, zu der jede Signatur angewendet wurde.

Wonach schauen:

  • Das Dokument muss mit einer digitalen Signatur gesichert sein
  • Jede Signatur muss mit einer digitalen Signatur gesichert werden
  • Ein umfassender Prüfpfad sollte das Datum und die Uhrzeit jeder Unterschrift enthalten
  • Der Prüfpfad muss sicher in das Dokument eingebettet sein
  • Der Audit-Trail muss mit jeder Signatur verknüpft sein
  • Möglichkeit, die Gültigkeit des signierten Datensatzes offline zu überprüfen, ohne eine Website aufzurufen
  • Signatur mit einem Klick und Überprüfung des Dokuments
  • Möglichkeit, eine überprüfbare Kopie des signierten Datensatzes mit dem Audit-Trail herunterzuladen
  • Das Dokument muss für alle Parteien zugänglich sein

Audit Trail des Signierprozesses

Wenn regulierte Unternehmen eine Compliance-Audit Oft werden sie gebeten, den genauen Geschäftsprozess nachzuweisen, dem sie gefolgt sind. Im Rahmen dessen suchen die Prüfer auch nach Aufzeichnungen darüber, wann wichtige Dokumente wann und von wem berührt wurden.

Wir empfehlen, einen umfassenden Prüfpfad des Signaturprozesses zu erfassen, da Sie damit genau demonstrieren können Wie Ein Kunde hat eine Transaktion im Internet oder über ein mobiles Gerät abgeschlossen. Die meisten E-Signatur-Lösungen auf dem Markt bleiben beim Nachweis der Konformität zurück, da sie nicht in der Lage sind, eine vollständige Aufzeichnung der Handlungen des Unterzeichners zu erfassen.

Wonach schauen:

Eine Lösung, die Informationen über den Prozess zum Erfassen von Signaturen erfasst, einschließlich:

  • IP Adresse
  • Datums- und Zeitstempel aller Ereignisse
  • Alle präsentierten Webseiten, Dokumente, Offenlegungen und sonstigen Informationen
  • Die Zeitdauer für die Überprüfung der einzelnen Dokumente
  • Was jede Partei anerkannte, zustimmte und unterschrieb
  • Alle anderen während der Transaktion ergriffenen Maßnahmen

Überprüfen Sie dabei mit nur wenigen Klicks, ob Sie den Prozessprüfpfad einer bestimmten Transaktion für Prüfer oder andere Geschäftsinteressenten suchen, finden und wiedergeben können.

Cloud-Sicherheit

Schauen Sie sich zusätzlich zu den oben aufgeführten Kriterien die Protokolle an Anbieter von elektronischen Signaturen hat vorhanden, um Datenverletzungen zu identifizieren und zu verhindern. Es ist wichtig, die Sicherheitspraktiken, Zertifizierungen, die Erfolgsbilanz und die Häufigkeit der Sicherheitsüberprüfungen des Anbieters zu verstehen. Die Durchführung einer Due Diligence in Bezug auf die Sicherheitspraktiken und die Infrastruktur eines Anbieters kann frühere Datenschutzverletzungen, Vorfälle von Datenverlust / -verlust oder andere Risiken wie unzureichende Cloud-Sicherheitskompetenz aufdecken.  

Wonach schauen:

  • Stellen Sie sicher, dass die E-Signatur-Plattform während der Übertragung und im Ruhezustand eine starke Datenverschlüsselung verwendet und Daten in einem verschlüsselten Datenbankvolume speichert, um einen verschlüsselten Kanal für die gesamte Kommunikation sicherzustellen
  • Ein Anbieter, der mit erstklassigen Cloud-Infrastrukturdienstleistern wie z Amazon Web Services , IBM SoftLayer , oder Microsoft Azure . Diese Anbieter werden gemäß den Best Practices für Sicherheit entwickelt und verwaltet und erfüllen eine Vielzahl von behördlichen, branchenbezogenen und IT-Standards für Sicherheit und Datenschutz, darunter: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA , und vieles mehr.
  • Arbeiten Sie nicht nur mit Cloud-Dienstanbietern zusammen, die Compliance-Programme und Frameworks für Sicherheit und Datenschutz auf Rechenzentrumsebene befolgen, sondern arbeiten Sie auch mit einem Anbieter zusammen, der zusätzliche Sicherheitskontroll- und Compliance-Anforderungen auf Anwendungsebene erfüllt. Dies stellt sicher, dass die E-Signatur-Lösung sicher ist und Kundendaten geschützt sind.
  • Globale Rechenzentren, um die Anforderungen der Datenresidenz im Land zu erfüllen 

Um mehr über unsere Zertifizierungen und Schutzmaßnahmen zu erfahren, besuchen Sie unsere Trustcenter oder laden Sie unser Whitepaper herunter, das Ihnen bei der Identifizierung hilft Sicherheitsanforderungen bei der Bewertung von E-Signatur-Lösungen.
 

Was ist die ultimative E-Signatur-Sicherheitscheckliste?
  1. Benutzerauthentifzierung
  2. Embedded Audit Trail
  3. Dokument- und Signatursicherheit
  4. Audit Trail des Signierprozesses
  5. Cloud-Sicherheit

[1] Die SOC-Bescheinigung von Gartner, Inc., könnte eine Sicherheitsgarantie sein… oder auch nicht

Jeannine schreibt seit 20 Jahren über Technologie und wie man sie einsetzt, um alltägliche Herausforderungen zu lösen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Inhaltsentwicklern, das sich darauf konzentriert, Finanzinstituten und anderen