Lista definitiva de verificación de seguridad de la firma electrónica

Jeannine Mulliner, 20 de Febrero de 2020
The Ultimate E-Signature Security Checklist

Ninguna organización quiere cicatrices de seguridad. Es por eso que los departamentos de TI y seguridad de la información generalmente llevan a cabo una diligencia debida exhaustiva en sus proveedores de software y alojamiento en la nube para protegerse contra las violaciones de datos, pérdida de datos , malware , virus , suplantación de identidad , y otras amenazas de seguridad. Para ayudar a defender su organización, hemos compilado un firma electrónica lista de verificación de seguridad específicamente para evaluar servicios de firma electrónica . Esta lista de verificación adopta un enfoque holístico de la seguridad. Recomendamos no solo observar la seguridad del servicio, sino también cómo se autentican los firmantes, el enfoque del proveedor para la seguridad de los documentos y firmas, y la pista de auditoría asociada con la transacción digital.

Autenticación de usuarios

Las leyes de firma electrónica no dicen mucho cuando se trata de técnicas y tecnología de seguridad, pero la definición legal de una firma electrónica siempre incluye lenguaje sobre la identidad del firmante. Esto significa que necesita:

  • Autenticar usuarios antes de la firma electrónica
  • Ate esa autenticación a la firma electrónica y al registro firmado electrónicamente
     

Qué buscar:

1) Una solución que soporta múltiples métodos de autenticación , como:

  • Autenticación de usuario remota a través de ID de usuario / contraseña
  • Verificación de dirección de correo electrónico mediante invitación de sesión de firma electrónica
  • Autenticación remota de usuarios a través de preguntas y respuestas secretas (también conocido como desafío-respuesta)
  • Capacidad para aprovechar las credenciales existentes
  • KBA dinámico a través de bases de datos de terceros (p. Ej. Equifax )
  • Soporte para certificados digitales.
  • Capacidad para cargar imágenes como parte de una transacción de firma electrónica, por ejemplo, foto de una licencia de conducir 

2) La capacidad de configurar diferentes métodos de autenticación dentro de la misma transacción;

3) Flexibilidad para adaptar los métodos de autenticación al perfil de riesgo de su organización y para automatizar cada proceso (por ejemplo, personalizar las preguntas de respuesta al desafío y la cantidad de preguntas según sus requisitos);

4) Opciones flexibles para la atribución de firma en persona, incluidas las declaraciones juradas de transferencia y la contraseña de SMS (PIN) enviada a un dispositivo móvil personal (verifique si la autenticación del usuario a través de SMS se incluye de forma gratuita).

Después de evaluar las capacidades de autenticación del usuario, el siguiente paso será verificar que el servicio de firma electrónica capture la autenticación como parte del seguimiento de auditoría del documento e inserte el seguimiento de auditoría en el documento firmado electrónicamente.

 

Seguridad y confianza

Firma Electrónica Seguridad y Confianza

Cree confianza digital a través de la seguridad, autenticación, verificación y confiabilidad

Descargar ahora

Pista de auditoría integrada

Los documentos firmados electrónicamente que pueden verificarse y archivarse independientemente del proveedor de firma electrónica proporcionan una capa adicional de seguridad. Independientemente de si mantiene una cuenta con el servicio de firma electrónica en el futuro, sus documentos no se verán afectados, ya que usted, sus clientes y otras partes interesadas no tienen que conectarse a Internet para acceder o verificar el documento firmado electrónicamente.

La única forma de lograr la independencia del proveedor es tener una solución que incorpore firmas electrónicas , sellado de tiempo y seguimiento de auditoría directamente en el documento. Esto crea un registro autónomo y portátil.

Qué buscar:

  • Posibilidad de verificar la autenticidad del documento independientemente del servicio de firma electrónica. Es decir, no debe preocuparse si un enlace de verificación de regreso a un servidor será válido dentro de varios años o si le dará un mensaje de error 404 "página no encontrada".
  • Capacidad para indexar, almacenar y recuperar el documento firmado electrónicamente en el sistema de registro de su elección, no en el almacenamiento en la nube del proveedor de servicios. Esto le ayuda a cumplir con los requisitos de retención a largo plazo de su organización.

Seguridad de documentos y firmas

Busque una solución de firma electrónica que empaquete y asegure el documento final firmado con un firma digital . La solución de firma electrónica debe aplicar la firma digital en dos niveles:

  1. En el nivel de firma para evitar la manipulación de la firma en sí.
     
  2. En el nivel de documento para evitar la manipulación del contenido del documento.

Firma digital la seguridad une la intención de firma con la información acordada al momento de la firma. También bloquea y prueba el documento firmado electrónicamente, por lo que los cambios no autorizados no pueden pasar desapercibidos.

Si bien los proveedores como DocuSign aplican una firma digital como un sobre a un documento (una vez que se han capturado todas las firmas), esta no es una práctica recomendada. Este enfoque deja el documento y las firmas desprotegidos mientras se completa el proceso y da como resultado una marca de fecha y hora incorrecta en firmas individuales. Si un firmante y un codeudor firman electrónicamente un registro en dos días separados, desea que ese historial se refleje en la pista de auditoría. La mejor práctica es aplicar el cifrado de firma digital ya que cada firma electrónica se agrega al documento . Esto crea una pista de auditoría integral con la fecha y hora en que se aplicó cada firma.

Qué buscar:

  • El documento debe estar protegido con una firma digital.
  • Cada firma debe estar asegurada con una firma digital
  • Una pista de auditoría integral debe incluir la fecha y hora de cada firma
  • La pista de auditoría debe estar incrustada de forma segura en el documento
  • La pista de auditoría debe estar vinculada a cada firma
  • Posibilidad de verificar la validez del registro firmado sin conexión, sin ir a un sitio web
  • Firma de un clic y verificación de documentos
  • Posibilidad de descargar una copia verificable del registro firmado con la pista de auditoría
  • El documento debe ser accesible para todas las partes.

Auditoría del proceso de firma

Cuando las empresas reguladas se someten a un auditoría de cumplimiento , a menudo se les pide que prueben el proceso comercial exacto que siguieron. Como parte de esto, los auditores también buscan un registro de cada vez que se tocan documentos clave, cuándo y por quién.

Recomendamos capturar una pista de auditoría integral del proceso de firma, ya que le permite demostrar exactamente cómo un cliente completó una transacción en la web o mediante un dispositivo móvil. Más soluciones de firma electrónica en el mercado se quedan cortos cuando se demuestra el cumplimiento, porque no tienen la capacidad de capturar un registro completo de las acciones del firmante.

Qué buscar:

Una solución que captura información sobre el proceso utilizado para capturar firmas, que incluye:

  • dirección IP
  • Marca de fecha y hora de todos los eventos.
  • Todas las páginas web, documentos, divulgaciones y otra información presentada
  • La cantidad de tiempo dedicado a revisar cada documento
  • Lo que cada parte reconoció, acordó y firmó
  • Todas las demás acciones tomadas durante la transacción.

Como parte de esto, verifique si tiene la capacidad de buscar, encontrar y reproducir el proceso de auditoría de proceso de una transacción específica para auditores u otras partes interesadas del negocio con solo unos pocos clics.

Seguridad en la nube

Además de los criterios enumerados anteriormente, observe los protocolos y proveedor de firma electrónica tiene en su lugar para identificar y prevenir violaciones de datos. Es importante comprender las prácticas de seguridad del proveedor, las certificaciones, el historial y la frecuencia de sus auditorías de seguridad. Realizar la debida diligencia en torno a las prácticas y la infraestructura de seguridad de un proveedor podría exponer brechas de privacidad pasadas, incidentes de pérdida / fuga de datos u otros riesgos, como la insuficiente experiencia en seguridad en la nube.  

Qué buscar:

  • Verifique que la plataforma de firma electrónica utilice un cifrado de datos sólido en tránsito y en reposo, y almacene datos dentro de un volumen de base de datos cifrado para garantizar un canal cifrado para todas las comunicaciones.
  • Un proveedor que se asocia con proveedores de servicios de infraestructura en la nube de clase mundial como Servicios web de Amazon , IBM SoftLayer o Microsoft Azure . Estos proveedores están diseñados y administrados de acuerdo con las mejores prácticas de seguridad y cumplen con una variedad de estándares regulatorios, industriales y de TI para seguridad y protección de datos, que incluyen: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA , y mucho más.
  • Además de aprovechar los proveedores de servicios en la nube que siguen programas y marcos de cumplimiento para la seguridad y la protección de datos a nivel del centro de datos, asóciese con un proveedor que cumpla con los requisitos adicionales de control de seguridad y cumplimiento en la capa de aplicación. Esto garantiza que la solución de firma electrónica sea segura y que los datos del cliente estén protegidos.
  • Centros de datos globales para satisfacer los requisitos de residencia de datos en el país 

Para obtener más información sobre nuestras certificaciones y garantías, visite nuestro Centro de confianza o descargue nuestro documento técnico que lo ayudará a identificar requerimientos de seguridad al evaluar soluciones de firma electrónica.
 

¿Cuál es la lista de verificación de seguridad de firma electrónica definitiva?
  1. Autenticación de usuarios
  2. Pista de auditoría integrada
  3. Seguridad de documentos y firmas
  4. Auditoría del proceso de firma
  5. Seguridad en la nube

[1] Gartner, Inc., la certificación SOC podría ser garantía de seguridad ... o podría no serlo

Durante 20 años, Jeannine ha estado escribiendo sobre tecnología y cómo aplicarla para resolver los desafíos cotidianos. En su papel de Directora de Contenido en OneSpan, Jeannine lidera un equipo de escritores y desarrolladores de contenido enfocados en ayudar a las instituciones financieras y