La liste de contrôle de sécurité E-Signature ultime

Jeannine Mulliner, février 20, 2020
The Ultimate E-Signature Security Checklist

Aucune organisation ne veut de cicatrices de sécurité. C’est pourquoi les services de sécurité informatique et information font généralement preuve d’une grande diligence raisonnable sur leurs fournisseurs d’hébergement et de logiciels en nuage pour se protéger contre les violations de données, la perte de données, les logiciels malveillants, les virus, l’hameçonnage et d’autres menaces à la sécurité. Pour aider à défendre votre organisation, nous avons compilé une liste de contrôle de sécurité de signature électronique spécifiquement pour évaluer les services de signature électronique. Cette liste de contrôle adopte une approche holistique de la sécurité. Nous recommandons non seulement d'examiner la sécurité du service, mais aussi la façon dont les signataires sont authentifiés, l'approche du fournisseur en matière de sécurité des documents et des signatures et la piste d'audit associée à la transaction numérique.

Authentification utilisateur

Les lois e-Signature ne disent pas grand-chose lorsqu'il s'agit de techniques et de technologies de sécurité, mais la définition juridique d'une signature électronique inclut toujours un langage autour de l'identité des signataires. Cela signifie que vous devez :

  • Authentifier les utilisateurs avant la signature électronique
  • Attachez cette authentification à la signature électronique et à l’enregistrement signé électronique
     

Ce qu'il faut rechercher :

1. Une solution qui prend en charge plusieurs méthodes d'authentification,telles que :

  • Authentification de l'utilisateur à distance par l'iD/mot de passe utilisateur
  • Vérification de l'adresse e-mail par invitation à une session de signature électronique
  • Authentification à distance de l'utilisateur par le biais de questions-réponses secrètes (alias. réponse au défi)
  • Capacité d'exploiter les informations d'identification existantes
  • Dynamique KBA par le biais de bases de données tierces (p. ex. Equifax)
  • Soutien aux certificats numériques
  • Possibilité de télécharger des images dans le cadre d'une transaction de signe électronique, par exemple la photo d'un permis de conduire 

2. La possibilité de configurer différentes méthodes d'authentification au sein d'une même transaction ;

3. Flexibilité pour adapter les méthodes d’authentification au profil de risque de votre organisation et automatiser chaque processus (p. ex., personnaliser les questions de réponse et le nombre de questions en fonction de vos besoins);

4. Options flexibles pour l'attribution des signatures en personne, y compris les affidavits de transfert et le mot de passe SMS (NIP) envoyés à un appareil mobile personnel (vérifier si l'authentification de l'utilisateur par SMS est incluse gratuitement).

Après avoir évalué les capacités d'authentification des utilisateurs, la prochaine étape consistera à vérifier que le service de signature électronique capture l'authentification dans le cadre de la piste d'audit de documents et intègre la piste d'audit dans le document signé électroniquement.

 

Sécurité et confiance

Sécurité et confiance de signature électronique

Construire la confiance numérique grâce à la sécurité, l'authentification, la vérification et la fiabilité

Télécharger

Sentier d'audit intégré

Les documents signés électronique qui peuvent être vérifiés et archivés indépendamment du fournisseur de signature électronique fournissent une couche supplémentaire de sécurité. Que vous mainteniez ou non un compte avec le service de signature électronique à l’avenir, vos documents ne sont pas affectés puisque vous, vos clients et d’autres parties prenantes n’avez pas à aller en ligne pour accéder ou vérifier le document signé électroniquement.

La seule façon d’atteindre l’indépendance du fournisseur est d’avoir une solution qui intègre les signatures électroniques,l’horodatage et la piste d’audit directement dans le document. Cela crée un enregistrement portable et autonome.

Ce qu'il faut rechercher :

  • Capacité de vérifier l’authenticité du document indépendamment du service de signature électronique. Ce qui signifie que vous n’avez pas besoin de vous inquiéter si un lien de vérification vers un serveur sera valide dans des années ou s’il vous donnera un message d’erreur 404 " page introuvable.
  • Possibilité d’indexer, stocker et récupérer le document signé électronique dans le système d’enregistrement de votre choix, et non dans le stockage cloud du fournisseur de services. Cela vous aide à vous conformer aux exigences de rétention à long terme de votre organisation.

Sécurité des documents et des signatures

Recherchez une solution de signature électronique qui emballe et sécurise le document électronique final à l'aide d'une signature numérique. La solution e-signature doit appliquer la signature numérique à deux niveaux :

  1. Au niveau de la signature pour éviter de falsifier la signature elle-même.
     
  2. Au niveau du document pour éviter de falsifier le contenu du document.

La signature numérique lie les liens de signature avec l'intention de signature avec l'information qui a été convenue au moment de la signature. Il verrouille également et falsifier les preuves du document signé électronique, de sorte que les modifications non autorisées ne peuvent pas passer inaperçu.

Bien que des fournisseurs comme DocuSign appliquent une signature numérique comme enveloppe à un document (une fois que toutes les signatures ont été capturées), ce n'est pas une pratique recommandée. Cette approche laisse le document et les signatures sans protection pendant que le processus est terminé et se traduit par la mauvaise date et l’horodatage étant placé sur les signatures individuelles. Si un signataire et un cosignataire signent un enregistrement électronique sur deux jours distincts, vous voulez que l'historique soit reflété dans la piste de vérification. La meilleure pratique est d'appliquer le chiffrement de signature numérique que chaque e-signature est ajoutée au document. Cela établit une piste de vérification complète avec la date et l'heure à laquelle chaque signature a été appliquée.

Ce qu'il faut rechercher :

  • Le document doit être sécurisé par une signature numérique
  • Chaque signature doit être sécurisée par une signature numérique
  • Une piste de vérification complète devrait inclure la date et l’heure de chaque signature
  • La piste de vérification doit être intégrée en toute sécurité dans le document
  • La piste d'audit doit être liée à chaque signature
  • Capacité de vérifier la validité du dossier signé hors ligne, sans se rendre sur un site Web
  • Signature en un clic et vérification de documents
  • Possibilité de télécharger une copie vérifiable du dossier signé avec la piste de vérification
  • Le document doit être accessible à toutes les parties

Piste de vérification du processus de signature

Lorsque les entreprises réglementées font l'objet d'une vérification de conformité,on leur demande souvent de prouver le processus d'affaires exact qu'elles ont suivi. Dans ce cadre, les vérificateurs recherchent également un dossier de chaque fois que des documents clés ont été touchés, quand et par qui.

Nous vous recommandons de saisir une piste d’audit complète du processus de signature, car elle vous permet de démontrer exactement comment un client a effectué une transaction sur le Web ou via un appareil mobile. La plupart des solutions de signature électronique sur le marché ne sont pas conformes lorsqu’elles prouvent leur conformité, car elles n’ont pas la capacité de saisir un dossier complet des actions du signataire.

Ce qu'il faut rechercher :

Une solution qui capture des informations sur le processus utilisé pour capturer les signatures, notamment :

  • Adresse IP
  • Date et horodatage de tous les événements
  • Toutes les pages Web, documents, divulgations et autres informations présentées
  • Le temps passé à examiner chaque document
  • Ce que chaque partie a reconnu, accepté et signé
  • Toutes les autres mesures prises au cours de la transaction

Dans ce cadre, vérifiez si vous avez la possibilité de rechercher, de trouver et de lire la piste d’audit de processus d’une transaction spécifique pour les auditeurs ou d’autres parties prenantes en quelques clics.

Cloud Security

En plus des critères énumérés ci-dessus, examinez les protocoles qu'un fournisseur de signature électronique a mis en place pour identifier et prévenir les atteintes aux données. Il est important de comprendre les pratiques de sécurité du fournisseur, les certifications, les antécédents et la fréquence de ses audits de sécurité. L’exécution d’une diligence raisonnable en ce qui concerne les pratiques et l’infrastructure de sécurité d’un fournisseur pourrait exposer les atteintes à la vie privée passées, les incidents de perte ou de fuite de données ou d’autres risques tels que l’insuffisance de l’expertise en matière de sécurité dans les nuages.  

Ce qu'il faut rechercher :

  • Vérifier que la plate-forme de signature électronique utilise un cryptage de données fort en transit et au repos et stocke les données dans un volume de base de données crypté pour assurer un canal crypté pour toutes les communications
  • Un fournisseur qui s’associe à des fournisseurs de services d’infrastructure cloud de classe mondiale tels que Amazon Web Services, IBM SoftLayer, ou Microsoft Azure. Ces fournisseurs sont conçus et gérés selon les meilleures pratiques de sécurité et se conforment à une variété de normes réglementaires, industrielles et informatiques pour la sécurité et la protection des données, y compris: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, et bien plus encore.
  • En plus de tirer parti des fournisseurs de services cloud qui suivent les programmes et les cadres de conformité pour la sécurité et la protection des données au niveau du centre de données, associez-vous à un fournisseur qui répond à des exigences supplémentaires en matière de contrôle de sécurité et de conformité au couche d’application. Cela garantit que la solution de signature électronique est sécurisée et que les données des clients sont protégées.
  • Des centres de données mondiaux pour satisfaire aux exigences de résidence des données dans le pays 

Pour en savoir plus sur nos certifications et garanties, visitez notre Trust Center ou téléchargez notre livre blanc qui vous aidera à identifier les exigences de sécurité lors de l’évaluation des solutions de signature électronique.
 

Qu’est-ce que l’ultimate E-Signature Security Checklist ?
  1. Authentification utilisateur
  2. Sentier d'audit intégré
  3. Sécurité des documents et des signatures
  4. Piste de vérification du processus de signature
  5. Cloud Security

[1] Gartner, Inc., SOC Attestation pourrait être l'assurance de la sécurité ... ou il pourrait ne pas

Depuis 20 ans, Jeannine écrit sur la technologie et la façon de l'appliquer pour résoudre les défis quotidiens. Dans son rôle de directrice du contenu chez OneSpan, Jeannine dirige une équipe d'écrivains et de développeurs de contenu qui aide les institutions financières et d'autres organisations à