究極の電子署名セキュリティチェックリスト

セキュリティの傷跡を望んでいる組織はありません。そのため、IT部門と情報セキュリティ部門は、通常、クラウドホスティングとソフトウェアプロバイダーに対して広範囲なデューデリジェンスを実施して、データ侵害から保護します。データロス 、マルウェア 、ウイルス 、フィッシング 、およびその他のセキュリティ脅威。 組織を守るために、電子署名評価用のセキュリティチェックリスト電子署名サービス 。このチェックリストは、セキュリティに対する包括的なアプローチを採用しています。サービスのセキュリティだけでなく、署名者の認証方法、ドキュメントと署名のセキュリティに対するベンダーのアプローチ、およびデジタルトランザクションに関連する監査証跡も確認することをお勧めします。
ユーザー認証
電子署名の法律は、セキュリティ技術や技術に関してはあまり言及していませんが、電子署名の法的定義には常に署名者の身元に関する言葉が含まれています。つまり、次のことを行う必要があります。
- 電子署名の前にユーザーを認証する
- その認証を電子署名と電子署名レコードに結び付けます
何を探すか:
1。サポートするソリューション複数の認証方法 、といった:
- ユーザーID /パスワードによるリモートユーザー認証
- 電子署名セッションへの招待によるメールアドレスの確認
- シークレットQ&A(別名 チャレンジ/レスポンス)
- 既存の資格情報を活用する機能
- サードパーティのデータベース(例: Equifax )
- デジタル証明書のサポート
- 電子署名トランザクションの一部として画像をアップロードする機能(例:運転免許証の写真)
2。同じトランザクション内で異なる認証方法を構成する機能。
3。認証方法を組織のリスクプロファイルに適合させ、各プロセスを自動化する柔軟性(たとえば、要件に基づいて、チャレンジ/レスポンスの質問と質問の数をカスタマイズする)。
4。個人のモバイルデバイスに送信されるハンドオフ宣誓供述書やSMSパスワード(PIN)を含む、対面の署名属性の柔軟なオプション(SMSによるユーザー認証が無料で含まれているかどうかを確認)。
ユーザー認証機能を評価したら、次のステップは、電子署名サービスが認証をドキュメント監査証跡の一部としてキャプチャし、監査証跡を電子署名済みドキュメントに埋め込むことを確認することです。
埋め込まれた監査証跡
電子署名ベンダーとは無関係に検証およびアーカイブできる電子署名されたドキュメントは、セキュリティの追加レイヤーを提供します。将来的に電子署名サービスのアカウントを維持するかどうかに関係なく、電子署名されたドキュメントにアクセスまたは検証するためにオンラインでアクセスする必要がないため、ドキュメントは影響を受けません。
ベンダーに依存しない唯一の方法は、電子署名 、タイムスタンプ、および監査証跡をドキュメントに直接挿入します。これにより、自己完結型のポータブルレコードが作成されます。
何を探すか:
- 電子署名サービスとは無関係にドキュメントの真正性を検証する機能。つまり、サーバーへの確認リンクが数年後に有効になるのか、それとも「ページが見つかりません」という404エラーメッセージが表示されるのかを心配する必要はありません。
- サービスプロバイダーのクラウドストレージではなく、選択した記録システムで電子署名されたドキュメントのインデックス作成、保存、取得を行う機能。これにより、組織の長期保存要件に準拠することができます。
ドキュメントと署名のセキュリティ
最終的な電子署名付きドキュメントをパッケージ化して保護する電子署名ソリューションを探します。デジタル署名 。電子署名ソリューションでは、デジタル署名を2つのレベルで適用する必要があります。
- で署名レベル署名自体の改ざんを防ぐため。
- でドキュメントレベルドキュメントの内容が改ざんされないようにするため。
デジタル署名セキュリティは、署名の意図を、署名時に同意された情報と結びつけます。また、電子署名されたドキュメントをロックして改ざん防止するため、不正な変更が見過ごされることはありません。
DocuSignなどのベンダーはデジタル署名をエンベロープとしてドキュメントに適用します(すべての署名が取得された後)が、これは推奨される方法ではありません。このアプローチでは、プロセスの完了中はドキュメントと署名が保護されないままになり、個々の署名に誤った日付と時刻のスタンプが付けられます。署名者と共同署名者が別々の2日にレコードに電子署名する場合、その履歴が監査証跡に反映されるようにします。ベストプラクティスは、デジタル署名の暗号化を適用することです各電子署名がドキュメントに追加されたとき 。これにより、各署名が適用された日時を含む包括的な監査証跡が作成されます。
何を探すか:
- ドキュメントはデジタル署名で保護する必要があります
- 各署名はデジタル署名で保護する必要があります
- 包括的な監査証跡には、各署名の日付と時刻を含める必要があります
- 監査証跡はドキュメントに安全に埋め込まれている必要があります
- 監査証跡は各署名にリンクする必要があります
- Webサイトにアクセスせずに、署名されたレコードの有効性をオフラインで検証する機能
- ワンクリック署名とドキュメント検証
- 監査証跡付きの署名済みレコードの検証可能なコピーをダウンロードする機能
- ドキュメントは、すべての関係者がアクセスできる必要があります
署名プロセスの監査証跡
規制対象の企業がコンプライアンス監査 、彼らはしばしば彼らが従った正確なビジネスプロセスを証明するよう求められます。この一環として、監査人は主要なドキュメントがいつ、誰によって、いつ触れられたかの記録も探します。
署名プロセスの包括的な監査証跡をキャプチャすることをお勧めします。どうやって顧客がWebまたはモバイルデバイスを介してトランザクションを完了した。最も電子署名ソリューション署名者の行動の完全な記録を取得する能力がないため、コンプライアンスを証明する場合、市場では不十分です。
何を探すか:
以下を含む、署名の取得に使用されるプロセスに関する情報を取得するソリューション:
- IPアドレス
- すべてのイベントの日時スタンプ
- 提示されたすべてのWebページ、ドキュメント、開示、およびその他の情報
- 各ドキュメントのレビューに費やされた時間の長さ
- 各当事者が認め、同意し、署名したもの
- トランザクション中に行われた他のすべてのアクション
この一環として、特定のトランザクションのプロセス監査証跡を監査、その他のビジネス関係者向けに数回クリックするだけで検索、検索、および再生できるかどうかを確認します。
クラウドセキュリティ
上記の基準に加えて、プロトコルと電子署名ベンダーデータ侵害を特定して防止するために用意されています。ベンダーのセキュリティプラクティス、認定、実績、およびセキュリティ監査の頻度を理解することが重要です。ベンダーのセキュリティプラクティスとインフラストラクチャに関するデューデリジェンスを実行すると、過去のプライバシー侵害、データ損失/漏洩のインシデント、または不十分なクラウドセキュリティの専門知識などの他のリスクが明らかになる可能性があります。
何を探すか:
- 電子署名プラットフォームが転送中および保存時に強力なデータ暗号化を利用し、暗号化されたデータベースボリューム内にデータを保存して、すべての通信で暗号化されたチャネルが確保されることを確認します
- 次のような世界クラスのクラウドインフラストラクチャサービスプロバイダーと提携するベンダーアマゾンウェブサービス 、 IBM SoftLayer 、または Microsoft Azure 。これらのプロバイダーは、セキュリティのベストプラクティスに従って設計および管理され、ISO 27001、SOC 1/2/3、HIPAA、FIPS 140-2、FISMAなど、セキュリティおよびデータ保護に関するさまざまな規制、業界、IT規格に準拠しています。、およびはるかに。
- データセンターレベルでセキュリティとデータ保護のためのコンプライアンスプログラムとフレームワークに従うクラウドサービスプロバイダーを活用することに加えて、アプリケーションレイヤーで追加のセキュリティ制御とコンプライアンス要件を満たすベンダーと提携します。これにより、電子署名ソリューションが安全になり、顧客データが保護されます。
- 国内のデータ常駐要件を満たすグローバルデータセンター
当社の認定と安全対策について詳しくは、トラストセンターまたは、識別に役立つホワイトペーパーをダウンロードしてくださいセキュリティ要件電子署名ソリューションを評価するとき。
- ユーザー認証
- 埋め込まれた監査証跡
- ドキュメントと署名のセキュリティ
- 署名プロセスの監査証跡
- クラウドセキュリティ
[1] Gartner、Inc.、SOCアテステーションはセキュリティの保証になる場合もあれば、そうでない場合もあります