A melhor lista de verificação de segurança de assinatura eletrônica

Jeannine Mulliner, 20 de Fevereiro de 2020
The Ultimate E-Signature Security Checklist

Nenhuma organização quer cicatrizes de segurança. É por isso que os departamentos de TI e de segurança da informação geralmente realizam diligências devidas em seus fornecedores de hospedagem e software em nuvem para proteger contra violações de dados, perda de dados , malware , vírus , phishing , e outras ameaças à segurança. Para ajudar a defender sua organização, compilamos um assinatura eletrônica lista de verificação de segurança especificamente para avaliar serviços de assinatura eletrônica . Esta lista de verificação adota uma abordagem holística da segurança. Recomendamos não apenas examinar a segurança do serviço, mas também como os assinantes são autenticados, a abordagem do fornecedor para a segurança de documentos e assinaturas e a trilha de auditoria associada à transação digital.

Autenticação do usuário

As leis de assinatura eletrônica não dizem muito sobre técnicas e tecnologias de segurança, mas a definição legal de assinatura eletrônica sempre inclui linguagem em torno da identidade do assinante. Isso significa que você precisa:

  • Autenticar usuários antes da assinatura eletrônica
  • Vincule essa autenticação à assinatura eletrônica e ao registro assinado eletronicamente
     

O que procurar:

1 Uma solução que suporta vários métodos de autenticação , tal como:

  • Autenticação remota de usuário por meio de ID / senha de usuário
  • Verificação de endereço de email através de convite para sessão de assinatura eletrônica
  • Autenticação remota de usuário por meio de perguntas e respostas secretas resposta do desafio)
  • Capacidade de alavancar credenciais existentes
  • KBA dinâmico por meio de bancos de dados de terceiros (por exemplo, Equifax )
  • Suporte para certificados digitais
  • Capacidade de fazer upload de imagens como parte de uma transação de assinatura eletrônica, por exemplo, foto da carteira de motorista 

2) A capacidade de configurar diferentes métodos de autenticação dentro da mesma transação;

3) Flexibilidade para adaptar os métodos de autenticação ao perfil de risco da sua organização e automatizar cada processo (por exemplo, personalizar as perguntas de resposta ao desafio e o número de perguntas com base em seus requisitos);

4) Opções flexíveis para atribuição de assinatura pessoal, incluindo declarações de entrega e senha SMS (PIN) enviadas para um dispositivo móvel pessoal (verifique se a autenticação do usuário via SMS está incluída gratuitamente).

Após avaliar os recursos de autenticação do usuário, a próxima etapa será verificar se o serviço de assinatura eletrônica captura a autenticação como parte da trilha de auditoria do documento e incorpora a trilha de auditoria ao documento assinado.

 

Segurança e Confiança

Segurança e confiança de assinatura eletrônica

Crie confiança digital por meio de segurança, autenticação, verificação e confiabilidade

Baixar Agora

Trilha de auditoria incorporada

Os documentos com assinatura eletrônica que podem ser verificados e arquivados independentemente do fornecedor da assinatura eletrônica fornecem uma camada adicional de segurança. Independentemente de você manter ou não uma conta com o serviço de assinatura eletrônica no futuro, seus documentos não serão afetados, pois você, seus clientes e outras partes interessadas não precisam ficar online para acessar ou verificar o documento assinado.

A única maneira de obter independência do fornecedor é ter uma solução que incorpore o assinaturas eletrônicas , registro de data e hora e trilha de auditoria diretamente no documento. Isso cria um registro portátil e independente.

O que procurar:

  • Capacidade de verificar a autenticidade do documento independentemente do serviço de assinatura eletrônica. Ou seja, você não precisa se preocupar se um link de verificação para um servidor será válido daqui a alguns anos ou se ele fornecer uma mensagem de erro 404 "página não encontrada".
  • Capacidade de indexar, armazenar e recuperar o documento assinado eletronicamente no sistema de registro de sua escolha, não no armazenamento em nuvem do provedor de serviços. Isso ajuda você a cumprir os requisitos de retenção de longo prazo da sua organização.

Segurança de documentos e assinaturas

Procure uma solução de assinatura eletrônica que empacote e proteja o documento final assinado eletronicamente usando um assinatura digital . A solução de assinatura eletrônica deve aplicar a assinatura digital em dois níveis:

  1. No nível de assinatura para impedir a violação da própria assinatura.
     
  2. No nível de documento para evitar adulteração do conteúdo do documento.

Assinatura digital os laços de segurança assinam a intenção com as informações acordadas no momento da assinatura. Ele também bloqueia e prova a violação do documento assinado por e-mail, para que alterações não autorizadas não passem despercebidas.

Embora fornecedores como a DocuSign apliquem uma assinatura digital como envelope a um documento (depois que todas as assinaturas forem capturadas), essa não é uma prática recomendada. Essa abordagem deixa o documento e as assinaturas desprotegidos enquanto o processo está sendo concluído e resulta na colocação incorreta de data e hora nas assinaturas individuais. Se um assinante e um co-signatário assinarem um registro em dois dias separados, o histórico será refletido na trilha de auditoria. A melhor prática é aplicar a criptografia de assinatura digital conforme cada assinatura eletrônica é adicionada ao documento . Isso cria uma trilha de auditoria abrangente com a data e a hora em que cada assinatura foi aplicada.

O que procurar:

  • O documento deve ser protegido com uma assinatura digital
  • Cada assinatura deve ser protegida com uma assinatura digital
  • Uma trilha de auditoria abrangente deve incluir a data e hora de cada assinatura
  • A trilha de auditoria deve ser incorporada com segurança no documento
  • A trilha de auditoria deve estar vinculada a cada assinatura
  • Capacidade de verificar a validade do registro assinado offline, sem acessar um site
  • Assinatura com um clique e verificação de documento
  • Capacidade de baixar uma cópia verificável do registro assinado com a trilha de auditoria
  • O documento deve estar acessível a todas as partes

Trilha de auditoria do processo de assinatura

Quando empresas reguladas passam por um auditoria de conformidade , eles geralmente são solicitados a provar o processo de negócios exato que seguiram. Como parte disso, os auditores também procuram um registro de cada vez que documentos importantes são tocados, quando e por quem.

Recomendamos capturar uma trilha de auditoria abrangente do processo de assinatura, pois isso permite demonstrar exatamente como um cliente concluiu uma transação na web ou por meio de um dispositivo móvel. A maioria soluções de assinatura eletrônica no mercado, ficam aquém ao provar a conformidade, porque eles não têm a capacidade de capturar um registro completo das ações do assinante.

O que procurar:

Uma solução que captura informações sobre o processo usado para capturar assinaturas, incluindo:

  • endereço de IP
  • Data e hora de todos os eventos
  • Todas as páginas da web, documentos, divulgações e outras informações apresentadas
  • O tempo gasto na revisão de cada documento
  • O que cada parte reconheceu, concordou e assinou
  • Todas as outras ações executadas durante a transação

Como parte disso, verifique se você tem a capacidade de pesquisar, localizar e reproduzir a trilha de auditoria do processo de uma transação específica para auditores ou outras partes interessadas da empresa em apenas alguns cliques.

Segurança na nuvem

Além dos critérios listados acima, observe os protocolos e fornecedor de assinatura eletrônica existe para identificar e impedir violações de dados. É importante entender as práticas de segurança do fornecedor, certificações, histórico e a frequência de suas auditorias de segurança. Executar a devida diligência em torno das práticas e infraestrutura de segurança de um fornecedor pode expor violações de privacidade anteriores, incidentes de perda / vazamento de dados ou outros riscos, como conhecimento insuficiente de segurança na nuvem.  

O que procurar:

  • Verifique se a plataforma de assinatura eletrônica utiliza criptografia de dados forte em trânsito e em repouso e armazena dados em um volume de banco de dados criptografado para garantir um canal criptografado para todas as comunicações
  • Um fornecedor que faz parceria com provedores de serviços de infraestrutura em nuvem de classe mundial, como Amazon Web Services , IBM SoftLayer ou Microsoft Azure . Esses provedores são projetados e gerenciados de acordo com as melhores práticas de segurança e estão em conformidade com uma variedade de padrões regulatórios, da indústria e de TI para segurança e proteção de dados, incluindo: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA , e muito mais.
  • Além de alavancar os provedores de serviços em nuvem que seguem os programas e estruturas de conformidade para segurança e proteção de dados no nível do data center, faça parceria com um fornecedor que atenda aos requisitos adicionais de controle de segurança e conformidade na camada de aplicativos. Isso garante que a solução de assinatura eletrônica seja segura e os dados do cliente sejam protegidos.
  • Data centers globais para atender aos requisitos de residência de dados no país 

Para saber mais sobre nossas certificações e salvaguardas, visite nosso Centro de confiança ou faça o download do white paper que o ajudará a identificar requisitos de segurança ao avaliar soluções de assinatura eletrônica.
 

O que é a lista de verificação definitiva de segurança de assinatura eletrônica?
  1. Autenticação do usuário
  2. Trilha de auditoria incorporada
  3. Segurança de documentos e assinaturas
  4. Trilha de auditoria do processo de assinatura
  5. Segurança na nuvem

[1] Gartner, Inc., atestado SOC pode ser garantia de segurança ... ou pode não ser

Há 20 anos, Jeannine escreve sobre tecnologia e como aplicá-la para resolver os desafios do dia a dia. Como diretora de conteúdo da OneSpan, Jeannine lidera uma equipe de redatores e desenvolvedores de conteúdo focados em ajudar instituições financeiras e outras organizações a obter valor com