FAQ sobre assinatura eletrônica

As assinaturas eletrônicas são legais nos EUA?

Sim. Hoje, mais de 15 anos após a aprovação da Lei ESIGN, não há mais dúvida sobre se as assinaturas eletrônicas são legais. A lei federal e estadual concede às assinaturas eletrônicas o mesmo status legal que as assinaturas manuscritas. Quarenta e sete estados, o Distrito de Columbia, Porto Rico e as Ilhas Virgens adotaram a Lei Uniforme de Transações Eletrônicas (UETA). Além disso, a Lei Federal de Assinaturas Eletrônicas no Comércio Global e Nacional (ESIGN), uma lei federal, estabelece que as assinaturas eletrônicas são legalmente executáveis para o comércio intra-estadual e nos estados que não adotaram a UETA.


Para obter mais informações sobre jurisprudência de assinatura eletrônica e práticas recomendadas legais, assista a este webcast: Além do E-SIGN - Considerações sobre evidências para assinaturas e transações eletrônicas

As assinaturas eletrônicas são legais no Canadá?

Sim. De acordo com Stikeman Elliott LLP, “Todas as províncias e territórios têm estatutos independentes de comércio eletrônico de aplicação geral, com base em leis modelo promulgadas pela ONU. e a Conferência Uniforme de Direito do Canadá. Por exemplo, em Ontário, a Lei do Comércio Eletrônico, 2000, trata do uso de documentos eletrônicos em transações comerciais.

Embora existam algumas variações, os estatutos provinciais de comércio eletrônico geralmente estipulam que assinaturas, documentos e originais não são inválidos ou inexequíveis apenas pelo fato de estarem em formato eletrônico ”. Para obter mais informações, leia o documento completo de Stikeman Elliott, intitulado Assinaturas eletrônicas na lei canadense .
 

As assinaturas eletrônicas são legais na Europa?

Directiva 1999/93 / CE do Parlamento Europeu e do Conselho de 1999, sobre um quadro comunitário para assinaturas eletrônicas (também chamada de Diretiva Europeia de 1999), estabelece os critérios para a legalidade das assinaturas eletrônicas. Ele define três níveis de assinatura eletrônica (simples, avançado, qualificado). De acordo com Directiva , uma assinatura eletrônica avançada baseada em um certificado qualificado atende aos requisitos legais de uma assinatura em relação aos dados em formato eletrônico - da mesma forma que uma assinatura manuscrita atende a esses requisitos em relação aos dados em papel.

Para obter mais informações, leia o documento completo de Lorna Brazell, da Osborne Clarke LLP, intitulado eIDAS e assinatura eletrônica: uma perspectiva jurídica .

Para obter uma opinião legal sobre a aplicabilidade das assinaturas eletrônicas em qualquer país da UE e sobre os requisitos locais de residência de dados, consulte seu advogado.

 

O que é a Lei ESIGN?

A Lei de Assinaturas Eletrônicas no Comércio Global e Nacional (ESIGN) é uma lei federal dos EUA que foi aprovada em 2000 que permitiu o uso de registros e assinaturas eletrônicas para transações comerciais. A lei permite essencialmente que as organizações adotem um processo uniforme de assinatura eletrônica em todos os 50 estados, com a garantia de que os registros não podem ser recusados por um tribunal apenas com base no fato de terem sido assinados eletronicamente.

Como o ato é neutro em termos de tecnologia e não favorece nenhum tipo de solução em detrimento de outro, cabe à organização determinar como planeja atender aos requisitos da Lei ESIGN para capturar intenção de autenticação e autenticar dados e assinantes.
 

Nos EUA, os requisitos legais diferem de estado para estado?

Sim e não. As assinaturas eletrônicas federais nas leis de comércio global e nacional (ESIGN) e as leis estaduais de transações eletrônicas uniformes (UETA) são similares em substância e, juntas, permitem o uso de assinaturas eletrônicas no comércio nos EUA.

Dito isto, pode haver regulamentos adicionais ou requisitos de conformidade que se aplicam a determinados processos, como divulgações de empréstimos verdadeiros ou proteção da privacidade de registros médicos. Mas esses requisitos existem tanto para processos em papel quanto para eletrônicos.

Os documentos assinados eletronicamente foram contestados judicialmente?

Sim, existe um corpo crescente de jurisprudência que estabelece precedência para registros e assinaturas eletrônicas. Exemplos incluem:

  • Lorena v. Marke eu
  • Barwick v. GEICO
  • Vinhnee v. Expresso americano
  • Labajo v. Lojas Best Buy
  • Long v. Time Insurance Company
  • Shattuck v. Klotzback
  • Hotmail Corporation v. Van $ Money Pie Inc.

Embora tenha havido vários casos de disputas contratuais envolvendo assinaturas eletrônicas e registros eletrônicos, a maioria desses casos não desafia a própria assinatura eletrônica. Em vez disso, a maioria questiona as circunstâncias que envolvem o processo de assinatura, como se a intenção foi adequadamente estabelecida ou se o processo correto e as regras probatórias foram seguidas. Em alguns casos, os registros eletrônicos foram aceitos como evidência e a transação em questão mantida.

Em outros casos, o tribunal não admitiu, ou pelo menos criticou, os registros eletrônicos como prova. Para obter mais informações sobre muitos dos exemplos de jurisprudência citados aqui, faça o download O ESIGN não é suficiente: como reduzir o risco legal e de conformidade com o white paper de evidências eletrônicas.

A lei exige um nível mínimo de autenticação de usuário?

Em uma palavra, não. A lei federal de ESIGN não especifica o tipo de autenticação de usuário a ser usada com assinaturas eletrônicas. A definição de uma assinatura eletrônica sob ESIGN refere-se à autenticação do usuário na frase “um contrato ou outro registro. . . adotado por uma pessoa ”; no entanto, não especifica como o assinante deve “adotar” o contrato ou registro.

Idealmente, a escolha de um método de autenticação de usuário deve depender do perfil de risco da organização e do processo que está sendo automatizado. Por exemplo, cartões inteligentes com certificados digitais podem fazer sentido ao assinar requisições militares altamente sensíveis, mas não são necessárias para os consumidores que solicitam um empréstimo online.
 

Quais são algumas das principais conclusões de decisões judiciais recentes?

Em uma decisão histórica sobre a admissibilidade de informações armazenadas eletronicamente (ESI), Juiz do Magistrado dos EUA Paul W. Grimm discutimos exemplos dos elementos essenciais de um processo efetivo de contratação eletrônica, nomeadamente “criando e arquivando e recuperando com segurança uma trilha de auditoria de todo o processo de gerenciamento do ESI, desde as etapas para verificar a identidade das pessoas que assinam o registro até o final do processo. selar eletronicamente o documento e depois arquivar e recuperar com segurança o contrato eletrônico ". De fato, o juiz Grimm escreveu uma opinião de 100 páginas que fornece orientações sobre a autenticação e a admissibilidade de evidências armazenadas eletronicamente.
 

Como podemos garantir que nossos registros eletrônicos e trilhas de auditoria sejam fáceis de revisar pelos auditores internos e externos?

Quando as empresas reguladas passam por uma auditoria de conformidade, geralmente são solicitadas a provar o processo de negócios exato que seguiram. Isso se aplica a transações voltadas para o cliente e controles internos. Como parte disso, os auditores também procuram um registro de cada vez que documentos importantes são tocados, quando e por quem.

O OneSpan Sign fornece trilhas de auditoria de documentos e processos com o objetivo de demonstrar conformidade aos auditores. Para facilitar o compartilhamento com partes internas e externas, um pacote de trilha de auditoria independente pode ser exportado para fora do banco de dados do OneSpan Sign como um arquivo independente e importado para um ECM ou sistema de gerenciamento de registros. Além disso, as telas da trilha de auditoria visual podem ser enviadas com segurança para PDF ou papel e enviadas aos auditores, para que possam ser revisadas offline.

As assinaturas eletrônicas são legais em todo o mundo?

Dezenas de países em todo o mundo adotaram leis de assinatura eletrônica, assinatura digital e comércio eletrônico, incluindo:

  • China (Lei de Assinaturas Eletrônicas 2004)
  • Índia (Lei de Tecnologia da Informação de 2000)
  • Federação Russa (Lei de Assinaturas Eletrônicas de 2011)
  • Austrália (seção 10 da Lei de Transações Eletrônicas de 1999)
  • Japão (Lei relativa a assinaturas eletrônicas e serviços de certificação)
  • México (Lei de Comércio Eletrônico de 2000)

Para informações adicionais:

Para obter uma opinião legal sobre a aplicabilidade das assinaturas eletrônicas em qualquer país e sobre os requisitos locais de residência em dados, consulte seu advogado.
 

Existem requisitos especiais para a apresentação de divulgações legais na web?

Assim como nas transações em papel, uma organização ainda deve provar que apresentou aos consumidores as divulgações exigidas pelo governo no formato e no prazo exigidos. Além disso, a organização deve ser capaz de demonstrar que o consumidor consentiu em receber divulgações eletronicamente e que ele / ela pode acessar as informações no formato eletrônico fornecido.

A entrega de divulgações por meio do site exige mais do que simplesmente publicar divulgações em uma página da web. A evidência de todo o processo de entrega da divulgação, incluindo como a divulgação foi feita no navegador do consumidor e quais ações o consumidor tomou, devem ser armazenadas com segurança em uma trilha de auditoria. Para saber mais, leia nosso white paper sobre o Entrega eletrônica segura de divulgações ao consumidor .
 

 

Onde é o melhor lugar para obter ajuda com minha integração?

Nosso comunidade de desenvolvedores é o melhor lugar para os desenvolvedores começarem a funcionar rapidamente com a API e os SDKs do OneSpan Sign.

Existem guias de iniciação rápida com um exemplo básico no qual eu possa desenvolver?

Sim. Existem quatro maneiras de começar com o OneSpan Sign:

  • A interface do usuário fornecida
  • O Java SDK
  • O .NET SDK
  • A API REST

Leia nossa blog de início rápido para uma visão geral de como começar com cada um.
 

Como trago automaticamente os campos do formulário para o OneSpan Sign?

Para saber mais sobre como usar a extração de documentos para inserir automaticamente campos de formulário no OneSpan Sign, leia este blog:
Como assinar do OneSpan: Extração de documentos (.NET SDK)
 

Como o OneSpan Sign funciona?

OneSpan Sign Professional é um serviço de assinatura eletrônica baseado na Web. Você usa um navegador da web para enviar e assinar documentos. É simples assim. 

Veja como funciona:

  1. Envie seus documentos
  2. Adicione seus destinatários
  3. Defina onde os destinatários assinarão, simplesmente arrastando um bloco de assinatura para o (s) local (is) correto (s) no documento
  4. Selecione o método de autenticação (nome de usuário / senha, pergunta / resposta secreta, código de acesso único (OTP), serviços de autenticação de terceiros)
  5. Clique em "ENVIAR"

Um email será enviado para cada assinante, convidando-os a assinar o (s) documento (s). Se você estiver cara a cara com o assinante, terá a opção de usar seu próprio computador ou dispositivo móvel para capturar a assinatura deles. Cada signatário é guiado passo a passo pelo processo de assinatura. Depois que os documentos são assinados, eles podem ser baixados. Os documentos assinados por e-mail podem ser armazenados no OneSpan Sign ou baixados para retenção em seu próprio sistema de registro e excluídos do OneSpan Sign.

Os documentos assinados por e-mail são arquivos PDF padrão que podem ser visualizados no Adobe Reader e em outros leitores de PDF.

Preciso do Adobe Reader?

O Adobe Reader não é necessário para preparar ou assinar documentos. Só é necessário abrir e visualizar documentos assinados por e ver todas as assinaturas. Ao visualizar um documento usando o Adobe Reader, você pode verificar se um documento e suas assinaturas não foram violados.

Outros visualizadores de PDF não exibirão necessariamente o selo de assinatura. Você precisará do Adobe Reader versão 5 e superior para visualizar documentos assinados por e-mail.

Preciso de algum hardware ou software especial para assinar com e-mail?

Não. Os assinantes não precisam de nada além de um navegador da web. Ao solicitar que os clientes assinem pela Internet, a melhor solução é assinar documentos por meio de um navegador da Web - sem solicitar que o cliente faça o download de qualquer software. Isso elimina o risco de o cliente abandonar o processo devido a frustrações e atrasos causados por incompatibilidades de software.

É fácil assinar com o OneSpan Sign. De fato, os assinantes nem precisam criar uma conta. Eles simplesmente recebem um email com um link para um site seguro, inserem seu nome de usuário e senha e obtêm acesso ao processo de assinatura eletrônica através do navegador.

Além do mais, o Captura de Assinatura Móvel O recurso OneSpan Sign transforma qualquer dispositivo de tela sensível ao toque habilitado para a Web em um bloco de captura de assinaturas - eliminando a necessidade de hardware para assinatura. Esse recurso é ideal para processos de abertura remota de contas e integração de clientes, se houver necessidade de uma assinatura com script manual e o processo de revisão de documentos ocorrer em um desktop / laptop.

Quais navegadores são suportados pelo OneSpan Sign?

  • Internet Explorer 11
  • Beira
  • Safári
  • Raposa de fogo
  • Google Chrome
  • Ópera

Quais dispositivos móveis meus clientes podem usar para assinar com e-mail? Quais dispositivos são suportados?

O OneSpan Sign oferece a capacidade de assinar documentos em qualquer lugar, a qualquer momento, a partir de qualquer dispositivo habilitado para a Web, incluindo smartphone, tablet e laptop.

Qual opção de implantação é certa para mim?

O OneSpan Sign pode ser implantado:

  • Em uma nuvem pública em qualquer lugar do mundo (a opção mais popular devido à velocidade de lançamento no mercado e baixo custo)
  • Em uma nuvem privada em qualquer lugar do mundo (geralmente selecionada devido aos requisitos de segurança aumentados e para maior controle sobre onde e como os dados são armazenados)
  • No local atrás do firewall da sua empresa (selecionado por organizações que exigem controle total sobre os servidores e dados)

Independentemente de como você implanta, oferecemos exatamente o mesmo produto, a mesma base de código e a mesma experiência do usuário sem comprometer a segurança ou a funcionalidade.

Nossa plataforma SaaS única significa que você pode começar a desenvolver usando um API REST e SDKs e implante como e onde quiser. Se suas necessidades mudarem com o tempo, você terá a flexibilidade de migrar de uma implantação para outra, além de implementar o OneSpan Sign como um serviço compartilhado para entregar assinaturas eletrônicas em toda a empresa.

Onde posso encontrar informações sobre preços?

Para mais informações sobre preços, visite nossa página de preços .

As assinaturas eletrônicas são seguras?

Sim. A segurança é sempre importante quando as organizações começam a assinar online com clientes, parceiros e fornecedores. O OneSpan Sign fornece três níveis de segurança:

  • Autenticação de usuário: O OneSpan Sign oferece várias maneiras de verificar a identidade do assinante, incluindo login / senha tradicional, pergunta / resposta secreta, código de acesso único (OTP), serviços de autenticação de terceiros (por exemplo, Equifax), suporte para cartões inteligentes CAC / PIV e muito mais. Para saber mais, leia o autenticação de usuário papel branco.
  • Autenticação de documento: Depois que um documento é assinado com o OneSpan Sign, ele é bloqueado com uma assinatura digital (essencialmente um selo inviolável). Ao contrário dos contratos e assinaturas em papel que requerem atenção cuidadosa aos detalhes e que dependem do olho humano para verificação, os contratos assinados com base em assinaturas digitais podem sinalizar automaticamente quaisquer erros ou alterações. Portanto, qualquer tentativa de alterar o conteúdo do documento o tornará inválido. Além disso, não é possível copiar e colar uma assinatura, pois o OneSpan Sign também protege os blocos de assinatura com um assinatura digital . Mesmo com toda essa segurança, facilitamos a verificação da autenticidade do documento e das assinaturas - com apenas um clique.
  • Trilhas de auditoria: O OneSpan Sign captura todas as impressões digitais deixadas pelas pessoas durante o processo de assinatura. Eles são capturados em dois tipos de trilhas de auditoria: uma trilha de auditoria estática (que o assinante assinou) e uma trilha de auditoria visual patenteada (como o assinante assinou). O OneSpan Sign ressoa com as equipes legais e de conformidade, porque essas trilhas de auditoria fornecem visibilidade de quando e como a transação ocorreu - algo que simplesmente não é possível no mundo do papel.
     

Quais são os principais recursos de segurança a serem procurados em uma solução de assinatura eletrônica?

Segurança forte requer a combinação certa de pessoas, processos e tecnologia. A adoção de uma abordagem multifacetada para a segurança da assinatura eletrônica na nuvem garantirá que seus registros (e os registros de seus clientes) sejam tratados e gerenciados adequadamente. Ele também promoverá a confiança do cliente e protegerá a reputação da sua organização. É por isso que recomendamos ter uma visão ampla da segurança da assinatura eletrônica, que inclui:

  • A capacidade de escolher o nível apropriado de autenticação para cada um de seus processos (processos internos exigem menos autenticação, enquanto processos externos com clientes geralmente exigem autenticação mais forte).
  • Protegendo assinaturas eletrônicas e documentos contra adulteração.
  • Facilitando a verificação de registros assinados por e-mail - independentemente do fornecedor - para garantir que nenhuma alteração tenha sido feita no documento desde que ele foi assinado.
  • Garantir a confiabilidade a longo prazo de seus registros eletrônicos, independentemente do seu fornecedor.
  • Escolha de um fornecedor com um histórico consistente para proteger os dados do cliente.

Para saber mais, consulte o Lista de verificação definitiva de segurança de assinatura eletrônica .
 

Qual é a melhor maneira de autenticar assinantes online?

Realmente depende do tipo de transação e do risco associado a ela. Por exemplo, uma renovação de hipoteca online com um cliente existente é uma transação com alguém que provavelmente já possui credenciais bancárias online. Nesse caso, o cliente pode efetuar login no portal bancário usando suas credenciais existentes, acessar o documento de renovação e assiná-lo diretamente no portal bancário online.

No entanto, se o participante for um "cliente desconhecido", o banco deverá ter um método para verificar os documentos de identidade do cliente. Isso pode incluir um comprovante de residência, passaporte, carteira de motorista, documento de identidade emitido pelo estado ou outros documentos de identificação exclusivos.

Existem dois métodos de verificação de ID:

  • Verificação pessoal: exige que o cliente mostre a um associado bancário uma cópia física de seu documento com foto emitido pelo governo. O associado deve confirmar que o ID é genuíno e aprovar a transação.
     
  • Verificação de identificação digital: com as novas tecnologias e regulamentações, como a Lei MOBILE dos EUA, as organizações agora podem digitalizar o processo de verificação de identificação. Aproveitando o poder dos dispositivos móveis, os bancos podem aceitar uma cópia digitalizada da identificação com foto do cliente para verificar sua autenticidade e solicitar ao cliente que faça upload de uma selfie para corresponder à identificação digitalizada.

Para saber mais, leia o autenticação de usuário papel branco.
 

Posso escolher onde meus dados residem?

Sim. Atualmente, a residência de dados é a principal preocupação das organizações. Além das implantações existentes nos EUA e no Canadá, oferecemos aos clientes em todo o mundo acesso a instâncias de nuvem pública e privada do OneSpan Sign na Austrália, Reino Unido, Alemanha, Japão, Cingapura e Brasil. Por exemplo, muitos de nossos clientes canadenses já estão processando seus documentos assinados por meio de data centers em Toronto e Montreal.

O mesmo se aplica aos nossos conectores. Por exemplo, nosso aplicativo de assinatura eletrônica do Salesforce oferece às organizações a flexibilidade de se conectar a qualquer instância global do OneSpan Sign - seja nos EUA, no Canadá ou em qualquer um dos seis países listados acima. Portanto, contratos, NDAs e documentos entregues a seus clientes e parceiros para assinatura via Salesforce residem onde quer que suas políticas internas de TI determinem. O OneSpan Sign é a única solução de assinatura eletrônica no mercado que fornece esse nível de flexibilidade global. Para saber mais, leia este blog de residência de dados .
 

Quais certificações de segurança o OneSpan Sign possui?

As organizações preocupadas com a segurança procuram garantir que os fornecedores com os quais trabalham atendem aos requisitos de segurança necessários. Embora haja vários programas de conformidade em vigor no nível do data center (por exemplo, HIPAA, SOC 1 / SSAE 16, SOC 2, SOC 3, PCI DSS Nível 1, ISO 27001, etc.), bem como de nível militar controles físicos, queríamos ir além dos nossos clientes. O OneSpan Sign atende aos requisitos adicionais de controle de segurança e conformidade, incluindo:

  • ISO / IEC 27001: 2013 : ISO / IEC 27001 é um padrão de gerenciamento de segurança que especifica as melhores práticas de gerenciamento de segurança e controles abrangentes de segurança, seguindo as diretrizes de melhores práticas do ISO / IEC 27002. A base desta certificação é o desenvolvimento e a implementação de um rigoroso programa de segurança, que inclui o desenvolvimento e a implementação de um Sistema de Gerenciamento de Segurança da Informação (ISMS), que define como o OneSpan Sign gerencia continuamente a segurança de maneira abrangente e holística.

    Saber mais

  • ISO / IEC 27017: 2015 : O OneSpan adota uma abordagem estruturada da segurança na nuvem implementando uma série de práticas recomendadas para cumprir com a norma ISO / IEC 27017 para requisitos específicos para serviços de segurança na nuvem e controles de segurança na nuvem. A ISO / IEC 27017 foi projetada para auxiliar na recomendação e implementação de controles para organizações baseadas na nuvem. Isso não é relevante apenas para organizações que armazenam informações na nuvem, mas também para provedores que oferecem serviços baseados em nuvem para outras empresas que possam ter informações confidenciais.

    Saber mais

  • ISO / IEC 27018: 2019 : O OneSpan atende ao padrão de proteção de dados de clientes na nuvem como uma organização certificada ISO / IEC 27018. A ISO / IEC 27018 é um código de prática que se concentra na proteção de dados pessoais na nuvem. A ISO / IEC 27018 é um código de prática que se concentra na proteção e privacidade de dados pessoais na nuvem. Ele é baseado no padrão de segurança da informação ISO / IEC 27002 e fornece orientações de implementação aplicáveis ao armazenamento de Informações de Identificação Pessoal (PII) em uma nuvem pública. Ele também fornece um conjunto de controles adicionais e orientações associadas destinadas a atender aos requisitos de proteção de PII na nuvem pública não atendidos pelo conjunto de controle ISO / IEC 27002 existente.

    Saber mais

  • SOC 2 Tipo II: Em uma auditoria de segurança da KPMG, as tecnologias e processos de proteção de dados do OneSpan Sign foram verificados como compatíveis com SOC 2. 
  • FedRAMP: O OneSpan Sign permite que as agências governamentais aproveitem com segurança as assinaturas eletrônicas na nuvem e aproveitem a economia de custos e promovam o envolvimento de funcionários e cidadãos.

    Saber mais

  • Céu alto: Os serviços em nuvem Skyhigh Enterprise-Ready atendem plenamente aos requisitos mais rigorosos de proteção de dados, verificação de identidade, segurança de serviço, práticas comerciais e proteção legal.

    Saber mais

  • Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA): Para os EUA dos EUA, o OneSpan Sign atende ao Ato de Portabilidade e Responsabilidade de Seguros de Saúde (Health Insurance Portability and Accountability Act of 1996, HIPAA). O HIPAA descreve os requisitos para o gerenciamento, armazenamento e transmissão de informações de saúde protegidas, tanto na forma física quanto na digital.

    Saber mais

Também conhecemos o padrões de certificação de segurança do governo publicado por:

  • O Instituto Nacional de Padrões e Tecnologia (NIST).
     
  • O Comando de Teste de Interoperabilidade Conjunta (JITC). O OneSpan Sign possui 13 certificações JITC, mais do que qualquer provedor de soluções de assinatura eletrônica.
     
  • A National Information Assurance Partnership (NIAP) da Agência de Segurança Nacional, por meio de nosso suporte ao FIPS PUB 140-2, um padrão de segurança de computador usado para credenciar módulos criptográficos.
     
  • O OneSpan Sign também suporta os mais recentes padrões de criptografia SHA.

Para mais informações, consulte o nosso Centro de confiança .
 

Beneficie-se de nossa experiência

Melhore drasticamente a experiência digital do cliente e a produtividade e segurança da sua organização.