Autenticación de usuario
Las leyes de firma electrónica no dicen mucho cuando se trata de técnicas y tecnología de seguridad, pero la definición legal de una firma electrónica siempre incluye lenguaje sobre la identidad del firmante. Esto significa que necesitas:
- Autenticar usuarios antes de firmar electrónicamente.
- Asociar esa autenticación a la firma electrónica y al registro firmado electrónicamente.
Qué buscar:
- Una solución que admite múltiples métodos de autenticación como:
- Autenticación de usuario remota a través de ID de usuario / contraseña.
- Verificación de dirección de correo electrónico mediante invitación a sesión de firma electrónica.
- Autenticación de usuarios remotos a través de preguntas y respuestas secretas (también conocido como desafío-respuesta).
- Capacidad para aprovechar las credenciales existentes.
- KBA (Knowledge Based Authentication) dinámico a través de bases de datos de terceros (por ejemplo, Equifax).
- Soporte para certificados digitales.
- Capacidad para cargar imágenes como parte de una transacción de firma electrónica, por ejemplo, foto de un carné de conducir.
- La capacidad de configurar diferentes métodos de autenticación dentro de la misma transacción.
- Flexibilidad para adaptar los métodos de autenticación al perfil de riesgo de tu organización y para automatizar cada proceso (por ejemplo, personalizar las preguntas de respuesta-desafío y la cantidad de preguntas según tus requisitos).
- Opciones flexibles para atribución de firma presencial, incluidas declaraciones juradas y contraseña en un SMS (PIN) enviada a un dispositivo móvil personal (verifica si la autenticación del usuario a través de SMS se incluye de forma gratuita).
Después de evaluar las capacidades de autenticación del usuario, el siguiente paso será verificar que el servicio de firma electrónica captura la autenticación como parte de la traza de auditoría del documento e integra la traza de auditoría en el documento firmado electrónicamente.
Firma Electrónica. Seguridad y Confianza
Establece confianza digital a través de la seguridad, autenticación, verificación y fiabilidad.
Traza de auditoría integrada
Los documentos firmados electrónicamente que pueden verificarse y archivarse independientemente del proveedor de firma electrónica proporcionan una capa adicional de seguridad. Mantengas o no una cuenta con el servicio de firma electrónica en el futuro, tus documentos no se verán afectados, ya que tú, tus clientes y otras partes interesadas no tenéis que conectaros a internet para acceder o verificar el documento firmado electrónicamente.
La única forma de lograr la independencia del proveedor es tener una solución que incorpore las firmas electrónicas, el sellado de tiempo y la traza de auditoría directamente en el documento. Esto crea un registro autónomo y transferible.
Qué buscar:
- Capacidad de verificar la autenticidad del documento independientemente del servicio de firma electrónica. Esto quiere decir que no necesitas preocuparte de si un enlace de verificación sigue siendo válido dentro de varios años o si dará un mensaje de error 404 «página no encontrada».
- Capacidad para indexar, almacenar y recuperar el documento firmado electrónicamente en el sistema de registro que elijas, no en el servicio de almacenamiento en la nube del proveedor. Esto te ayuda a cumplir con los requisitos de retención a largo plazo de tu organización.
Seguridad de documentos y firmas
Busca una solución de firma electrónica que empaquete y asegure el documento final firmado a través de una firma digital. La solución de firma electrónica debe aplicar la firma digital en dos niveles:
- A nivel de firma para evitar la manipulación de la firma en sí.
- A nivel de documento para evitar la manipulación del contenido del documento.
La seguridad de la firma digital une la intención de firma con la información acordada en el momento de la firma. También bloquea y protege de manipulaciones el documento firmado electrónicamente, por lo que los cambios no autorizados no pueden pasar desapercibidos.
Si bien los proveedores como DocuSign aplican una firma digital que funciona como el sobre de un documento (una vez que se han capturado todas las firmas), esta no es una práctica recomendada. Este enfoque deja el documento y las firmas desprotegidas mientras se completa el proceso y da como resultado una marca de fecha y hora incorrecta en firmas individuales. Si un firmante y un cofirmante firman electrónicamente un registro en dos días separados, necesitas que ese hecho se refleje en la traza de auditoría. La mejor práctica es aplicar el cifrado de firma digital a medida que se agrega cada firma electrónica al documento. Esto crea una traza de auditoría integral con la fecha y hora en que se realizó cada firma.
Qué buscar:
- El documento debe estar protegido con una firma digital.
- Cada firma debe estar asegurada con una firma digital.
- Una traza de auditoría integral debe incluir la fecha y hora de cada firma.
- La traza de auditoría debe estar integrada de forma segura en el documento.
- La traza de auditoría debe estar vinculada a cada firma.
- Posibilidad de verificar la validez del registro firmado sin conexión, sin ir a un sitio web.
- Firma en un clic y verificación de documentos.
- Posibilidad de descargar una copia verificable del registro firmado con la traza de auditoría.
- El documento debe ser accesible para todas las partes.
Traza de auditoría del proceso de firma
Cuando las compañías reguladas se someten a una auditoría de compliance, a menudo se les pide que prueben el proceso de negocio exacto que siguieron. Como parte de esto, los auditores también buscan un registro de cada vez que se tocan documentos clave, cuándo y por quién.
Recomendamos capturar una traza de auditoría integral del proceso de firma, ya que permite demostrar exactamente cómo un cliente completó una transacción en la web o mediante un dispositivo móvil. La mayoría de las soluciones de firma electrónica que hay en el mercado se quedan cortas cuando se demuestra el cumplimiento porque no tienen la capacidad de capturar un registro completo de las acciones del firmante.
Qué buscar:
Una solución que captura información sobre el proceso utilizado para capturar firmas incluye:
- Dirección IP.
- Marca de fecha y hora de todos los eventos.
- Todas las páginas web, documentos, revelaciones y otra información presentada.
- La cantidad de tiempo dedicado a revisar cada documento.
- Lo que cada parte reconoció, acordó y firmó.
- Todas las demás acciones tomadas durante la transacción.
Como parte de esto, verifica si tienes la capacidad de buscar, encontrar y reproducir el proceso de la traza de auditoría de una transacción específica para los auditores u otras partes interesadas del negocio con solo unos pocos clics.
Seguridad en la nube
Además de los criterios enumerados anteriormente, observa los protocolos que tiene un proveedor de firma electrónica para identificar y prevenir brechas de datos. Es importante conocer las prácticas de seguridad del proveedor, las certificaciones, el seguimiento de registros y la frecuencia de sus auditorías de seguridad. No prestar una especial atención a las prácticas y la infraestructura de seguridad de un proveedor podría exponernos a brechas de seguridad, incidentes de pérdida / fuga de datos u otros riesgos, como la insuficiente experiencia en seguridad en la nube.
Qué buscar:
- Verifica que la plataforma de firma electrónica utiliza un cifrado de datos sólido en tránsito y en destino, y almacena datos dentro de un volumen de base de datos cifrado para garantizar un canal cifrado para todas las comunicaciones.
- Un proveedor que se asocia con proveedores de servicios de infraestructura en la nube presente en el mundo entero, como Amazon Web Services, IBM SoftLayer o Microsoft Azure. Estos proveedores en la nube están diseñados y administrados de acuerdo con las mejores prácticas de seguridad y cumplen con una variedad de estándares regulatorios, industriales y de IT para la seguridad y protección de datos, que incluyen: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, y muchos más.
- Además de aprovechar los proveedores de servicios en la nube que siguen programas y marcos de cumplimiento para la seguridad y la protección de datos a nivel de data center, asóciate con un proveedor que cumpla con los requisitos adicionales de control de seguridad y cumplimiento en la capa de aplicación. Esto garantiza que la solución de firma electrónica es segura y que los datos del cliente están protegidos.
- Data centers globales para satisfacer los requisitos de residencia de datos en el país.
Para obtener más información sobre nuestras certificaciones y garantías, visita el Centro de Confianza de OneSpan, proveedor de firma electrónica con el que trabaja MailTecK & Customer Comms, o descarga el documento técnico que te ayudará a identificar los requisitos de seguridad para evaluar soluciones de firma electrónica.
¿Cuál es la lista definitiva para la verificación de seguridad de firma electrónica?
- Autenticación de usuario
- Traza de auditoría integrada
- Seguridad de documento y firma
- Traza de auditoría del proceso de firma
- Seguridad en la nube
[1] Gartner, Inc., la certificación SOC podría ser garantía de seguridad … o podría no serlo
Contenido extraído de OneSpan