Há muitos benefícios a oferecer aos clientes, fornecedores e parceiros através da capacidade de utilizar assinaturas electrónicas, mas a segurança tem de continuar a ser o foco. As organizações que iniciam transacções com assinaturas electrónicas precisam de saber com quem estão a fazer negócios através de canais em linha e móveis.
De acordo com a Forrester Research, “as questões de autenticação estão a ser objeto de grande atenção. A crescente adoção e o aumento do valor das transacções realizadas eletronicamente conduziram a uma maior atenção à fraude, aos desafios legais e à validade da autenticação. Numa transação de assinatura eletrónica, a etapa de autenticação contribui para a aplicabilidade do documento assinado e valida que uma empresa está a transacionar com a pessoa correcta no processo de assinatura.
Enquanto organização, é necessário encontrar o equilíbrio certo entre a experiência do cliente e a segurança ao implementar a autenticação do utilizador. Isto garantirá taxas elevadas de conclusão de transacções e minimizará a frustração e o abandono do cliente devido a processos de autenticação complicados. Dependendo do caso de utilização e das suas necessidades de autenticação, a melhor abordagem é procurar um software de assinatura eletrónica que suporte uma vasta gama de métodos de autenticação para garantir a melhor experiência do utilizador e reduzir o risco de fraude. Além disso, deve certificar-se de que as opções de autenticação podem ser configuradas para satisfazer os requisitos do seu processo e canal de assinatura eletrónica. Por exemplo, um processo de assinatura eletrónica que ocorra presencialmente numa agência bancária ou com um agente de seguros utilizará frequentemente métodos de autenticação diferentes dos de uma transação remota.
A diferença entre identificação e autenticação
Os termos “identificação do utilizador” e “autenticação do utilizador” podem parecer semelhantes, mas na realidade têm significados diferentes.
A identificação do utilizador é o processo de apresentação e reivindicação de uma identidade. Este é o primeiro passo para determinar com quem se está a fazer negócio, pelo que ocorre naturalmente na primeira vez que duas partes entram numa transação. Um bom exemplo é um novo candidato que se dirige ao banco para abrir uma conta pela primeira vez. O candidato deverá fazer prova da sua identidade utilizando a carta de condução, o passaporte ou o bilhete de identidade. Para verificar a identidade de um novo candidato à distância através dos seus canais digitais, é necessário o seguinte
verificação da identidade digital
. Um serviço de verificação de identidade digital permite-lhe confirmar de forma rápida e segura que um “utilizador desconhecido” é quem diz ser, diretamente através do seu dispositivo móvel.
Uma vez confirmada a identidade do indivíduo, este torna-se um cliente ou “utilizador conhecido” e recebe normalmente credenciais para futuras transacções. A autenticação do utilizador é o processo de verificação dessas credenciais antes de dar acesso a um sistema, neste caso, o processo de assinatura eletrónica.
Métodos de autenticação de assinaturas electrónicas
Ao contrário de uma assinatura manuscrita, o OneSpan Sign, o fornecedor de assinaturas electrónicas com o qual a MailTecK & Customer Comms trabalha, oferece vários métodos de autenticação para garantir que apenas os signatários correctos acedem às suas transacções de assinatura eletrónica. Estes métodos de autenticação podem ser utilizados isoladamente ou em combinação para verificar a identidade de uma pessoa e criar uma transação de confiança.
O fluxo de trabalho da assinatura eletrónica
- Autenticação por correio eletrónico: o signatário recebe uma mensagem de correio eletrónico com uma ligação incorporada que o convida a aceder ao processo de assinatura. Depois de clicar na ligação, o signatário é autenticado. A autenticação de correio eletrónico estabelece uma ligação com o signatário devido ao facto de o endereço de correio eletrónico do signatário ser único.
- Credenciais de acesso (incluindo Single Sign-On):Os signatários podem ter acesso aos documentos depois de iniciarem sessão num portal em linha ou nos serviços da administração pública com um nome de utilizador e uma senha válidos. Utilizando o exemplo do portal bancário em linha, o cliente inicia sessão na sua conta e são-lhe apresentados os documentos a assinar eletronicamente no portal.
- OTP via SMS:um PIN único é gerado automaticamente e enviado para o telemóvel do signatário. O signatário introduz a assinatura numa página de início de sessão e obtém acesso aos documentos que requerem a assinatura.
- Pergunta de segurança (KBA estático): as perguntas de segurança são apresentadas ao signatário para autenticação antes de este poder visualizar o(s) documento(s) eletrónico(s). Estas perguntas são conhecidas como segredos partilhados porque o remetente precisa de saber algo sobre o signatário para criar estas perguntas. As perguntas e respostas são conhecidas de ambas as partes e previamente seleccionadas. As perguntas mais comuns incluem os últimos quatro dígitos do cartão de identificação ou do número de identificação da candidatura. O cliente deve responder corretamente a uma ou mais perguntas antes de lhe ser dado acesso à transação de assinatura eletrónica.
- Dynamic KBA:O OneSpan Sign pode ser integrado com serviços de verificação de identidade de terceiros, como o Equifax. O signatário é confrontado com perguntas geradas em tempo real para autenticar a sua identidade antes de assinar os documentos. Estas perguntas são geradas em tempo real, o que dificulta a resposta correcta de qualquer pessoa que não seja o próprio utilizador.
- Certificados digitais:O OneSpan Sign utiliza certificados digitais emitidos por fornecedores de serviços e autoridades de certificação de terceiros de confiança. Quando um certificado digital pessoal é utilizado para assinar eletronicamente um documento, o estado do certificado é verificado e os signatários devem passar os requisitos de autenticação combinando o certificado com um PIN ou uma palavra-passe. Ao utilizar um certificado digital emitido por um prestador de serviços de confiança qualificado, é criada uma assinatura eletrónica qualificada de acordo com os requisitos do regulamento eIDAS da União Europeia.
- Cartões inteligentes e credenciais obtidas: os funcionários públicos e os fornecedores necessitam de um cartão inteligente ou de credenciais móveis obtidas quando assinam eletronicamente. Os certificados digitais são armazenados em cartões inteligentes, tais como cartões de acesso comum e cartões de verificação de identidade pessoal. Trata-se de uma forma de autenticação multifatorial porque consiste em algo que o utilizador conhece (o PIN do cartão inteligente do utilizador), algo que o utilizador possui (o cartão inteligente) e, por vezes, até um identificador biométrico (algo que o utilizador é).
- Digipass®: a autenticação multifactor fornece um elemento de segurança em camadas, exigindo dois ou mais métodos de verificação antes de um signatário poder aceder e concluir a transação. O OneSpan Sign integra-se às soluções de autenticação multifator da OneSpan, como
Digipass
para facilitar a autenticação forte com senhas de uso único (OTP) e/ou criptogramas visuais durante a etapa inicial de autenticação do usuário e/ou no momento da assinatura. - Dados biométricos: Os dados biométricos são geralmente utilizados para transacções de alto risco e de elevado valor com clientes existentes. O OneSpan Sign pode ser combinado com o OneSpan
Mobile Security Suite
para tirar partido dos métodos de autenticação por impressão digital e reconhecimento facial para se autenticar antes de aceder a documentos que requerem a sua assinatura.
O OneSpan Sign é uma solução de assinatura eletrónica que oferece a flexibilidade para garantir os seus requisitos de autenticação para uma variedade de cenários de assinatura. Leia o nosso documento técnico sobre
Identificação e autenticação de utilizadores
para obter as melhores práticas sobre como selecionar os métodos de autenticação correctos para o seu caso de utilização de assinatura eletrónica.
Autenticação de utilizadores para assinaturas electrónicas
Saiba como selecionar os métodos de autenticação correctos para provar quem assinou.
Conteúdo extraído de
OneSpan
.