Ninguna organización quiere tener cicatrices de seguridad. Es por eso que los departamentos de IT y de seguridad informática generalmente realizan procesos de due diligence en sus servicios de cloud hosting y a los proveedores de software para protegerse contra las brechas de datos, pérdida de datos, malware, virus y phishing y otras amenazas de seguridad. Para ayudar a defender tu organización, hemos compilado una lista de verificación de seguridad de firma electrónica específicamente para evaluar servicios de firma electrónica. Esta lista de verificación adopta un enfoque holístico de la seguridad. Recomendamos no solo observar la seguridad del servicio, sino también cómo se autentican los firmantes, el enfoque del proveedor para la seguridad de los documentos y firmas, así como la traza de auditoría asociada a la transacción digital.

Comunicaciones transaccionales en papel y digital al mismo tiempo

Autenticación de usuario

Las leyes de firma electrónica no dicen mucho cuando se trata de técnicas y tecnología de seguridad, pero la definición legal de una firma electrónica siempre incluye lenguaje sobre la identidad del firmante. Esto significa que necesitas:

  • Autenticar usuarios antes de firmar electrónicamente.
  • Asociar esa autenticación a la firma electrónica y al registro firmado electrónicamente.

Qué buscar:

  1. Una solución que admite múltiples métodos de autenticación como:
  • Autenticación de usuario remota a través de ID de usuario / contraseña.
  • Verificación de dirección de correo electrónico mediante invitación a sesión de firma electrónica.
  • Autenticación de usuarios remotos a través de preguntas y respuestas secretas (también conocido como desafío-respuesta).
  • Capacidad para aprovechar las credenciales existentes.
  • KBA (Knowledge Based Authentication) dinámico a través de bases de datos de terceros (por ejemplo, Equifax).
  • Soporte para certificados digitales.
  • Capacidad para cargar imágenes como parte de una transacción de firma electrónica, por ejemplo, foto de un carné de conducir.
  1. La capacidad de configurar diferentes métodos de autenticación dentro de la misma transacción.
  2. Flexibilidad para adaptar los métodos de autenticación al perfil de riesgo de tu organización y para automatizar cada proceso (por ejemplo, personalizar las preguntas de respuesta-desafío y la cantidad de preguntas según tus requisitos).
  3. Opciones flexibles para atribución de firma presencial, incluidas declaraciones juradas y contraseña en un SMS (PIN) enviada a un dispositivo móvil personal (verifica si la autenticación del usuario a través de SMS se incluye de forma gratuita).

Después de evaluar las capacidades de autenticación del usuario, el siguiente paso será verificar que el servicio de firma electrónica captura la autenticación como parte de la traza de auditoría del documento e integra la traza de auditoría en el documento firmado electrónicamente.

Firma Electrónica. Seguridad y Confianza

Establece confianza digital a través de la seguridad, autenticación, verificación y fiabilidad.

Descargar ahora

Traza de auditoría integrada

Los documentos firmados electrónicamente que pueden verificarse y archivarse independientemente del proveedor de firma electrónica proporcionan una capa adicional de seguridad. Mantengas o no una cuenta con el servicio de firma electrónica en el futuro, tus documentos no se verán afectados, ya que tú, tus clientes y otras partes interesadas no tenéis que conectaros a internet para acceder o verificar el documento firmado electrónicamente.

La única forma de lograr la independencia del proveedor es tener una solución que incorpore las firmas electrónicas, el sellado de tiempo y la traza de auditoría directamente en el documento. Esto crea un registro autónomo y transferible.

Qué buscar:

  • Capacidad de verificar la autenticidad del documento independientemente del servicio de firma electrónica. Esto quiere decir que no necesitas preocuparte de si un enlace de verificación sigue siendo válido dentro de varios años o si dará un mensaje de error 404 «página no encontrada».
  • Capacidad para indexar, almacenar y recuperar el documento firmado electrónicamente en el sistema de registro que elijas, no en el servicio de almacenamiento en la nube del proveedor. Esto te ayuda a cumplir con los requisitos de retención a largo plazo de tu organización.

Seguridad de documentos y firmas

Busca una solución de firma electrónica que empaquete y asegure el documento final firmado a través de una firma digital. La solución de firma electrónica debe aplicar la firma digital en dos niveles:

  1. A nivel de firma para evitar la manipulación de la firma en sí.
  2. nivel de documento para evitar la manipulación del contenido del documento.

La seguridad de la firma digital une la intención de firma con la información acordada en el momento de la firma. También bloquea y protege de manipulaciones el documento firmado electrónicamente, por lo que los cambios no autorizados no pueden pasar desapercibidos.

Si bien los proveedores como DocuSign aplican una firma digital que funciona como el sobre de un documento (una vez que se han capturado todas las firmas), esta no es una práctica recomendada. Este enfoque deja el documento y las firmas desprotegidas mientras se completa el proceso y da como resultado una marca de fecha y hora incorrecta en firmas individuales. Si un firmante y un cofirmante firman electrónicamente un registro en dos días separados, necesitas que ese hecho se refleje en la traza de auditoría. La mejor práctica es aplicar el cifrado de firma digital a medida que se agrega cada firma electrónica al documento. Esto crea una traza de auditoría integral con la fecha y hora en que se realizó cada firma.

Qué buscar:

  • El documento debe estar protegido con una firma digital.
  • Cada firma debe estar asegurada con una firma digital.
  • Una traza de auditoría integral debe incluir la fecha y hora de cada firma.
  • La traza de auditoría debe estar integrada de forma segura en el documento.
  • La traza de auditoría debe estar vinculada a cada firma.
  • Posibilidad de verificar la validez del registro firmado sin conexión, sin ir a un sitio web.
  • Firma en un clic y verificación de documentos.
  • Posibilidad de descargar una copia verificable del registro firmado con la traza de auditoría.
  • El documento debe ser accesible para todas las partes.

Traza de auditoría del proceso de firma

Cuando las compañías reguladas se someten a una auditoría de compliance, a menudo se les pide que prueben el proceso de negocio exacto que siguieron. Como parte de esto, los auditores también buscan un registro de cada vez que se tocan documentos clave, cuándo y por quién.

Recomendamos capturar una traza de auditoría integral del proceso de firma, ya que permite demostrar exactamente cómo un cliente completó una transacción en la web o mediante un dispositivo móvil. La mayoría de las soluciones de firma electrónica que hay en el mercado se quedan cortas cuando se demuestra el cumplimiento porque no tienen la capacidad de capturar un registro completo de las acciones del firmante.

Qué buscar:

Una solución que captura información sobre el proceso utilizado para capturar firmas incluye:

  • Dirección IP.
  • Marca de fecha y hora de todos los eventos.
  • Todas las páginas web, documentos, revelaciones y otra información presentada.
  • La cantidad de tiempo dedicado a revisar cada documento.
  • Lo que cada parte reconoció, acordó y firmó.
  • Todas las demás acciones tomadas durante la transacción.

Como parte de esto, verifica si tienes la capacidad de buscar, encontrar y reproducir el proceso de la traza de auditoría de una transacción específica para los auditores u otras partes interesadas del negocio con solo unos pocos clics.

Seguridad en la nube

Además de los criterios enumerados anteriormente, observa los protocolos que tiene un proveedor de firma electrónica para identificar y prevenir brechas de datos. Es importante conocer las prácticas de seguridad del proveedor, las certificaciones, el seguimiento de registros y la frecuencia de sus auditorías de seguridad. No prestar una especial atención a las prácticas y la infraestructura de seguridad de un proveedor podría exponernos a brechas de seguridad, incidentes de pérdida / fuga de datos u otros riesgos, como la insuficiente experiencia en seguridad en la nube.

Qué buscar:

  • Verifica que la plataforma de firma electrónica utiliza un cifrado de datos sólido en tránsito y en destino, y almacena datos dentro de un volumen de base de datos cifrado para garantizar un canal cifrado para todas las comunicaciones.
  • Un proveedor que se asocia con proveedores de servicios de infraestructura en la nube presente en el mundo entero, como Amazon Web Services, IBM SoftLayer o Microsoft Azure. Estos proveedores en la nube están diseñados y administrados de acuerdo con las mejores prácticas de seguridad y cumplen con una variedad de estándares regulatorios, industriales y de IT para la seguridad y protección de datos, que incluyen: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, y muchos más.
  • Además de aprovechar los proveedores de servicios en la nube que siguen programas y marcos de cumplimiento para la seguridad y la protección de datos a nivel de data center, asóciate con un proveedor que cumpla con los requisitos adicionales de control de seguridad y cumplimiento en la capa de aplicación. Esto garantiza que la solución de firma electrónica es segura y que los datos del cliente están protegidos.
  • Data centers globales para satisfacer los requisitos de residencia de datos en el país.

Para obtener más información sobre nuestras certificaciones y garantías, visita el Centro de Confianza de OneSpan, proveedor de firma electrónica con el que trabaja MailTecK & Customer Comms, o descarga el documento técnico que te ayudará a identificar los requisitos de seguridad para evaluar soluciones de firma electrónica.

[1] Gartner, Inc., la certificación SOC podría ser garantía de seguridad … o podría no serlo

Contenido extraído de OneSpan