Ни одна организация не хочет иметь проблемы с безопасностью. Именно поэтому отделы ИТ и информационной безопасности обычно проводят тщательную проверку поставщиков облачного ПО для защиты от утечек данных, мошенничества с личными данными, фишинга, вредоносных программ, вирусов и других угроз безопасности.
Чтобы помочь защитить вашу организацию, клиентов и рабочие процессы, OneSpan составили контрольный список безопасности электронной подписи, специально предназначенный для оценки услуг электронной подписи. Этот контрольный список использует целостный подход к пониманию уровней безопасности. OneSpan рекомендует обратить внимание не только на безопасность услуги, но и на способы аутентификации подписывающих лиц, подход поставщика к обеспечению безопасности цифровых документов и подписей, использование «white labeling» для защиты от фишинговых атак, а также на аудиторский след, связанный с цифровой транзакцией.
Проверка подлинности и аутентификация личности
Законы об электронной подписи, такие как Закон ESIGN и UETA в США или регламент eIDAS в Европейском союзе, определяют типы электронных подписей, которые могут использоваться для подписания цифровых документов. Хотя в этих законах не так много говорится о конкретных методах и технологиях обеспечения безопасности, юридическое определение электронной подписи всегда включает формулировку, касающуюся идентификации подписывающего лица. Это ставит защиту личности на первое место среди приоритетов безопасности электронной подписи, поскольку существует юридическое требование связывать каждую подпись с человеком, ее поставившим.
В процессе заключения любого цифрового соглашения вы будете взаимодействовать как с неизвестными, так и с известными лицами. В первом случае требуются надежные меры для определения того, с кем вы ведете дела при первой операции. Во втором случае известным лицам предоставляются учетные данные, которые аутентифицируются до предоставления им доступа к церемонии подписания и электронным документам.
Проверка личности
В качестве альтернативы громоздким мерам по проверке личности при личном присутствии современные организации используют технологии, позволяющие проводить проверку личности удаленно и в режиме реального времени. Это не только сокращает количество шагов по сравнению с бумажными процессами, но и устраняет точки соприкосновения, где клиенты традиционно испытывали трудности и отказывались от услуг.
Чтобы обеспечить быстрое обслуживание клиентов в Интернете и одновременно установить доверие, наилучшие подходы к цифровой проверке личности сочетают в себе технологии проверки документов и распознавания лиц. Эти технологии позволяют в цифровом виде подтвердить личность подписанта по его государственному удостоверению личности, например, водительскому удостоверению, паспорту или национальному идентификатору.
Аутентификация пользователя
После подтверждения личности подписанта организации часто выпускают электронные учетные данные для облегчения последующих цифровых транзакций. В случае с существующими клиентами мы рекомендуем использовать уже выданные организацией учетные данные. Такие учетные данные не только надежны, если они использовались в течение длительного времени, но и избавляют клиента от необходимости создавать и запоминать еще один набор учетных данных.
Выбирайте решение для электронной подписи, которое может легко интегрироваться с широким спектром вариантов аутентификации на протяжении всего рабочего процесса электронной подписи. Хотя существует множество безопасных и удобных вариантов аутентификации подписывающих лиц в Интернете, главное – сделать это так, чтобы не ухудшить их восприятие. Поэтому следует искать решения для электронной подписи, которые предлагают варианты, наилучшим образом отвечающие потребностям подписывающих лиц во всех цифровых каналах, и, как следствие, обеспечивающие лучший опыт.
На что обратить внимание:
1. Решение, поддерживающее полный спектр вариантов подтверждения и аутентификации личности для защиты ваших клиентов и активов. Сюда входят такие методы, как:
- Удаленная проверка личности с использованием таких функций, как биометрические данные лица и алгоритмы искусственного интеллекта для выявления поддельных документов.
- Удаленная аутентификация пользователей с помощью идентификатора пользователя/пароля, одноразового кода (OTP) через SMS или секретных вопросов и ответов (т.е. вызов-ответ)
- Проверка адреса электронной почты через приглашение к сеансу электронной подписи
- Динамическая KBA через базы данных сторонних производителей (например, LexisNexis).
- Поддержка смарт-карт, таких как смарт-карты PIV и CAC, используемые правительством США.
- Поддержка цифровых сертификатов, например, выдаваемых поставщиком услуг доверия (отметим, что поддержка всех типов электронных подписей, особенно квалифицированных электронных подписей, особенно важна для организаций, ведущих бизнес в Европе).
2. Возможность настройки различных методов аутентификации для разных подписывающих лиц в рамках одной транзакции.
3. Гибкость, позволяющая адаптировать методы аутентификации к уровню риска бизнес-процессов по мере автоматизации (например, возможность настройки вопросов, отвечающих на вызов, и количества вопросов).
Защита документов и подписей
Ищите решение для электронной подписи, которое упаковывает и защищает конечный электронный документ с помощью технологии цифровой подписи. Цифровая подпись должна быть построена с использованием инфраструктуры открытых ключей (PKI). Решение для электронной подписи должно применять цифровую подпись на двух уровнях:
1. На уровне подписи для предотвращения фальсификации самой подписи.
2. На уровне документа для предотвращения подделки содержимого документа.
Использование средств защиты цифровой подписи позволяет связать намерение подписать документ с информацией, которая была согласована в момент подписания. Кроме того, электронная подпись блокирует и защищает документ от несанкционированного вмешательства, поэтому несанкционированные изменения не могут пройти незамеченными. Это значительно лучше, чем мокрые подписи или рукописные подписи на бумаге.
Хотя некоторые поставщики применяют электронную подпись в качестве конверта к документу (после того как все подписи уже собраны), такой подход не рекомендуется для подписания документов. При таком подходе документ и подписи остаются незащищенными на время выполнения процесса, а на отдельных подписях ставится неправильная дата и время. Если подписант и соподписант подписывают документ в два разных дня, необходимо, чтобы эта история была отражена в журнале аудита. Лучшей практикой является применение цифровой подписи при добавлении каждой электронной подписи в документ. В этом случае создается полный аудиторский след с указанием даты и времени применения каждой подписи.
На что следует обратить внимание:
- Каждая подпись должна быть защищена цифровой подписью.
- Полный контрольный журнал должен включать дату и время каждой подписи.
- Контрольный журнал должен быть надежно встроен в документ.
- Журнал аудита должен быть связан с каждой подписью.
- Возможность проверки достоверности подписанной записи в автономном режиме, без посещения веб-сайта.
- Проверка подписи и документа одним щелчком мыши.
- Возможность загрузить проверяемую копию подписанной записи с аудиторским следом.
- Документ должен быть доступен для всех сторон.
После оценки функциональности защиты документов и подписей следующим шагом будет проверка того, что служба электронной подписи фиксирует все в едином контрольном журнале и встраивает этот журнал в подписанный документ.
Аудиторский след
Когда компании, работающие в сфере регулирования, проходят проверку на соответствие нормативным требованиям, от них часто требуется доказать, какой именно бизнес-процесс они выполняли. При этом аудиторы также ищут записи о том, когда и кто прикасался к ключевым документам.
OneSpan рекомендует фиксировать полный аудиторский след процесса подписания, поскольку это позволит вам продемонстрировать, как именно клиент совершил транзакцию в Интернете или с помощью мобильного устройства или мобильного приложения.
На что обратить внимание:
Ищите единый унифицированный журнал аудита, в котором фиксируются поэтапные события проверки личности, аутентификации и электронной подписи в процессе транзакции. В него должны входить:
- Метод и устройство, использованное для идентификации или аутентификации каждого участника.
- IP-адрес каждого участника.
- Дата и время всех событий.
- Все представленные веб-страницы, документы, раскрытия и другая информация.
- Продолжительность ознакомления с каждым документом.
- Что каждая сторона признала, с чем согласилась и что подписала.
- Все другие действия, предпринятые в ходе транзакции, такие как неудачные попытки аутентификации (если таковые имели место) и отредактированные поля данных.
Кроме того, OneSpan рекомендует использовать программное обеспечение для электронной подписи, которое встраивает контрольный журнал непосредственно в подписанный документ для удобства проверки и хранения. Подписанные электронной подписью документы, которые можно проверить и архивировать независимо от поставщика электронной подписи, обеспечивают дополнительный уровень безопасности. Независимо от того, поддерживаете ли вы в будущем учетную запись в службе электронной подписи или нет, ваши документы не пострадают, поскольку вам, вашим клиентам и другим заинтересованным сторонам не придется выходить в Интернет для доступа или проверки подписанного электронной подписью документа.
Единственный способ добиться независимости от поставщика – это использовать решение, которое встраивает электронные подписи, отметки времени и аудиторский след непосредственно в документ. Таким образом, создается автономная переносимая запись.
Помимо того, что это значительно облегчает последующие проверки, такие записи аудита обеспечивают дополнительную защиту в случае возникновения спорных ситуаций. Помните, что в такой ситуации побеждает лучшее доказательство. Особенно важно записывать, как каждый подписант идентифицировался/ аутентифицировался до получения доступа к процессу подписания, поскольку по закону каждая подпись должна быть связана с конкретным человеком.
White Labeling для обеспечения безопасности электронной подписи
White labeling (индивидуальный брендинг) имеет большое значение по двум причинам.
1. Он создает для подписывающего беспрепятственный опыт. Начиная с первого письма с приглашением и заканчивая процессом подписания, подписывающее лицо взаимодействует только с вашим брендом, а не с брендом поставщика электронной подписи. Это укрепляет доверие клиентов и приводит к повышению коэффициента заполнения.
2. Помогает предотвратить фишинговые атаки. Фишинг – одна из наиболее успешных тактик кражи учетных данных. В то время как организации добавляют все новые уровни корпоративной безопасности, фишинговые атаки продолжают сеять хаос, поскольку объектом атаки являются люди, а не системы. Так, электронные письма, генерируемые известными поставщиками электронных подписей, стали мишенью для подделок, направленных на то, чтобы обманом заставить людей сообщить учетные данные.
Недавно исследователи безопасности из компании Armorblox обнаружили фишинговую схему, которая подменяла обычное письмо с рабочим процессом от ведущего поставщика электронных подписей. Вредоносное письмо обходило облачные и внутренние решения по защите электронной почты и атаковало тысячи пользователей в различных организациях.
Используя решение для электронной подписи с white-labeled, такое как OneSpan Sign, ваше предприятие может поставить свой собственный бренд на первое место, ограничив привлекательность для потенциальных мошенников. Настраивая содержание, цвета, логотип и другие элементы своих электронных писем, вы можете создать уникальный стиль, который потребует слишком много индивидуальных усилий, чтобы фишеры могли его использовать.
На что следует обратить внимание:
Решение для электронной подписи, которое позволяет:
- Интегрировать с собственными почтовыми серверами, чтобы электронные подписи отправлялись с вашего домена (например, @yourcompany.com).
- Настраивать содержание и внешний вид уведомлений по электронной почте.
- Настраивать цвета, логотип, заголовки, панели навигации, нижние колонтитулы
- Настраивать диалоговые окна и сообщения об ошибках
Безопасность облачных вычислений
В дополнение к перечисленным выше критериям следует обратить внимание на протоколы, используемые поставщиком электронной подписи для выявления и предотвращения утечек данных. Важно понять, какие методы обеспечения безопасности применяются поставщиком, каковы его сертификаты, каков его послужной список и как часто он проводит аудиты.
Проведение комплексного анализа методов обеспечения безопасности и инфраструктуры поставщика может выявить случаи нарушения конфиденциальности, потери/утечки данных и другие риски, связанные с безопасностью данных.
На что обратить внимание:
Решение, позволяющее собирать информацию о процессе подписания, в том числе:
- Убедитесь, что платформа электронной подписи использует надежное шифрование данных при передаче и в состоянии покоя, а также хранит данные в зашифрованном объеме базы данных с использованием надежной криптографии для обеспечения безопасного канала связи.
- Поставщик, сотрудничающий с поставщиками услуг облачной инфраструктуры мирового класса, такими как Amazon Web Services, IBM Cloud или Microsoft Azure. Эти провайдеры разработаны и управляются в соответствии с лучшими практиками безопасности и соответствуют различным нормативным, отраслевым и ИТ-стандартам безопасности и защиты данных, включая: ISO 27001, SOC 2, SOC 3, HIPAA, FIPS 140-2, FISMA и многие другие.
- Помимо уровня центра обработки данных, ищите поставщика, который отвечает дополнительным требованиям по контролю безопасности и соблюдению нормативных требований на уровне приложений. Это гарантирует безопасность решения для электронной подписи и защиту данных клиента.
- Глобальные центры обработки данных, удовлетворяющие требованиям к резидентности данных в стране.
Безопасность электронной подписи для надежных цифровых соглашений
Компания OneSpan обладает 30-летним опытом в области кибербезопасности и предлагает решения для электронной подписи и аутентификации, обеспечивающие прозрачную безопасность во всех цифровых и мобильных каналах. Эта система безопасности органично встраивается в современные цифровые рабочие процессы, обеспечивая наилучший опыт работы с клиентами и высокий процент выполнения соглашений.
OneSpan поможет вам обеспечить безопасность ваших цифровых соглашений, предоставляя вашим клиентам надежный и приятный опыт, независимо от типа использования, канала или географии — сегодня и в будущем.
