I documenti sono veramente "firmati" da DocuSign?

Una firma è, in definitiva, un concetto legale. Quando firmi un documento, stai davvero producendo una pistola legale mirata alla tua testa (quindi di solito vuoi che altre persone firmino le cose, non firmarle tu stesso). Il valore di una firma deriva dal suo potere legale, cioè quanto permetterà di applicare la responsabilità e la colpa al firmatario. Gli elementi crittografici (RSA e così via) sono solo strumenti che possono aiutare a costruire il lato tecnico delle cose, ma ciò non può essere sufficiente. In definitiva, ci deve essere una sorta di quadro legale che definisce le firme.

Ovviamente, questo dipenderà dalla giurisdizione. Tuttavia, i paesi / stati che stanno attualmente definendo le leggi per le firme elettroniche tendono a seguire le stesse linee:

• Una firma è vincolante purché sia stata effettivamente firmata dal presunto firmatario. Questo sembra tautologico, ma è una definizione importante: in realtà dice che il valore legale della firma non è intrinseco a una tecnologia specifica. Scrivi il tuo nome alla fine di una email è una firma.

• Ciò che conta è l'onere della prova . Normalmente le strutture segregano i sistemi in due categorie: quelli per cui le firme sono reputate buone, ed è la parte che nega di aver firmato chi deve fare tutto il lavoro di correzione; e quelli per cui le firme sono reputate inutili a meno che non venga mostrata una prova positiva di attribuzione al presunto firmatario. "Nome alla fine di un'email" appartiene a quest'ultima categoria; una prova positiva può essere semplicemente un testimone che ha visto il firmatario digitare l'email.

• Il riferimento per le firme sono le firme scritte a mano, che sono, tecnicamente parlando, assolutamente terribili. Sono difficili da convalidare e possono essere falsificati. Le firme manoscritte sono ancora utilizzate grazie a un quadro legale che punisce severamente chiunque neghi la propria firma. Dal momento che le firme autografe si verificano nel mondo fisico, l'atto stesso di firmare (con una penna) lascia molte tracce (testimoni e così via) così tante persone alla fine scoprono che ripudiare le proprie firme è troppo rischioso.

• Un'ulteriore complicazione è che i sistemi legali della tradizione "Common Law" tendono a fare affidamento sulla giurisprudenza per appianare i minimi dettagli, quindi paesi come Stati Uniti e Regno Unito avranno probabilmente quadri legali per le firme che si riducono a " aspetta e vedi "(" ci vediamo in tribunale ", intendo).

In Francia (che ha un sistema legislativo molto "latino" che ama le definizioni rigorose precostituite, stile Descartes), il quadro legale definisce i sistemi che sono qualifiés , con il quale significano che hanno attraversato audit indipendenti e un processo amministrativo che ha tutta la semplicità che ci si può aspettare dalla burocrazia francese, nel senso che per questi sistemi l'onere della prova incombe su chiunque affermi che la firma non è vincolante. L'elenco delle systèmes qualifiés è pubblicato e vedo no DocuSign lì [modifica: a partire dal 21 luglio 2017, DocuSign France è ora elencato].

DocuSign ha una pagina dedicata al lato della legalità delle cose - che è infatti molto più importante della tecnologia. In particolare, dicono questo:

While DocuSign has a successful history of providing customers with all the evidence they need to defend their documents against repudiation, DocuSign is available to assist our customers with legal challenges by testifying in court to support the validity of DocuSigned documents.

che implicitamente ammette che il loro sistema tende ad essere di tipo "deve dimostrare validità", cioè non quello che vorresti - ma affermano di aver avuto buoni risultati in alcuni tribunali, e che ti aiuteranno. A quel punto, direi che se vuoi usare DocuSign per far firmare i tuoi clienti / partner commerciali, faresti meglio ad assicurarti che ci siano clausole appropriate nel tuo contratto che assicurino un strong livello di aiuto da DocuSign, con assicurazione e così via. Il tuo team di avvocati dovrebbe essere coinvolto.

Vedi link per una spiegazione eccezionale di come funziona effettivamente DocuSign, incluso il loro uso o crittografia (o la sua mancanza). In breve, DocuSign funziona fondamentalmente come "testimone" per attestare che qualcuno con accesso a un determinato account di un utente ha accettato i termini di un determinato documento. Sebbene DocuSign ricorra all'utilizzo della crittografia nei loro materiali di marketing, la crittografia in realtà non svolge un ruolo fondamentale nel processo di "firma".

1: lo cripti con la tua chiave pubblica e lo decifri con la tua chiave privata. Firmi con la tua chiave privata che viene verificata con la tua chiave pubblica. NOTA: non inviare mai la tua chiave privata da nessuna parte!

Non vedo alcun modo per ottenere la chiave pubblica di DS, il che non ha senso. Non c'è motivo di nasconderlo.

2: non richiede la verifica dell'identità del firmatario. La pagina di DocuSign al link sembra strong, ma un avvocato esperto la distruggerebbe in breve tempo. Nello specifico, rivendicano il non-ripudio "ammissibile al tribunale" per:     Firma i nomi delle parti     Firme digitali     Indirizzi email     Indirizzi IP pubblici     Ubicazione della firma (se fornita)     Catena di custodia (inviata, visualizzata, firmata, ecc.)     timestamps Il problema è che tutti questi possono essere facilmente falsificati con l'eccezione dei timestamp, che senza il resto sono inutili.

3: Hai ragione. Nota che non convalidano la tua identità, né firmano la tua chiave. Non usano la tua chiave pubblica né ti permettono di firmare con la tua chiave privata. È tutto apparentemente del loro, che non è affatto buono.

4: Non mi piace neanche quello. Mi rifiuto di consentire che la mia firma scritta venga allegata a un'e-mail non protetta.

Sei davvero sopra questo. È un po 'fasullo per le persone che non conoscono meglio. È legittimo? È un business legittimo, che esegue quelli che sembrano servizi di firma digitale di alta qualità. Certo, è molto meglio di quelle soluzioni che si basano solo su una firma grafica. È un passo nella giusta direzione. Ma c'è molto da diffidare e spero che lo risolvano presto (improbabile).

Mi è stato chiesto di 'firmare' un documento DocuSign e anch'io sono stato confuso dal processo.

In Canada, la firma digitale è coperta, per quanto posso dire, dal PIPEDA (Legge sulla protezione dei dati personali e sui documenti elettronici). Da una copia aggiornata al 26 ottobre 2016, la sezione "Firma elettronica sicura" afferma che:

Il Governatore in Consiglio può prescrivere una tecnologia o un processo solo se il Governatore in Consiglio è soddisfatto che si può dimostrare che

(a) la firma elettronica risultante dall'uso da parte di una persona della tecnologia o del processo è esclusiva della persona; (b) l'uso della tecnologia o del processo da parte di una persona per incorporare, allegare o associare la firma elettronica della persona a un documento elettronico è sotto il solo controllo della persona ;

(c) la tecnologia o processo può essere utilizzata per identificare la persona che utilizza la tecnologia o il processo ; e

(d) la firma elettronica può essere collegata a un documento elettronico in modo tale da poter essere utilizzata per determinare se il documento elettronico è stato modificato da quando la firma elettronica è stata incorporata in , allegato o associato al documento elettronico.

I punti chiave, se sono corretto qui e se sei in Canada, è: il processo deve essere sotto il controllo completo / esclusivo della persona che sta firmando, la firma può essere ricondotta a te e la stessa firma deve essere in grado di mostrare che il documento non è stato modificato.

Quindi, DocuSign sta effettivamente facendo la firma digitale, non tu / io.

Non capisco come, ad esempio, non creando un account con Docusign, non generando una coppia di chiavi PKI autofirmata da te stesso , DocuSign pensa che questo si qualifica come "sotto il unico controllo della persona ". Anche tutte le altre obiezioni sollevate qui mi hanno turbato. Almeno la miseria ha compagnia, eh.

La risposta tecnica è coperta da varie risposte sopra. La firma si basa su una catena di fiducia che collega DocuSign PKI con fiducia nella loro capacità di affermare la propria identità attraverso il framework di autenticazione DocuSign. Per illustrare il punto, gli scenari sottostanti utilizzano lo stesso meccanismo di base per fornire livelli crescenti di fiducia nella firma, e quindi il grado in cui la loro firma si sarebbe alzata in tribunale.

1. Firma PKI DocuSign basata su un indirizzo email convalidato. Come per il mittente originale questo è probabilmente un livello di fiducia debole perché le loro sono poche garanzie se l'indirizzo di posta elettronica utilizzato per convalidare l'identità di DocuSign può essere associato a una persona reale.

2. PUK DocuSign basato sull'autenticazione SSO (Single Sign-On) aziendale. La maggior parte delle organizzazioni utilizza SSO per stabilire un livello di riservatezza (ad esempio, la testimonianza) che un utente nei propri sistemi aziendali è chi dice di essere ad es. I processi HR aiuteranno a stabilire un legame tra una persona reale e la loro identità sui sistemi aziendali, e quindi il collegamento tra un'identità DocuSign e l'identità SSO utilizzata per autenticarla. DocuSign codifica questo nella loro firma PKI (DocuSign utente X ha firmato il documento Y in Z) e ti ha dato fiducia in DocuSign per verificare che l'utente possa fidarsi di chi ha detto di essere.

3. PUK di DocuSign basato su SSO organizzativo con autenticazione a più fattori. Come sopra, questo fornisce un strong legame tra un'identità fisica reale e l'identità verificata SSO aziendale e l'identità DocuSign associata che viene successivamente codificata nella firma digitale di DocuSign (ad esempio, l'utente X di DocuSign ha firmato un documento alla data Y). L'autenticazione a più fattori offre un ulteriore livello di sicurezza nel fatto che l'utente che autentica in DocuSign è chi dice di essere, cioè non è solo un hacker che ha hackerato a distanza un account aziendale.

Quindi, in base a questo - e coprendo esplicitamente i tuoi punti:

1. È un po 'mancante il punto - poiché è la capacità di Docusign di identificare gli utenti e mantenere la propria PKI sicura che è la base della fiducia nelle loro firme.

2. Sono d'accordo con te. Non tutte le identità di DocuSign sono uguali e la fiducia si basa su fattori come l'autenticazione. Vale la pena notare che nel nostro caso d'uso proposto stiamo migliorando ulteriormente la sicurezza attraverso più firme, vale a dire che è possibile che l'utente X nell'organizzazione abbia fatto hackerare la sua identità elettronica, ma è molto meno probabile che tutte e tre le firme richieste per la firma di un documento siano state compromesse.

3. In definitiva tutte le firme sono basate sulla fiducia: fiducia in una singola entità o fiducia in una catena di entità. Ad esempio, tutti i sistemi basati su PKI sono basati sulla fiducia nelle CA radice. Direi che avere una società controllata esternamente, con un strong impegno alla divulgazione, è altrettanto affidabile di quanto si possa ottenere. La fiducia deriva dal fatto che il valore di un'impresa sparirebbe quasi certamente se venissero scoperti o avessero violazioni della sicurezza. Hai seguito cosa è successo a RSA in seguito alle loro violazioni? Non è che tu abbia completa fiducia in DocuSign, ma ti fidi di loro relativamente ad altre opzioni. Come altri hanno detto - come sai che la firma bagnata su cui stai facendo affidamento è degna di fiducia?

4. La firma autografa è un piacere per gli occhi. Se apri un PDF firmato, sarai in grado di convalidare la firma digitale in base alla catena di attendibilità della CA principale che ha firmato la chiave di firma di DocuSign.

Ma la convalida della tua identità è più legata al lavoro notarile, non al diritto contrattuale. Non registro la maggior parte dei contratti che firmo, ma sono ancora legalmente vincolanti. E nessuno con cui firmo contratti mi ha mai chiesto di identificarmi positivamente al di fuori di contratti o applicazioni notarili. Diamine ... una stretta di mano può essere legalmente vincolante senza ID positivo. Ciò di cui hai bisogno per la prova è la testimonianza del fatto che ti ho stretto la mano. Contratti come il testamento di solito avranno un testimone firmatario per questo motivo. Nessuno chiede un notaio su un testamento, ma chiedono la testimonianza.