Come la maggior parte degli altri utenti qui, non penso che il servizio di firma sia in alcun caso qui.
Il servizio di firma fornisce un determinato flusso di lavoro, che è lo stesso per tutti i documenti, indipendentemente dal fatto che contenga informazioni personali o meno. Per il servizio di firma, il documento firmato è solo un blob. Non hanno idea se un documento contenga contratti aziendali, PII, documenti top secret o alcune fan sfegatate che hai scritto durante il fine settimana.
È responsabilità di chi ti ha chiesto di firmare questo documento per scegliere il meccanismo di firma che soddisfi la loro responsabilità di proteggere i dati privati dei propri clienti o di scegliere quali dati incorporare nel documento che deve essere firmato. In questo caso, scelgono un servizio che non è progettato per proteggere adeguatamente i dati sensibili, al livello necessario per il loro documento.
Inoltre, solo perché il documento viene inviato tramite e-mail non significa necessariamente che sia stato inviato in chiaro. Le comunicazioni tra server di posta e server di posta sono spesso crittografate e tu sei quindi responsabile dell'ultimo hop di configurazione per accedere alla tua posta elettronica tramite IMAP / POP con TLS o tramite client webmail HTTPS.
A seconda della sensibilità del documento, l'impostazione di GPG o S / MIME in modo che possano inviarti e-mail cifrate end-to-end potrebbe non essere appropriata allo scopo. Parte del motivo per cui il servizio di firma online è popolare è perché sono molto più facili da utilizzare rispetto alla necessità di impostare correttamente la coppia di chiavi GPG / x509. E se devi impostarli per utilizzare comunque il servizio di firma dei documenti, puoi anche saltare gli intermediari e firmare personalmente il documento con questi certificati.