I servizi di firma dei documenti violano qualsiasi regola esponendo le PII tramite e-mail trasparente?

5

Una società mi ha inviato un documento da firmare tramite CudaSign, l'ho fatto.

Non appena ho completato la transazione, ho ricevuto un PDF via email con il documento allegato. Il documento include il mio SSN. Presumo, il mittente ha anche ottenuto il documento tramite allegato PDF.

L'invio di un PDF con SSN via email non è sicuro, e questa pratica non dovrebbe essere interrotta? Non sono esposti gli utenti finali (io in questo caso)? C'è qualche azione consigliata?

Per chiarire:

  • Il PDF viene inviato automaticamente dal fornitore di servizi in questo caso come un passaggio di "conferma". Non dal mittente o dalla parte che firma il documento.
posta csmba 10.04.2016 - 19:43
fonte

3 risposte

3

Un servizio di firma di un documento non elabora i dati contenuti nel documento che sta firmando. In teoria, il servizio di firma è completamente inconsapevole del contenuto. Tutto ciò che fa è elaborare i metadati nel loro insieme al fine di fornire un servizio.

Da questo punto di vista, il fatto che un determinato documento contenga informazioni personali non è sotto il loro controllo e pertanto non hanno infranto regole o regolamenti. Spetta al cliente che ha scelto il servizio, e quindi il processo, assicurarsi che il processo sia appropriato per i dati da elaborare.

Come puoi immaginare, c'è un sacco di responsabilità per il "buck passing", ma devi informare chi ha scelto il servizio sull'impatto della loro scelta.

    
risposta data 10.04.2016 - 20:32
fonte
2

Nota, lavoro per DocuSign.

Le risposte di Lie Ryan e schroeder sono incentrate sugli aspetti "puri" di un servizio di firma, che è responsabile della sola firma, in senso stretto.

Tuttavia, i servizi di firma possono offrire un prodotto più ampio che include servizi aggiuntivi. Ad esempio, la mia azienda, DocuSign, offre " Funzione di visualizzazione nascosta ". Consulta la Guida rapida . I campi dati che dovrebbero essere nascosti sono mostrati come asterischi. I dati possono essere recuperati, ma non è mostrato.

È responsabilità del mittente contrassegnare i campi dati come "nascosti". Questo può essere fatto tramite lo strumento di amministrazione del browser web o tramite l'API.

Impostazione di un campo su "nascosto"

Visualizzazionediuncamponascosto

    
risposta data 12.04.2016 - 13:22
fonte
0

Come la maggior parte degli altri utenti qui, non penso che il servizio di firma sia in alcun caso qui.

Il servizio di firma fornisce un determinato flusso di lavoro, che è lo stesso per tutti i documenti, indipendentemente dal fatto che contenga informazioni personali o meno. Per il servizio di firma, il documento firmato è solo un blob. Non hanno idea se un documento contenga contratti aziendali, PII, documenti top secret o alcune fan sfegatate che hai scritto durante il fine settimana.

È responsabilità di chi ti ha chiesto di firmare questo documento per scegliere il meccanismo di firma che soddisfi la loro responsabilità di proteggere i dati privati dei propri clienti o di scegliere quali dati incorporare nel documento che deve essere firmato. In questo caso, scelgono un servizio che non è progettato per proteggere adeguatamente i dati sensibili, al livello necessario per il loro documento.

Inoltre, solo perché il documento viene inviato tramite e-mail non significa necessariamente che sia stato inviato in chiaro. Le comunicazioni tra server di posta e server di posta sono spesso crittografate e tu sei quindi responsabile dell'ultimo hop di configurazione per accedere alla tua posta elettronica tramite IMAP / POP con TLS o tramite client webmail HTTPS.

A seconda della sensibilità del documento, l'impostazione di GPG o S / MIME in modo che possano inviarti e-mail cifrate end-to-end potrebbe non essere appropriata allo scopo. Parte del motivo per cui il servizio di firma online è popolare è perché sono molto più facili da utilizzare rispetto alla necessità di impostare correttamente la coppia di chiavi GPG / x509. E se devi impostarli per utilizzare comunque il servizio di firma dei documenti, puoi anche saltare gli intermediari e firmare personalmente il documento con questi certificati.

    
risposta data 11.04.2016 - 02:03
fonte

Leggi altre domande sui tag