I servizi di firma dei documenti violano qualsiasi regola esponendo le PII tramite e-mail trasparente?

Un servizio di firma di un documento non elabora i dati contenuti nel documento che sta firmando. In teoria, il servizio di firma è completamente inconsapevole del contenuto. Tutto ciò che fa è elaborare i metadati nel loro insieme al fine di fornire un servizio.

Da questo punto di vista, il fatto che un determinato documento contenga informazioni personali non è sotto il loro controllo e pertanto non hanno infranto regole o regolamenti. Spetta al cliente che ha scelto il servizio, e quindi il processo, assicurarsi che il processo sia appropriato per i dati da elaborare.

Come puoi immaginare, c'è un sacco di responsabilità per il "buck passing", ma devi informare chi ha scelto il servizio sull'impatto della loro scelta.

Nota, lavoro per DocuSign.

Le risposte di Lie Ryan e schroeder sono incentrate sugli aspetti "puri" di un servizio di firma, che è responsabile della sola firma, in senso stretto.

Tuttavia, i servizi di firma possono offrire un prodotto più ampio che include servizi aggiuntivi. Ad esempio, la mia azienda, DocuSign, offre " Funzione di visualizzazione nascosta ". Consulta la Guida rapida . I campi dati che dovrebbero essere nascosti sono mostrati come asterischi. I dati possono essere recuperati, ma non è mostrato.

È responsabilità del mittente contrassegnare i campi dati come "nascosti". Questo può essere fatto tramite lo strumento di amministrazione del browser web o tramite l'API.

Impostazione di un campo su "nascosto"

Visualizzazionediuncamponascosto

Come la maggior parte degli altri utenti qui, non penso che il servizio di firma sia in alcun caso qui.

Il servizio di firma fornisce un determinato flusso di lavoro, che è lo stesso per tutti i documenti, indipendentemente dal fatto che contenga informazioni personali o meno. Per il servizio di firma, il documento firmato è solo un blob. Non hanno idea se un documento contenga contratti aziendali, PII, documenti top secret o alcune fan sfegatate che hai scritto durante il fine settimana.

È responsabilità di chi ti ha chiesto di firmare questo documento per scegliere il meccanismo di firma che soddisfi la loro responsabilità di proteggere i dati privati dei propri clienti o di scegliere quali dati incorporare nel documento che deve essere firmato. In questo caso, scelgono un servizio che non è progettato per proteggere adeguatamente i dati sensibili, al livello necessario per il loro documento.

Inoltre, solo perché il documento viene inviato tramite e-mail non significa necessariamente che sia stato inviato in chiaro. Le comunicazioni tra server di posta e server di posta sono spesso crittografate e tu sei quindi responsabile dell'ultimo hop di configurazione per accedere alla tua posta elettronica tramite IMAP / POP con TLS o tramite client webmail HTTPS.

A seconda della sensibilità del documento, l'impostazione di GPG o S / MIME in modo che possano inviarti e-mail cifrate end-to-end potrebbe non essere appropriata allo scopo. Parte del motivo per cui il servizio di firma online è popolare è perché sono molto più facili da utilizzare rispetto alla necessità di impostare correttamente la coppia di chiavi GPG / x509. E se devi impostarli per utilizzare comunque il servizio di firma dei documenti, puoi anche saltare gli intermediari e firmare personalmente il documento con questi certificati.