Suppongo ora che stai parlando di documenti che il cliente firma e ti invia, come un ordine o una richiesta di servizio medico:
La maggior parte delle soluzioni che ho visto in questo caso coinvolge la firma esterna. Ergo, non si firma utilizzando le funzioni di firma PDF, ma, invece, si firma l'intero file come un oggetto dati opaco.
Il motivo è che la firma in PDF richiede una CA valida o una CA "home-brew" importata per consentire al lettore PDF di vedere la firma come autentica.
Qui in Svezia, quando si effettuano servizi medici, si compila il modulo PDF (o modulo web o altro), quindi lo si carica al servizio medico. Quindi usi un ID elettronico, qui in Svezia è chiamato "Mobilt BankID" (app Mobile ID) ma non so davvero cosa usi nel tuo paese, per firmarlo.
E al momento della firma, in pratica si prende l'hash del file (SHA-1) e si invia al servizio di firma elettronica. Per esempio:
"Firma il file form_2016-11-11_00: 05.pdf con il valore di validazione SHA1 5C: 1C: 2D ... (resto dell'hash SHA-1)"
Quindi risparmi in modo efficace la firma che ottieni dal servizio di identificazione elettronica, insieme al PDF.
Se vengono visualizzati dubbi di manomissione, è possibile mostrare che l'hash del file PDF ricevuto corrisponde all'hash all'interno del messaggio di firma dell'ID elettronico e che la firma del messaggio corrisponde alla firma effettiva.
Si noti che non è possibile manomettere il file PDF, ad esempio aggiungere note e così via. Se è necessario aggiungere contenuto al PDF, è necessario copiare il PDF in un nuovo file, a cui è possibile aggiungere note.
Anche se la maggior parte degli utenti non capisce come verificare che l'hash corrisponda al PDF quando riceve il messaggio sullo schermo "per firmare un file con hash XX: XX: XX ....", non importa. È sufficiente che alcuni utenti capiscano come verificarlo per rendere la manomissione un rischio di rilevamento troppo alto per un utente malintenzionato.
Ci deve essere una soluzione ufficiale (come un ID elettronico governativo o qualcosa di simile) inteso per l'utilizzo da parte dei clienti, che è OK da usare secondo HIPAA o DPA.
Tuttavia, se si sta per firmare i documenti che si stanno inviando al cliente, è sufficiente acquistare un certificato destinato alla firma del documento. Quindi si utilizzano gli strumenti di firma PDF per firmare il PDF.
Il PDF può quindi essere visualizzato su qualsiasi computer e, se il software PDF supporta le firme digitali, la firma verrà convalidata automaticamente. Il cliente NON ha bisogno di installare alcun software personalizzato.