che tipo di firma richiedere in un ambiente medico B2C

5

Non riesco a trovare ciò che è una pratica standard in materia di firma / convalida dei file pdf in un ambiente medico B2C. (La pratica di un chiropratico conta come medica, vero?)

Trovo abbastanza su come includere i campi firma che richiedono certificati e un sacco di piccoli programmi e istruzioni su come orientarsi verso gli utenti finali. Tuttavia, per quanto ne so, la maggior parte delle persone non ha la minima idea di come generare il proprio certificato, e sarebbe spaventato da tale requisito. Non sono nemmeno entusiasta di chiedere ai clienti di scaricare un programma possibilmente dubbio per firmarlo.

L'unica cosa che sono stato in grado di trovare anche avvicinandomi alla disponibilità è il bit in cima a questa pagina su" Quick PDF sign ". È abbastanza strong per la convalida B2C? È una pratica standard?

    
posta donutguy640 10.11.2016 - 20:00
fonte

2 risposte

1

Suppongo ora che stai parlando di documenti che il cliente firma e ti invia, come un ordine o una richiesta di servizio medico:

La maggior parte delle soluzioni che ho visto in questo caso coinvolge la firma esterna. Ergo, non si firma utilizzando le funzioni di firma PDF, ma, invece, si firma l'intero file come un oggetto dati opaco. Il motivo è che la firma in PDF richiede una CA valida o una CA "home-brew" importata per consentire al lettore PDF di vedere la firma come autentica.

Qui in Svezia, quando si effettuano servizi medici, si compila il modulo PDF (o modulo web o altro), quindi lo si carica al servizio medico. Quindi usi un ID elettronico, qui in Svezia è chiamato "Mobilt BankID" (app Mobile ID) ma non so davvero cosa usi nel tuo paese, per firmarlo.

E al momento della firma, in pratica si prende l'hash del file (SHA-1) e si invia al servizio di firma elettronica. Per esempio: "Firma il file form_2016-11-11_00: 05.pdf con il valore di validazione SHA1 5C: 1C: 2D ... (resto dell'hash SHA-1)"

Quindi risparmi in modo efficace la firma che ottieni dal servizio di identificazione elettronica, insieme al PDF. Se vengono visualizzati dubbi di manomissione, è possibile mostrare che l'hash del file PDF ricevuto corrisponde all'hash all'interno del messaggio di firma dell'ID elettronico e che la firma del messaggio corrisponde alla firma effettiva.

Si noti che non è possibile manomettere il file PDF, ad esempio aggiungere note e così via. Se è necessario aggiungere contenuto al PDF, è necessario copiare il PDF in un nuovo file, a cui è possibile aggiungere note.

Anche se la maggior parte degli utenti non capisce come verificare che l'hash corrisponda al PDF quando riceve il messaggio sullo schermo "per firmare un file con hash XX: XX: XX ....", non importa. È sufficiente che alcuni utenti capiscano come verificarlo per rendere la manomissione un rischio di rilevamento troppo alto per un utente malintenzionato.

Ci deve essere una soluzione ufficiale (come un ID elettronico governativo o qualcosa di simile) inteso per l'utilizzo da parte dei clienti, che è OK da usare secondo HIPAA o DPA.

Tuttavia, se si sta per firmare i documenti che si stanno inviando al cliente, è sufficiente acquistare un certificato destinato alla firma del documento. Quindi si utilizzano gli strumenti di firma PDF per firmare il PDF. Il PDF può quindi essere visualizzato su qualsiasi computer e, se il software PDF supporta le firme digitali, la firma verrà convalidata automaticamente. Il cliente NON ha bisogno di installare alcun software personalizzato.

    
risposta data 11.11.2016 - 00:21
fonte
1

Vale la pena esaminare HIPAA / HITECH, in quanto vi è almeno una sezione nella parte tecnica della legge che menziona le firme digitali.

Se stai cercando di convalidare i file PDF, ciò che puoi fare è anche garantire l'integrità del PDF (ad esempio durante la trasmissione, ad esempio il trasferimento di file), poiché ciò aiuterà anche in termini di convalida. Ad esempio, se un file è stato modificato in un determinato momento durante la trasmissione, è possibile considerarlo non valido.

    
risposta data 09.02.2017 - 21:56
fonte

Leggi altre domande sui tag