Sto calpestando le acque torbide delle firme elettroniche dei documenti e ho difficoltà a trovare l'approccio giusto per gestire le mie esigenze. Penso che questo dovrebbe essere abbastanza semplice, ma la ricerca senza fine mi ha lasciato senza esempi concreti.
Sto costruendo una piattaforma (immagina un modello di tipo Uber) per far corrispondere i clienti con fornitori di servizi professionali. Alla fine dei servizi forniti, il fornitore di servizi deve inviare un documento (un PDF) al cliente per una firma. Vogliamo consentire al cliente di firmare elettronicamente il documento, ed ecco dove le cose diventano poco chiare. Abbiamo bisogno che queste firme siano legalmente vincolanti, ma non è chiaro a quali lunghezze dobbiamo andare per arrivare a quel punto.
I client in questo sistema dovranno creare un login e autenticarsi con il nostro sistema prima che possano firmare qualsiasi cosa. Pertanto, sappiamo chi sono quando vanno a firmare. Alcune cose che ho letto suggeriscono che se l'utente dichiara (controlla una casella, digita il suo nome, ecc.) Qualcosa del genere sarebbe sufficiente: "Sono d'accordo con blah, blah, blah, e intendo trasmettere lo stesso significato a questa firma elettronica come a una firma fisica ". Potremmo quindi stampare il documento con un testo dall'aspetto di firma e utilizzarlo.
Altri estremi sembrano essere la firma elettronica del PDF stesso tramite PKI, che richiede chiavi pubbliche / private per ciascun utente. A causa delle librerie (non) disponibili nel mio stack tecnologico, è improbabile che io sia in grado di firmare digitalmente i PDF effettivi.
Ho pensato che forse una via di mezzo sarebbe stata quella di eseguire la crittografia asimmetrica sul documento al momento della "firma" e di archiviare il documento firmato a quel punto. In questo modo, in seguito, è stato possibile verificare che il documento fosse inalterato qualora venisse messo in dubbio. Tuttavia, questo approccio richiederebbe anche coppie di chiavi pubbliche / private per ogni cliente e non siamo disposti a richiedere ai nostri utenti di generare il proprio. Sarebbe quindi opportuno per noi generare coppie per ciascun utente, memorizzandole sul nostro server e / o nel nostro database (insieme alle loro altre informazioni utente)? Questo ci porta davvero a una sicurezza migliore di quella di cui disponiamo solo con l'accesso degli utenti?
Gradirei davvero qualche idea qui. Sfortunatamente, la maggior parte della documentazione disponibile proviene da DocuSign o da altri fornitori che tentano di vendere i loro servizi. Ovviamente sarebbe un grande sollievo usarlo, ma il costo è esorbitante rispetto al modello che abbiamo (maggior costo per utente).
UPDATE : questo servizio sarà basato negli Stati Uniti solo per il prossimo futuro (se questo cambia qualcosa)
UPDATE : vedo una domanda correlata ( Firme digitali e validazione reale di ciò che è stato effettivamente accettato ) che parla di un problema simile. In sostanza, le risposte confermano il mio timore che sì, potrebbe non essere valido per me mantenere le chiavi private per i miei utenti. In tal caso, in che modo altri provider di firme elettroniche (tra cui DocuSign, HelloSign e così via) sono in grado di fornire questa funzionalità senza che i loro utenti debbano conoscere le chiavi private?