seguridad y confianza: mejores prÁcticas para …
TRANSCRIPT
WHITE PAPER
SEGURIDAD Y CONFIANZA:MEJORES PRÁCTICAS PARA IMPLEMENTAR FIRMAS ELECTRÓNICAS Y EVALUAR PROVEEDORES
SEGURIDAD Y CONFIANZA SÍGUENOS 2
Introducción 3
1. Identificación, autenticación y atribución 4
2. Seguridad de documentos y firmas 5
3. Seguridad en la nube 6
4. Residencia de datos 6
5. Confianza integral 7
Conclusión 8
Lista de verificación de mejores prácticas 9
ÍNDICE DE CONTENIDOS
SEGURIDAD Y CONFIANZA SÍGUENOS 3
Mejores prácticas para implementar firmas electrónicas y evaluar proveedoresLa seguridad es una de las mayores inquietudes con las transacciones digitales, algo que resulta comprensible, por lo que es importante que su proveedor de servicios de firmas electrónicas cumpla con las más altas normas de seguridad, a la vez que asegura una experiencia fiable entre usted, sus empleados y sus clientes.
Esto implica más que simplemente superar una auditoría de seguridad u obtener una certificación. Nosotros recomendamos adoptar una perspectiva más amplia en cuanto a la seguridad de las firmas electrónicas, que también tenga en cuenta:
• La selección del nivel adecuado de autenticación
• La protección de las firmas electrónicas y documentos contra alteraciones
• La simplificación de la verificación de registros firmados electrónicamente
• La garantía de la fiabilidad a largo plazo de sus registros electrónicos, independientemente del proveedor
• La verificación de que el proveedor cuenta con un historial consistente de protección de los datos de sus clientes
• La creación de una experiencia fiable integral a través de marcas blancas e integración con su marco existente de gestión de identidad y acceso (IAM)
Adoptar un enfoque multifuncional respecto a la seguridad de las firmas electrónicas asegurará que sus registros se puedan reproducir de forma fiable como evidencia en caso de litigio. También aumentará la confianza de sus clientes, protegerá la reputación de su organización, reducirá los riesgos de multas por falta de conformidad, limitará la dependencia de un único proveedor, y mucho más.
Para ayudar a identificar los requisitos de seguridad que deberían regir su evaluación de las diferentes soluciones, este libro blanco responde a preguntas tales como: ¿Cómo sé quién ha firmado electrónicamente un documento? ¿Cómo se protegen las firmas electrónicas de los clientes? ¿Cuán sencillo es verificar si un registro firmado electrónicamente ha sido modificado? Y si se usan firmas electrónicas en la nube, ¿cómo puedo tener la certeza de que los datos de mis clientes estarán protegidos?
INTRODUCCIÓN
Adoptar un enfoque multifuncional respecto a la seguridad de las firmas electrónicas asegurará que sus registros se puedan reproducir de forma fiable como evidencia en caso de litigio.
SEGURIDAD Y CONFIANZA 4SÍGUENOS
1. Identificación, autenticación y atribuciónLas leyes que rigen las firmas electrónicas no se pronuncian demasiado en cuanto a técnicas y tecnologías de seguridad, pero la definición legal de firma electrónica incluye siempre vocabulario relacionado con la identidad de la parte firmante. Esto significa que las organizaciones deben dar los pasos adecuados para identificar y/o autenticar a los usuarios antes de que éstos firmen electrónicamente, y deben vincular dicha autenticación a la firma electrónica y el registro firmado electrónicamente. La autenticación de usuarios y transacciones son prioridades clave para bancos y otras organizaciones que realizan negocios en línea y a través del canal de móviles.
Identificación
A la hora de evaluar cómo identificar a nuevos clientes por Internet, tome en cuenta cómo se logra esto en otros canales remotos, como por ejemplo centros de atención telefónica, o por correo. Estos procesos a menudo identifican a nuevos clientes por medio de dos tipos de información personal:
• Información personal identificatoria• Información personal no pública
La información del cliente se verifica por lo general por medio de un servicio de identificación proporcionado por una tercera parte (p.ej., Experian, Trans Union, Equifax). Los proveedores de servicios financieros, por ejemplo, a menudo utilizan servicios de terceras partes, ya que a menudo están ya accediendo a bases de datos de crédito como parte de solicitudes de préstamos y otros procesos. En este caso, debe buscar una solución de firmas electrónicas que se integre con los servicios de verificación de identidad proporcionados por terceras partes.
Autenticación
Una vez que se ha verificado la identidad de la parte firmante, las organizaciones a menudo emiten credenciales electrónicas para facilitar futuras transacciones digitales.
En el caso de clientes existentes, es sumamente recomendable que se aprovechen credenciales que ya haya emitido (p.ej. inicios de sesión para banca en línea). Dichas credenciales no sólo son por lo general fiables si llevan utilizándose un cierto tiempo, sino que además ahorran a los clientes la molestia de tener que crear y recordar una contraseña más.
Además de ello, las organizaciones que se hallan en ciertas ubicaciones geográficas o sectores que tratan con transacciones de alto valor y riesgo, a menudo utilizan servicios de autenticación sólidos y multisectoriales (p.ej., Digipass®, de OneSpan) en cualquier momento durante el proceso. Esto refuerza la confianza en la transacción y crea un entorno seguro, de modo que las identidades, los datos y las vidas digitales estén siempre protegidas. En este caso, busque una solución de firma electrónica que pueda integrarse fácilmente con servicios de autenticación en todo el proceso de firma electrónica.
Atribución
La atribución de la firma es el proceso de probar quién exactamente hizo clic para aplicar una firma electrónica. A menudo surgen cuestiones relacionadas con la atribución cuando se examinan procesos en los que el personal interactúa personalmente con los clientes, utilizando el método de firmar con un clic en un dispositivo compartido. Consideremos el caso en el que se pide a la parte firmante que haga clic en un botón para firmar electrónicamente en el portátil del agente. El desafío radica en cómo probar quién manejaba el puntero cuando se aplicó la firma electrónica. Existen dos enfoques probados para establecer la atribución en estas circunstancias: declaraciones juradas y el uso de códigos enviados por SMS a teléfonos móviles personales.
Las declaraciones juradas constituyen el modo más sencillo y eficaz en función de los costes de establecer la atribución. Justo antes de ceder el control de un portátil o tableta al/la cliente para que firme, a su agente o representante se le presentará el texto de una declaración jurada que afirma que
Distinción entre firmas digitales y electrónicas
El término “firma electrónica” a menudo se confunde con “firma digital”. Una firma electrónica, al igual que su equivalente manuscrita, es un concepto legal. Su propósito es capturar la intención de una persona de vincularse legalmente a un acuerdo o contrato.
Una firma digital, por otra parte, es una tecnología de seguridad. Las firmas digitales están basadas en el cifrado de clave pública/privada y se utilizan en una serie de aplicaciones de seguridad, negocios electrónicos y comercio electrónico. Cuando se utiliza como parte de una solicitud de firma electrónica, el cifrado de la firma digital asegura los datos digitales. Si se modifica o altera un documento firmado electrónicamente, la tecnología de firma digital lo detectará e invalidará el documento.
Al contrario de lo que ocurre con contratos y firmas impresos, que requieren una atención especial al detalle y dependen del ojo humano para su verificación, los contratos firmados electrónicamente basados en firmas digitales pueden alertar de errores o alteraciones automáticamente. Las firmas digitales, por lo tanto, son la base de toda firma electrónica fiable y un requisito esencial para una solución fiable.
SEGURIDAD Y CONFIANZA 5SÍGUENOS
le está pasando el control del dispositivo a la parte firmante. Esta transferencia de control quedaría capturada como parte del registro auditable.
Otra opción consiste en usar el teléfono personal de la parte firmante. La parte firmante puede recibir un código via SMS que usaría para obtener acceso a la sesión de firma electrónica.
Si bien existen numerosas opciones seguras y fáciles de usar para identificar a las partes firmantes en línea, la selección del método de autenticación depende en última instancia del perfil de riesgo del proceso que se desea automatizar y la transacción digital subyacente. El aspecto clave aquí es autenticar a los usuarios sin empañar su experiencia. Para ello, busque soluciones de firma electrónica que ofrezcan un amplio abanico de opciones de autenticación que se ajusten a la perfección a sus necesidades y que por lo tanto brinden una mejor experiencia.
2. Seguridad de documentos y firmas La seguridad de los documentos y las firmas se encuentra en el epicentro de todo contrato o documento firmado electrónicamente. Por ello, existen varios puntos que considerar:
• Debe protegerse el documento y cada firma con una firma digital, para que esté a prueba de manipulaciones y asegurar que las firmas no pueden copiarse y pegarse.
• Un registro auditable completo debería incluir la fecha y hora de cada firma.
• El registro auditable debe estar integrado de forma segura en el documento y vinculado a cada firma.
• Debe resultar sencillo verificar, independientemente del proveedor, que no se han hecho cambios al registro firmado.
• El documento debe ser accesible para todas las partes.
Seguridad de firma digital: Aplicada a cada firma
El documento y las firmas electrónicas deberían estar protegidos utilizando tecnología de firma digital. La firma digital crea una huella digital del documento (denominada control, o hash en inglés) que puede usarse ulteriormente para verificar la integridad del registro electrónico. Si se altera el documento en lo más mínimo, la firma electrónica quedará visiblemente invalidada. Esto constituye una ventaja única y significativa en comparación con su equivalente impreso, donde no siempre es posible detectar si se han hecho cambios a un documento.
Cabe destacar que aplicar una firma digital como un sobre a un documento (una vez que se han capturado todas las firmas) no es una práctica recomendable. Este enfoque deja al documento y las firmas sin protección mientras se finaliza el proceso y tiene como resultado la aplicación de la fecha y hora erróneas en las firmas individuales. Si una parte firmante y una parte co-firmante firman electrónicamente un registro en dos días diferentes, es deseable tener dicho historial reflejado en el registro auditable. La mejor práctica es aplicar cifrado de firma digital según se va añadiendo cada firma al documento. Esto crea un completo registro auditable con la fecha y hora en la que se aplicó cada firma.
Verificación de la integridad de documentos y firmas con OneSpan Sign
SEGURIDAD Y CONFIANZA 6SÍGUENOS
Registro auditable detallado integrado en el documento
Todas las firmas electrónicas, marcas de tiempo y registros auditables deberían estar integrados directamente en el documento, y no almacenados por separado en la nube o asociados “lógicamente” en un depósito o base de datos de código cerrado. Además de resultar más seguro y sencillo de manejar, existen dos razones extremadamente pragmáticas para ello.
En primer lugar, la autenticidad del documento puede verificarse independientemente del software de firma electrónica, lo que significa que no tiene que preocuparse de si un enlace a un servidor resultará válido dentro de varios años, o si dará el mensaje de error de “no se ha encontrado la página”. Tanto si mantiene una cuenta con el servicio de firma electrónica o no, o incluso si su proveedor sigue operativo o no, sus documentos no se verán afectados, ya que ni usted ni sus clientes ni otras partes interesadas tienen que ir a Internet para comprobar dicho documento.
En otras palabras, el documento firmado electrónicamente puede indexarse, almacenarse y recuperarse de forma sencilla en el sistema de registro que elija, y puede aprovechar al máximo su inversión en dichos sistemas.
Un modo sencillo de verificar la integridad del documento
Busque una verificación de documentos y firmas intuitiva, con un solo clic. Si el proceso de verificación es demasiado tedioso, puede que los usuarios asuman erróneamente que el documento y las firmas son válidos, sin verificarlos adecuadamente.
Cuando se verifica un documento que ha sido firmado electrónicamente con el software OneSpan Sign, los usuarios hacen clic en el bloque de la firma. Esto abre el registro auditable y se verifica automáticamente tanto la autenticación de la parte firmante como la validez del documento (tal y como se muestra en la página 5).
Un proceso de un solo clic como este simplifica la experiencia del usuario, lo que lleva a una mayor confianza en el proceso de firma electrónica y la tranquilidad de que se detectará cualquier error o acción fraudulenta. Además, no hay necesidad de capacitar a usuarios empresariales o clientes para verificar un documento.
3. Seguridad en la nubeLas soluciones de firma electrónica de hoy en día están disponibles tanto in situ como en la nube. Si bien una implementación in situ ofrece el máximo control, cada vez más organizaciones de todo tipo y envergadura están optando por la nube por una serie de razones, tales como una mayor rapidez de comercialización y el ahorro de costes.
Para las transacciones que impliquen datos confidenciales de clientes, utilizar un servicio basado en la nube plantea consideraciones adicionales de seguridad y privacidad
de datos, además de los que ya se han mencionado anteriormente. Recomendamos vivamente investigar a la compañía que hospeda su servicio de firma electrónica para entender sus prácticas de seguridad, certificaciones, historial y la frecuencia de sus auditorías de seguridad. La realización de diligencias debidas en cuanto a sus prácticas e infraestructura de seguridad podría exponer antiguas violaciones de la seguridad, incidentes de pérdidas/filtraciones de datos, u otros riesgos tales como insuficiente pericia sobre la seguridad en la nube. Otros elementos que se deberían evaluar son:
• La seguridad de los procesos humanos y el acceso administrativo a los sistemas
• Los controles de seguridad y el entorno físico• La seguridad de la infraestructura de redes, sistemas
operativos y servicios
Además, deberá asegurarse de que la plataforma de firmas electrónicas utiliza un sólido cifrado de datos tanto en tránsito como inactivos, y que almacena los datos dentro de un volumen de base de datos cifrado para garantizar un canal cifrado para todas las comunicaciones.
En OneSpan, estamos asociados con proveedores líderes de servicios de infraestructura de la nube, tales como Amazon Web Services, IBM SoftLayer, y Microsoft Azure. Estos proveedores están diseñados y gestionados de acuerdo con las mejores prácticas de seguridad, y cumplen con una serie de normas regulatorias, sectoriales y de TI en cuanto a seguridad y protección de datos, incluyendo: ISO/IEC 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, y muchas otras.
Estamos certificados por ISO/IEC 27001, prueba de nuestro compromiso de cumplir con estrictas normas internacionales respecto a la seguridad de la información. OneSpan Sign cumple asimismo rigurosos requisitos respecto a la seguridad en la nube y la protección de información personal (información de los clientes) en la nube, ya que somos el primer y único proveedor de firmas electrónicas que ha obtenido las certificaciones ISO/IEC 27017 e ISO/IEC 27018.
Aplicamos asimismo muchas otras medidas de seguridad en la capa de aplicación para garantizar que la plataforma OneSpan Sign es segura y que los datos de los clientes están protegidos. Como primer y único proveedor de soluciones de firmas electrónicas en la nube en completar una certificación de Tipo 2 de Control de organizaciones y sistemas (SOC) 2, OneSpan Sign mantiene los más estrictos controles.
Evite soluciones de firmas electrónicas que requieran tener que acceder a un servidor para verificar las firmas o los documentos. No solo resulta inconveniente para los usuarios, sino que plantea problemas considerables si finaliza su suscripción o si el proveedor quiebra.”
SEGURIDAD Y CONFIANZA 7SÍGUENOS
OneSpan Sign es asimismo la única solución de firma electrónica en estar hospedada en una nube conforme con FedRAMP, un programa que se aplica en el gobierno en su totalidad y que proporciona un enfoque estandarizado a la evaluación de la seguridad, autorización y monitoreo continuo de productos y servicios en la nube.
La disponibilidad a nivel de operador de OneSpan Sign queda asegurada gracias al uso de numerosas zonas de disponibilidad y regiones geográficas, y a un monitoreo 24/7 (consultar el Trust Center de OneSpan Sign en https://trust.esignlive.com). Un sitio de recuperación tras desastres siempre disponible en una región geográfica diferente permite una rápida recuperación, en el caso de que un desastre afectara a nuestras instalaciones primarias.
4. Residencia de datosSegún las organizaciones van respaldando escenarios empresariales digitales sin fronteras, y transfieren las transacciones de cara al cliente a la nube, existe una mayor necesidad de asegurar que los datos estén protegidos y sean compatibles con las leyes locales de privacidad de datos. Forrester Research Inc. reportó recientemente que “la residencia de datos se convertirá en un requisito más estricto. Las firmas electrónicas caen dentro del ámbito de las reglas de la UE sobre privacidad de datos. Los expertos en seguridad y riesgos deberán tener en cuenta los requisitos de residencia de datos a la hora de evaluar las opciones de almacenamiento de proveedores de firmas electrónicas, especialmente si optan por el almacenamiento en la nube.”1
Esto es especialmente cierto en sectores regulados y dependientes de la conformidad, que a menudo necesitan una transparencia y control granulares en cuanto al lugar en donde residen los datos transaccionales, hasta el punto de detallar la ciudad, el centro de datos e incluso el número de serie del servidor.
OneSpan ofrece opciones tanto públicas como privadas de OneSpan Sign en Estados Unidos, Canadá, Reino Unido, Alemania y Australia. Al aprovechar las redes de centros de datos globales de nuestros socios tecnológicos, podemos asimismo lanzar nuevas opciones de OneSpan Sign en otras regiones del mundo. Esto no solo ayuda a ser conformes con los requisitos de residencia de datos en el mismo país, sino que también permite a las organizaciones ampliarse y expandir sus operaciones a nivel internacional.
5. Confianza integralLa experiencia de los clientes se halla en el epicentro de la transformación digital. Según las compañías van aprovechando las soluciones de terceras partes para respaldar sus proyectos de transformación digital, su reputación a menudo depende de acciones que por lo general están fuera de su control. Entonces, ¿qué puede hacer una compañía para proteger su marca y su reputación cuando trabaja con proveedores de soluciones de terceras partes?
Nuestro consejo es aplicar una marca blanca a la experiencia de firma electrónica en su totalidad, de modo que su marca, y tan solo su marca, aparezca a lo largo de toda la transacción (y no la marca del proveedor). Esto no solo crea una experiencia de confianza entre usted y sus clientes, sino que protege a su marca y ayuda a alcanzar los más altos índices de conclusión posibles.
Identifique la capacidad del proveedor para:
• Integrarse con sus servidores de correo electrónico para que se puedan enviar correos electrónicos desde su dominio (p.ej. @subanco.com) en lugar del de su proveedor.
• Personalizar colores, logotipo y visibilidad de elementos tales como cabecera, barra de navegación, pie de página, etc.
• Personalizar el contenido y el aspecto de las notificaciones por correo electrónico.
• Personalizar los cuadros de diálogo y mensajes de error.
CONTACTE CON NOSOTROS Para obtener más información:[email protected]/sign
Copyright © 2019 OneSpan North America Inc. Reservados todos los derechos. OneSpan™, DIGIPASS® y CRONTO® son marcas registradas o no registradas de OneSpan North America Inc. y/o OneSpan International GmbH en EE.UU. y otros países. El resto de marcas comerciales o nombre comerciales son propiedad de sus respectivos propietarios. OneSpan se reserva el derecho de realizar cambios a las especificaciones en cualquier momento y sin aviso previo. La información proporcionada por OneSpan en este documento se considera exacta y fiable. No obstante, OneSpan no se hace responsable de su uso, ni de violaciones de patentes u otros derechos de terceras partes que resulten de su uso. Última actualización: Noviembre de 2019.
OneSpan permite alcanzar el éxito a instituciones financieras y otras organizaciones, al hacer avances audaces en su transformación digital. Conseguimos esto estableciendo confianza en la identidad de las personas, los dispositivos que utilizan, y las transacciones que son determinantes para sus vidas. Creemos que esta es la base de una habilitación de negocios mejorada y de crecimiento. Más de 10.000 clientes, incluyendo más de la mitad de los 100 primeros bancos globales, confían en las soluciones de OneSpan para proteger sus relaciones y procesos comerciales más importantes. Desde la integración digital a la reducción de fraudes, pasando por la gestión del flujo de trabajo, la plataforma unificada y abierta de OneSpan reduce costes, acelera adquisiciones por parte del cliente, y aumenta la satisfacción del cliente.
Además, según Forrester Research Inc., los profesionales de seguridad y riesgos son cada vez más los responsables del éxito de las iniciativas de gestión de identidad y acceso (IAM).2 No obstante, muy a menudo los expertos en seguridad y riesgos no se dan cuenta de que la tecnología de firmas electrónicas es más que una simple firma, y dejan pasar oportunidades de influir en el modo en que las firmas electrónicas se integran dentro del marco de IAM existente en su compañía. Así pues, es la responsabilidad de los expertos en seguridad y riesgos contribuir al diseño de una óptima experiencia digital integral.
Obligar a los clientes a autenticarse a sí mismos repetida e innecesariamente durante la transacción digital repercute en la calidad de su experiencia. Los profesionales de seguridad y riesgos tienen un papel clave a la hora de asegurar que las firmas electrónicas se integran a la perfección con las capacidades de IAM existentes, para así evitar crear una experiencia tediosa para los clientes.
Muchas compañías de servicios financieros y aseguradoras, por ejemplo, ya dependen de servicios de autenticación de terceras partes, ya que acceden a menudo a bases de datos de crédito como parte de sus procesos habituales de apertura de cuentas y nuevas solicitudes. Busque soluciones que puedan integrarse con estos tipos de servicios de terceras partes, en cualquier punto de la transacción, para crear una óptima experiencia del cliente.
ConclusiónLa experiencia digital es una prioridad fundamental, ya que afecta a la experiencia tanto de empleados como de clientes, y las organizaciones se interesan por ambas.
Para facilitar experiencias fiables se requiere seguridad. Con las firmas electrónicas es importante adoptar una perspectiva amplia en cuanto a la seguridad, desde la autenticación de la parte firmante hasta la independencia del proveedor.
Resulta asimismo importante recordar la necesidad de equilibrar las inquietudes respecto a la seguridad con la utilidad de la solución. Un buen modo de evitar la sobreestructuración de sus requisitos de seguridad es reconocer que sus procesos empresariales (ya sean impresos o electrónicos) ya tienen implementados numerosos mecanismos de seguridad.
La confianza y la seguridad se encuentran en el epicentro de la transformación digital. En OneSpan tenemos más de 20 años de experiencia en brindar soluciones de firmas electrónicas y autenticación para garantizar una experiencia segura en todos los canales digitales y móviles. Podemos guiarle a la hora de digitalizar con éxito sus procesos empresariales y proporcionar a sus clientes una experiencia fiable y segura, independientemente de su escenario de uso, canal o ubicación geográfica.
1 Forrester Research, 12 de noviembre de 2015, S&R Pros Must Play An Outsized Role In Selecting And Implementing E-Signature [Los expertos en seguridad y riesgos deben tener un mayor papel en la selección e implementación de las firmas electrónicas].
2 Parafraseado de conceptos tratados en el Informe de agosto de 2015, Marco de proceso de gestión de identidad y acceso basado en riesgos, de Forrester.
SEGURIDAD Y CONFIANZA SÍGUENOS 9
IDENTIDAD, AUTENTICACIÓN Y ATRIBUCIÓN DE USUARIOS
a
Métodos flexibles de identificación de usuarios:
• Identificación a distancia de usuarios a través de bases de datos de terceras partes (autenticación dinámica basada en el conocimiento)
• Identificación a distancia de usuarios a través de la verificación de información personal
a Capacidad de cargar imágenes como parte de la transacción de firma electrónica (p. ej. una foto del carnet de conducir)
a
Métodos flexibles de autenticación de usuarios:• Autenticación a distancia de usuarios a través del ID de usuario y contraseña• Verificación de direcciones de correo electrónico a través de la invitación a una sesión de firma electrónica• Autenticación a distancia de usuarios a través de la autenticación estática basada en el conocimiento (preguntas
secretas)• Capacidad de personalizar las preguntas secretas• Capacidad de aprovechar las credenciales existentes• Capacidad de aplicar marca blanca al proceso de firma electrónica en su totalidad para reforzar una experiencia fiable
de principio a fin
a Capacidad de configurar diferentes métodos de autenticación dentro de la misma transacción
aFlexibilidad para adaptar el método de autenticación para: • El perfil de riesgo de su organización• CADA proceso que se esté automatizando
aOpciones flexibles para la atribución de firmas en persona• Declaraciones juradas • Contraseña (PIN) enviada por SMS a un dispositivo móvil personal
a • Integración con soluciones de autenticación sólidas y multifactoriales (Digipass de OneSpan)
a Capacidad de firmar utilizando certificados del cliente (“certificados cualificados” bajo eIDAS) asociados a una persona concreta
SEGURIDAD DE DOCUMENTOS Y FIRMAS
a La información del registro auditable debe estar integrada de forma segura en el documento
a El documento y CADA firma deben estar asegurados con una firma digital
a Un registro auditable completo debería incluir la fecha y la hora de CADA firma
a El registro auditable debe estar integrado de forma segura en el documento y vinculado a cada firma
a Verificación de firmas y documentos con un solo clic (p.ej., la capacidad de verificar documentos y firmas sin conexión, sin ir a un sitio web)
a Capacidad de descargar una copia verificable del documento firmado con el registro auditable
SEGURIDAD DE LA NUBE Y LOS DATOS
a
Flexibilidad en los métodos de implementación para alinearse con su TI y sus políticas de seguridad de datos:• Implementación in situ• Implementación de nube pública y privada, hospedada en plataformas de infraestructura de nube de primera
categoría, tales como Amazon, IBM y Microsoft
a Solución de firma electrónica compatible con ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2, y FedRAMP
a Publicación de prácticas de seguridad, certificaciones y resultados de auditorías de seguridad
a Historial consistente de mantener seguros los datos de los clientes
a Centros de datos globales para satisfacer el requisito de residencia de datos en el mismo país
Seguridad para firmas y transacciones electrónicas: Lista de verificación de mejores prácticas