¿Los servicios de firma de documentos infringen alguna regla al exponer la PII a través de un correo electrónico claro?

Un servicio de firma de documentos no procesa los datos contenidos en el documento que está firmando. Teóricamente, el servicio de firma es completamente inconsciente del contenido. Todo lo que hace es procesar los metadatos como un todo para proporcionar el servicio.

Desde esta perspectiva, el hecho de que un determinado documento contenga PII no está bajo su control y, por lo tanto, no han infringido ninguna regla o regulación. Depende del cliente que eligió el servicio y, por lo tanto, el proceso, asegurarse de que el proceso sea adecuado para los datos que se procesan.

Como puede adivinar, hay una gran cantidad de "responsabilidad", pero debe informar a la persona que eligió el servicio sobre el impacto de su elección.

Nota, trabajo para DocuSign.

Las respuestas de Lie Ryan y schroeder se centran en los aspectos "puros" de un servicio de firma, que es responsable de solo firmar, en sentido estricto.

Sin embargo, los servicios de firma pueden ofrecer un producto más amplio que incluye servicios adicionales. Por ejemplo, mi empresa, DocuSign, ofrece el " Vista oculta "característica. Consulte la Guía de inicio rápido . Los campos de datos que deberían estar ocultos se muestran como asteriscos. Los datos se pueden recuperar, pero no se muestran.

Es responsabilidad del remitente marcar los campos de datos como "ocultos". Esto se puede hacer a través de la herramienta de administración del navegador web, o a través de la api.

Estableciendo un campo en "oculto"

Viendouncampooculto

Como la mayoría de los otros usuarios aquí, no creo que el servicio de firmas tenga alguna falla aquí.

El servicio de firma proporciona un flujo de trabajo determinado, que es el mismo para cualquier documento, ya sea que contenga PII o no. Para el servicio de firmas, el documento que se firma es solo un blob. No tienen idea de si un documento contiene contratos comerciales, PII, documentos de alto secreto o algunos fanfics descarados que escribiste durante el fin de semana.

Es responsabilidad de quien le solicite firmar este documento elegir el mecanismo de firma que cumpla con su responsabilidad de proteger los datos privados de sus clientes o elegir qué datos se incorporarán en el documento que se firmará. En este caso, eligen un servicio que no está diseñado para proteger adecuadamente los datos confidenciales, al nivel que es necesario para su documento.

Además, solo porque el documento se envía por correo electrónico no significa necesariamente que se envíe en texto sin cifrar. La comunicación entre el servidor de correo y el servidor de correo a menudo se encripta, y usted es responsable del último salto de configuración para acceder a su correo electrónico a través de IMAP / POP con TLS o del cliente de correo web HTTPS.

Dependiendo de la sensibilidad del documento, la configuración de GPG o S / MIME para que puedan enviarle un correo electrónico cifrado de extremo a extremo puede no ser apropiada para este propósito. Parte del motivo por el que el servicio de firma en línea es popular es que son mucho más fáciles de usar que tener que configurar correctamente el par de claves GPG / x509. Y si tiene que configurar estos servicios para utilizar el servicio de firma de documentos de todos modos, también puede omitir a los intermediarios y firmar el documento con estos certificados.