Me estoy metiendo en las aguas turbias de las firmas de documentos electrónicos, y tengo problemas para encontrar el enfoque correcto para satisfacer mis necesidades. Creo que esto debería ser bastante sencillo, pero la búsqueda interminable me ha dejado sin ejemplos concretos.
Estoy creando una plataforma (imagine un modelo tipo Uber) para hacer coincidir los clientes con los proveedores de servicios profesionales. Al final de los servicios que se brindan, el proveedor de servicios debe enviar un documento (PDF) al cliente para que lo firme. Queremos que el cliente firme electrónicamente el documento, y aquí es donde las cosas no están claras. Necesitamos que estas firmas sean legalmente vinculantes, pero no está claro a qué longitud debemos ir para llegar a ese punto.
Los clientes en este sistema tendrán que crear un inicio de sesión y autenticarse con nuestro sistema antes de que puedan firmar cualquier cosa. Por eso, sabemos quiénes son cuando van a firmar. Algunas cosas que he leído sugieren que hacer que el usuario declare (marque una casilla, escriba su nombre, etc.) algo como lo siguiente sería suficiente: "Estoy de acuerdo con blah, blah, blah, y tengo la intención de transmitir el mismo significado". a esta firma electrónica como a una firma física ". Luego podríamos sellar el documento con un texto con apariencia de firma y terminar con él.
Otros extremos parecen ser firmar electrónicamente el propio PDF usando PKI, requiriendo claves públicas / privadas para cada usuario. Debido a las bibliotecas (un) disponibles en mi pila de tecnología, es poco probable que pueda firmar digitalmente los archivos PDF reales.
Pensé que tal vez un término medio sería realizar un cifrado asimétrico en el documento en el momento de la "firma", y almacenar el documento firmado en ese momento. De esa manera, luego podríamos verificar que el documento no se haya modificado si alguna vez se cuestiona. Sin embargo, este enfoque también requeriría pares de claves públicas / privadas para cada cliente, y no estamos preparados para exigir que nuestros usuarios generen los suyos propios. ¿Sería apropiado para nosotros generar pares para cada usuario, almacenándolos en nuestro propio servidor y / o en nuestra propia base de datos (junto con su otra información de usuario)? ¿Esto realmente nos brinda una mayor seguridad de la que teníamos simplemente al hacer que los usuarios inicien sesión?
Realmente apreciaría cualquier idea aquí. Desafortunadamente, la mayor parte de la documentación que se ofrece es de DocuSign u otros proveedores que intentan vender sus servicios. Obviamente, sería un gran alivio usar eso, pero el costo es exorbitante dado el modelo que tenemos (la mayoría cobra por usuario).
ACTUALIZACIÓN : este servicio se basará en los EE. UU. solo en el futuro previsible (si eso cambia algo)
ACTUALIZACIÓN : veo una pregunta relacionada ( firmas digitales y validación real de lo que realmente se acordó ) que habla de un problema similar. Básicamente, las respuestas confirman mi temor de que sí, podría no ser válido para mí mantener claves privadas para mis usuarios. En ese caso, ¿cómo pueden otros proveedores de firmas electrónicas (incluidos DocuSign, HelloSign, etc.) proporcionar esta capacidad sin que los usuarios necesiten conocer las claves privadas?