¿Cómo puede HelloSign estar seguro sin ninguna autenticación? [duplicar]

  

¿cómo podría el servicio de firma de documentos verificar que alguien que firmó   un documento en particular realmente lo hizo?

No lo hacen. Crean un registro que muestra la dirección IP de la computadora remota que emitió la "firma"; pero no pueden identificar la entidad legal que causó la firma. Si la identidad del firmante resulta estar en disputa, las partes en la disputa pueden reunir evidencia sobre esto más adelante.

Este tipo de funcionalidad se proporciona en el mundo de la carne por un notario público o el sistema de garantía de firma de medallón .

¿Es simplemente un clic? ¿Hay algún otro inicio de sesión o entrada de una clave que no se haya enviado en el correo electrónico?

Con un simple correo electrónico, no hay manera de diferenciar al técnico legítimo de alguien que ha interceptado su correo electrónico. Sin embargo, pueden considerar que esto es aceptable, considerando que vale la pena vivir con esta reputación por la simplicidad.

Puede ser, sin embargo, hay una protección adicional aquí. Si el técnico ha iniciado sesión antes de que se envíe este correo electrónico, es posible que haya datos en una cookie del sitio que puedan verificarse en el servidor, para que al menos puedan demostrar que esa computadora ha iniciado sesión en la cuenta del técnico.

Mi nombre es Alex M. y trabajo en Soporte de API en HelloSign.com. Con respecto a la legalidad de las firmas de HelloSign, hay una explicación de por qué creemos que nuestras firmas son legales en nuestro sitio web .

HelloSign autentica a los firmantes de documentos para que sepa quién está firmando sus documentos. Cualquier persona que firme un documento a través de HelloSign debe tener información de inicio de sesión para HelloSign o haber recibido en su cuenta de correo electrónico una solicitud de firma.

Para proteger las cuentas de usuario de HelloSign, toda la información del usuario transferida está cifrada con SSL de 256 bits, incluidos los nombres de usuario y las contraseñas. También intentamos evitar que otras personas accedan o utilicen su cuenta imponiendo tiempos de espera de sesión automatizados y enviándole un correo electrónico cada vez que se envía, recibe o firma un contrato bajo su cuenta.

Sin embargo, tienes razón, uno necesitaría acceder al correo electrónico para obtener el enlace, y de forma predeterminada no hay un segundo paso, es el SSO típico. También se proporciona un registro de auditoría que incluye más detalles sobre el firmante, como la fecha y la hora firmadas, así como la dirección IP utilizada para firmar.

Además, los clientes de API podrían usar una especie de autenticación de dos factores mediante un pin de firmante. Este es un pin alfanumérico que debe enviarse al firmante de alguna otra manera (por texto o por teléfono o en persona, algo que no sea que se envíe a la misma dirección de correo electrónico que el correo electrónico de solicitud de firma).

El uso está en nuestra documentación, y la forma en que incluya el pin de firmante depende de varios factores. Sin embargo, por ejemplo, en el nombre de responder lo más posible aquí, en lugar de solo incluir enlaces, en la CURS al alcanzar POST /signature_request/send , incluirías un parámetro como este: -F 'signer[1][pin]=1234'

Luego, cuando los firmantes hacen clic en el enlace de su correo electrónico, primero ven una página solicitando el PIN para acceder al documento.

Si alguien tiene alguna pregunta adicional, comuníquese con nosotros a [email protected].