¿Cómo puedo implementar un área de descarga segura en un sitio web que requiera una firma electrónica?

Navega tus respuestas
7

Para fines de gestión de calidad, la empresa para la que trabajo quisiera un sistema que requiera que un cliente lea un aviso legal y luego proporcione un firma electrónica , reconociendo dicha renuncia, antes de que se le otorgue acceso a un área de descarga. Después de que se haya firmado el aviso legal, también nos gustaría un sistema de retroalimentación en forma de correo electrónico automático, que se envía a una dirección designada. No tengo ni idea en este departamento, así que me pregunto cuál es la mejor manera de implementar esto. Lo más probable es que sea mejor dejarlo en manos de un profesional, ¡pero cualquier respuesta aquí sería genial!

Me había imaginado que el proceso sería el siguiente: -

  1. La compañía envía a un cliente un número de identificación personal y un número de referencia del proyecto que es exclusivo de un área de descarga en particular (cada proyecto en el que trabajamos y pretendemos enviar a un cliente en teoría tendría su propia área de descarga)
  2. El cliente visita una página de nuestro sitio web donde ingresa el número de referencia y el número de pin que les proporcionamos, lo que los lleva a su exención de responsabilidad específica (la exención de responsabilidad es diferente para cada proyecto)
  3. El cliente lee el descargo de responsabilidad, firma una firma electrónica al proporcionar el nombre, el título del trabajo y probablemente otra información que aún no se ha decidido.
  4. Al cliente se le otorga acceso al área de descarga específica para ese proyecto y puede descargar los archivos que contiene.
  5. Una vez que se firma la firma electrónica, se envía un correo electrónico automático a una dirección designada para proporcionarnos confirmación y evidencia del acceso del cliente.

Algunas notas adicionales: -

  • Un sistema basado en la web sería ideal para poder integrarlo en nuestro sitio web: configuramos el proyecto en una página web, ingresamos los detalles específicos de la exención de responsabilidad y subimos los archivos relevantes.
  • Si el cliente desea obtener acceso nuevamente al área de archivo, solo tiene que volver a ingresar el número de referencia y el número de pin, que luego pasa por alto el formulario de exención de responsabilidad. Sin embargo, debemos tener la opción de obligar al cliente a volver a firmar si, por ejemplo, actualizamos algunos archivos dentro del área de descarga.
  • Para evitar el riesgo de que se emitan pines duplicados debido a un error humano o lo que sea, algún nivel de automatización que proporcione un pin generado aleatoriamente también sería excelente. Podríamos usar un generador de números aleatorios cada vez, pero ayudaría si el proceso se simplificara.

Me he topado con lo siguiente, enlace , que parece ser lo que estoy buscando pero, nuevamente, el La implementación en un sitio web está fuera de mi alcance.

    
pregunta Phizzy 07.01.2016 - 11:26
fuente

2 respuestas

2

Vale la pena señalar que existen numerosos servicios en línea que hacen este tipo de cosas. Accellion, LiquidFiles, Dropbox, Box.com y muchos otros pueden otorgarle este tipo de funcionalidad. Dependiendo del volumen y la complejidad, es posible que incluso pueda aprovechar algún servicio en línea orientado al marketing como salesforce.com o hubspot.

Hay un millón de cosas que haces mal al tratar de hacerlo tú mismo. Definitivamente debería considerar registrarse para un servicio en línea existente o instalar software que haga esto.

    
respondido por el Paco Hope 31.01.2016 - 14:20
fuente
1

Aquí hay un breve resumen de lo que haría aquí.

  1. Asigna un pin a cada usuario en el registro. Asegúrate de que sea secreto. enlace Debería darle una buena manera de hacerlo sin repeticiones. Asegúrese de elegir un número suficientemente grande de dígitos!
  2. Tenga una página con cuadros para el número de referencia y el pin, junto con una prueba de Turing como un CAPTCHA [1] para evitar la fuerza bruta.
  3. Cuando el usuario quiera descargar un archivo, presente un cuadro de ToS con todos los datos legales, luego tenga cuadros para Nombre, Título del trabajo, etc. Haga que marquen el cuadro.
  4. Como parte de la rutina de descarga, busque el correo electrónico y envíe una confirmación.
  5. Asegúrese de que no puedan navegar a la ubicación del archivo. Realice un chequeo que garantice que realmente ha pasado por el proceso buscando un token único (dado en el paso 1 o 2) cada vez. No permita que este valor se reutilice.

Para obtener más información sobre los grandes problemas del desarrollo de software, recomiendo leer el Top 10 de OWASP: enlace

[1]: tenga en cuenta que CAPTCHA no es accesible al W3C. Más información: enlace , enlace

    
respondido por el Ohnana 26.01.2016 - 02:26
fuente

Lea otras preguntas en las etiquetas

¿Protecciones de servidor web y de base de datos no sensibles / no críticas? ¿Cuál es el propósito de un token de API y un secreto de API?