Удостоверяване на подписващия: методи и проблеми
Как да удостоверим подписващ с помощта на електронен подпис: методи, нива, рискове и най-добри практики.
Актуализирано на
Екип Certyneo
Редактор — Certyneo · За Certyneo
Защо удостоверяването е критично
Защо удостоверяването е критичноУдостоверяването на подписващия енай-крехката връзка
във веригата на доказване. Без него е невъзможно да се докаже кой всъщност е подписал. Модерната платформа за подпис трябва да предлага няколко градуирани механизма.
Налични методи
Доверен имейл
Подписалото лице получава уникална връзка към своя имейл адрес. Само държачът на кутията може да щрака. Просто, ефективно за SES.Остатъчен риск ⬥⬥⬥: кражба на имейл акаунт. Приемливо за документи с ниски залози.
Остатъчен риск ⬥⬥⬥: кражба на имейл акаунт. Приемливо за документи с ниски залози.
OTP чрез SMS
Код за еднократна употреба, изпратен на телефонен номер. В комбинация с имейл = AES.Остатъчен риск ⬥⬥⬥: Смяна на SIM (рядко, но известно за цели с висока стойност).
OTP от приложение
Код, генериран от приложение (Google Authenticator, Authy, Twilio Authy). По-безопасно от SMS за високи залози.
Биометрични данни
Пръстов отпечатък, лицево разпознаване. Използва се на мобилни устройства за рационализиране на изживяването. Не се съхранява от страната на сървъра (съответствие с GDPR).
Пръстов отпечатък, лицево разпознаване. Използва се на мобилни устройства за рационализиране на изживяването. Не се съхранява от страната на сървъра (съответствие с GDPR).
Персонален сертификат
Криптографски сертификат, издаден от QTSP, съхранен на устройство (YubiKey, смарт карта). Задължително за КЕП.
Видео KYC
Проверка на самоличността чрез видеоконференция или запис. Използва се за регулирани сектори (банкиране, застраховане).
Национална цифрова идентичност
FranceConnect+, itsme (Белгия), SPID (Италия). Признато като „съществено“ ниво от eIDAS.
Нива на сигурност (LoA)
eIDAS дефинира три нива:
eIDAS дефинира три нива:
Ниво | Изискване | Пример
Ниско | Имейл или еквивалент | SES
Значителен | Двоен фактор | AES (имейл + OTP)
- Високо | Строга проверка на самоличността | QES, видео KYCПривеждане в съответствие с проблема
- Вътрешен документ, поръчка за покупка ⬥⬥⬥: Ниска LoA (SES) е достатъчнаТрудов договор, лизинг, NDA ⬥⬥⬥: Значителна LoA (AES)
- Трудов договор, лизинг, NDA ⬥⬥⬥: Значителна LoA (AES)Нотариален акт, обществен договор ⬥⬥⬥: Висока LoA (QES)
Често срещани грешки
- Използвайте SES за всичко (недостатъчно)
- Подреждайте ненужни удостоверявания (триене)
- Не регистрирайте използваните методи (отслабено доказателство)
- Събирайте твърде много данни биометрия (GDPR)
Защита срещу атаки
- Фишинг ⬥⬥⬥: обучете подписващите да проверяват подателяФишинг ⬥⬥⬥: обучете подписващите да проверяват подателя
- Човек по средата ⬥⬥⬥: TLS 1.3 задължителноСмяна на SIM ⬥⬥⬥: OTP от приложение за много високи залози
- Deepfake видео KYC ⬥⬥⬥: проверки на живостта + кръстосана проверкаКонкретен случай: нео-банк
- Процес на отваряне на акаунт:Доверен имейл
OTP SMS
OTP SMS
- Качете документ за самоличност
- Тест за живост (селфи)
- Кръстосана проверка на основанията за санкции
- AES подпис
- LoA: значително. Съвместим с ACPR. Обработете за 10 минути.
- Как Certyneo ви помага
Certyneo предлага всички обичайни механизми: имейл, OTP SMS (чрез Twilio Verify), интегриране на квалифицирани сертификати за QES, опционално видео KYC, интеграция на FranceConnect+. Всеки метод се регистрира в одитната пътека.
Открийте решението за електронен подпис Certyneo
Открийте решението за електронен подпис Certyneo
SMS достатъчно сигурен ли е?
За AES да. За много високи залози предпочитайте OTP приложение или биометрия.
Съхраняват ли се биометричните данни?
Страна на сървъра не (съответствие с GDPR). Шаблоните остават на устройството.
Можем ли да комбинираме няколко метода?
Да, за укрепване на доказателствата.
Да, за укрепване на доказателствата.
Разпознава ли се FranceConnect+?
Да, значително ниво. Може да задейства AES и QES.
Какво се случва, ако OTP изтече?
Подписалият може да поиска нов. Налице са ограничения за борба с грубата сила.
Заключение
Доброто удостоверяване се оценява, проследява и адаптира към проблема. Прекаленото удостоверяване създава търкания; недостатъчното удостоверяване отслабва доказателството. Салдото се намира документ по документ.
Опитайте Certyneo да изпраща, подписва и проследява вашите документи онлайн просто, бързо и сигурно.
Опитайте Certyneo безплатно
Изпратете първия си плик за подпис за по-малко от 5 минути. 5 безплатни плика месечно, без банкова карта.
Задълбочете темата
Референтни статии по тази тема.
Задълбочете темата
Нашите подробни ръководства за овладяване на електронния подпис.
Продължете четенето си за Sécurité
Задълбочете знанията си с тези статии, свързани с темата.
Сигурен ли е електронният подпис?
Криптиране, удостоверяване, одитна пътека: защо електронните подписи са по-сигурни от хартиените.
Защита на данните на клиентите на електронната търговия: Съответствие с GDPR
Електронен сертификат и цифров подпис
Какво е електронен сертификат, за какво служи и каква е връзката с цифровия подпис?