Nesta entrevista da Help Net Security, Thorsten Hau, CEO da fidentity , discute a validade legal das assinaturas digitais qualificadas, demonstrando sua equivalência às assinaturas manuscritas quando apoiadas por uma verificação de identidade robusta .
A opção por fornecedores certificados que aderem a padrões como eIDAS ou ZertES garante segurança à prova de falsificação. O equilíbrio entre certificação e experiência do usuário é crucial para alcançar uma integração perfeita.
Na sua opinião, que equívocos sobre assinaturas digitais impedem uma adoção mais ampla e como podem ser resolvidos de forma eficaz?
Muitos provedores oferecem soluções convenientes de assinatura digital, permitindo aos usuários assinar documentos com apenas alguns cliques. Mas estas assinaturas não são seguras nem legalmente válidas, e as pessoas aprenderam com os seus conselhos jurídicos que precisam de usar papel para assinaturas relevantes. Assinaturas eletrônicas qualificadas baseadas em verificação sólida de identidade e padrões rígidos de segurança são legalmente equivalentes a assinaturas manuscritas e podem ser usadas para qualquer tipo de contrato. Para impulsionar a adoção, estamos promovendo que, depois de passar pelo processo de integração e identificação, a assinatura eletrônica seja muito mais rápida do que qualquer processo baseado em papel.
Como você avaliaria o nível atual de segurança fornecido pelas plataformas de assinatura digital e como elas podem resolver efetivamente a questão da falsificação e fraude de assinaturas?
A variedade de fornecedores é enorme e a qualidade das assinaturas é completamente opaca para não especialistas. Uma assinatura digital sem a identificação do signatário é inútil. Para não dar nenhuma chance à falsificação e fraude de assinaturas, apenas fornecedores certificados devem ser usados. Não estou falando de certificação ISO para hospedagem, mas de provedores que podem comprovar a certificação para eIDAS ou ZertES por uma autoridade de certificação credenciada como a KPMG e que trabalham com provedores de serviços de confiança estabelecidos.
Uma vez que setores como o governamental, o da saúde e o bancário são fortemente regulamentados, como é que estes setores responderam às preocupações de legalidade em torno das assinaturas digitais? Que medidas foram tomadas para integrar assinaturas digitais nas suas operações?
Organizações e empresas podem ser categorizadas em três níveis de maturidade:
- Negação: Estas organizações optam por ignorar o desenvolvimento e ater-se a processos de papel desatualizados e dispendiosos.
- Sangramento: Estas organizações reconhecem a necessidade de digitalização, mas muitas vezes enfrentam uma curva de aprendizagem desafiadora. Eles investem pesadamente em soluções personalizadas que são caras para conceituar, instalar e manter. Infelizmente, estas soluções não são escaláveis e não podem ser aplicadas a diferentes processos.
- Confiança: Estas organizações depositam a sua confiança em fornecedores competentes e certificados que compreendem os seus requisitos únicos, possuem a experiência técnica e o conhecimento dos requisitos regulamentares para oferecer assinatura baseada em identidade, o que lhes permite eliminar processos baseados em papel.
Que conselho você daria às organizações em setores altamente regulamentados que hesitam em adotar assinaturas digitais devido a questões de legalidade?
Na minha opinião, dois aspectos são cruciais. Por um lado, as organizações devem contar com um prestador de serviços certificado de acordo com os padrões eIDAS ou ZertES. Por outro lado, a experiência do utilizador nunca deve ser subestimada, pois desempenha um papel crucial no processo de integração. Fornecer uma experiência de usuário intuitiva e contínua não apenas aumenta a aceitação, mas também aumenta a taxa de conversão, capacitando as organizações a atingirem seus objetivos de forma mais eficaz.
Quais são os principais desafios de conformidade que as organizações enfrentam ao implementar assinaturas eletrónicas e como podem preparar-se para estes desafios para evitar multas ou sanções?
Quando se trata de assinaturas digitais, as organizações não devem ser facilmente influenciadas por fornecedores que simplesmente possuem amplas capacidades de manipulação de PDF. Embora o gerenciamento de PDFs seja importante, a verdadeira essência da assinatura digital reside na identificação precisa do signatário e na subsequente autorização segura de assinaturas individuais. É crucial ter uma integração perfeita entre o processo de identificação e a assinatura em si, idealmente facilitada por um único fornecedor de ponta a ponta (e2e). Ao garantir uma solução abrangente que abrange toda a jornada de assinatura, as organizações podem garantir um processo de assinatura digital robusto e seguro.
Considerando os custos iniciais de implementação de um sistema de assinatura digital, você pode compartilhar quaisquer dados ou exemplos que destaquem o ROI de longo prazo que as organizações obtiveram após adotarem esta tecnologia?
Existe um equívoco comum de que as assinaturas digitais exigem enormes custos iniciais. No entanto, ao escolher o fornecedor certo, você pode obter uma redução notável de 10 vezes nas despesas em comparação com os processos tradicionais baseados em papel. Isto leva a um ROI significativo, que pode ser alcançado até mesmo durante o período de aceleração.
Você pode fornecer informações sobre como a Diretiva de Assinatura Eletrônica na Europa impactou o reconhecimento legal e o uso de assinaturas eletrônicas nos estados membros?
A importância da Diretiva Assinatura Eletrónica não pode ser exagerada. Trouxe clareza jurídica e até influenciou as regulamentações contra a lavagem de dinheiro (AML) em vários estados. Consequentemente, temos agora uma situação em que o padrão de garantia de identidade é equivalente para AML e assinaturas digitais. Isto simplificou a implementação de assinaturas digitais para bancos e outros prestadores de serviços financeiros, uma vez que podem matar dois coelhos com uma cajadada só: identificam o novo cliente uma vez e colocam uma assinatura qualificada no contrato. Desta forma, cumprem a regulamentação AML e têm um contrato em vigor que não impõe quaisquer limitações aos serviços que podem ser prestados.
FONTE: HELPNET SECURITY