La obtención de firmas y aprobaciones de los destinatarios puede requerir distintos niveles de autenticación en función del documento en cuestión. Adobe Sign es compatible con una amplia gama de métodos de autenticación, desde la verificación simple por correo electrónico de un solo factor hasta la autenticación sofisticada de dos factores basada en documentos oficiales.

Autenticación de la identidad

La autenticación de la identidad de un destinatario es un elemento clave del sistema de Adobe Sign para obtener una firma legal y mejorar la irrefutabilidad.

Sin embargo, en la autenticación de la identidad confluyen distintos fines comerciales con exigencias diferentes. Tenga en cuenta los diferentes niveles de garantía de identidad que exigiría para las transacciones siguientes:

  • Solicitud de permiso laboral en el trabajo
  • Tarjeta de graduación del niño de la escuela
  • Registro de eventos privados
  • Abono a un gimnasio
  • Acceso a los historiales médicos
  • Documentos que cumplen con CFR 21, parte 11

Adobe Sign proporciona un conjunto de controles que permite definir tipos de autenticación en el nivel de cuenta y de grupo con valores predeterminados definibles para optimizar la experiencia del remitente y garantizar mejor el cumplimiento de las políticas de firma de la empresa.

Teniendo en cuenta que los métodos de autenticación más sólidos generan más "fricción" en el proceso de firma, los administradores deben configurar los valores predeterminados de la cuenta o el grupo para que sean compatibles con el requisito de autenticación más común, optar por la opción menos compleja cuando sea posible y permitir opciones editables si algunas transacciones requieren soluciones más complejas.


Terminología clave

Destinatarios internos frente a externos

Los controles de autenticación realizan adaptaciones específicas para configurar métodos de autenticación para dos tipos de destinatarios, internos y externos:

  • Los destinatarios internos incluyen a todos los usuarios activos (identificados por la dirección de correo electrónico) de la misma cuenta de Adobe Sign desde la que se ha enviado el acuerdo
    • Una lista de todos los usuarios de su cuenta es una lista de todos los usuarios internos
    • No importa en qué grupo se encuentre el destinatario, siempre y cuando el usuario esté en la estructura de la misma cuenta
  • Los destinatarios externos incluyen las direcciones de correo electrónico de destinatarios que no están asociadas a un usuario interno
    • Las direcciones de correo electrónico no incluidas en una lista de usuarios de nivel de cuenta son usuarios externos

Definir a los destinatarios de esta forma permite que los flujos de trabajo aprovechen la autenticación de alto nivel para los destinatarios externos a la vez que se utiliza una autenticación más rentable para los usuarios internos.

Nota:

Es posible que una empresa (dominio de correo electrónico) tenga varias cuentas de Adobe Sign.

Solo los usuarios residentes en cada cuenta independiente son internos entre sí. Las cuentas externas alojan a los destinatarios externos en todos los casos.


Métodos de autenticación de destinatarios

Autenticación por correo electrónico

De forma predeterminada, Adobe Sign utiliza el correo electrónico como método de autenticación de un factor, lo que satisface los requisitos de la ley ESIGN para una firma electrónica legal. Para muchos clientes, esto es suficiente para la mayoría de sus necesidades.

En la verificación por correo electrónico, el destinatario debe hacer lo siguiente:

  • Acceder al acuerdo desde su buzón de correo electrónico
  • Hacer clic en el vínculo del correo electrónico para acceder a la vista del acuerdo
  • Completar las acciones designadas (rellenar campos de formulario, firmar, etc.) en el acuerdo
  • Hacer clic en el botón final Hacer clic para firmar para finalizar la acción del destinatario

Acceder al vínculo del correo electrónico establece una medida razonable de identificación, ya que todas las direcciones de correo electrónico son únicas y el acceso al correo electrónico se autentica mediante contraseña.

Las integraciones o acciones que omiten la notificación por correo electrónico a un destinatario deben incluir un método de autenticación de segundo factor adecuado para la irrefutabilidad.


Autenticación de segundo factor (2FA)

Adobe Sign es compatible con varios métodos de autenticación de segundo factor en el caso de transacciones de mayor valor que requieren más que una simple verificación por correo electrónico.

El tipo de documento o el sector de las partes involucradas suele determinar el método de autenticación. Corresponde al administrador comprender sus políticas de firma internas y las posibles exigencias de cumplimiento.

A continuación se muestra un resumen de las opciones de autenticación de segundo factor disponibles con vínculos a descripciones más detalladas:

Las autenticaciones con contraseña del firmante requieren que el remitente escriba la contraseña (dos veces)

  • Las contraseñas son únicamente alfanuméricas. Sin caracteres especiales
  • El remitente debe comunicar la contraseña al destinatario mediante algún canal externo
  • La contraseña no se almacena como texto no cifrado en ninguna parte de la aplicación. Si se pierde la contraseña, no se puede recuperar y el remitente tendrá que restablecerla

Se solicita a los destinatarios que introduzcan la contraseña antes de que puedan ver el contenido del acuerdo:

Método de seguridad de autenticación por contraseña

En la autenticación de Adobe Sign se solicita al destinatario que se autentique en el sistema de Adobe Sign.

Utilice este método principalmente como opción de contrafirma "de baja fricción" para los destinatarios internos cuando tenga requisitos de firma que requieran un evento registrado o autenticado para cada firma.

Precaución:

Se debe tener cuidado antes de asignar la autenticación de Adobe Sign a destinatarios externos:

  • Se sabe que los destinatarios internos (por definición) son usuarios activos de Adobe Sign, por lo que se sabe que pueden autenticarse sin problemas
  • Los destinatarios externos pueden tener o no un usuario de Adobe Sign activo. Si no lo tienen, deberán registrar y verificar a un usuario antes de autenticarse

 

Se solicita a los destinatarios que se autentiquen en Adobe Sign antes de poder ver el contenido del acuerdo:

Método de seguridad de autenticación de Adobe Sign

En la autenticación por teléfono se envía al destinatario un código de seis dígitos que debe introducirse para que se muestre el acuerdo.

  • El remitente debe introducir el número de teléfono del destinatario durante la creación del acuerdo
  • Si el destinatario delega su autoridad de firma, se le solicitará que proporcione un número de teléfono válido para el destinatario nuevo. Si no se proporciona un número de teléfono correcto, no se podrá realizar la autenticación
  • El destinatario tiene la opción de seleccionar un Mensaje de texto (para teléfonos inteligentes que puedan recibir mensajes de texto) o una Llamada de voz (si no dispone de un teléfono con capacidad de texto)
    • El código de autenticación será válido para un periodo de 10 minutos desde el momento de su entrega

El destinatario solicita el código y debe introducirlo antes de ver el contenido del acuerdo:

Método de seguridad en la autenticación por teléfono

La autenticación basada en conocimientos es un método de autenticación de alto nivel que se usa principalmente en instituciones financieras y otros escenarios en los que se exige una confirmación segura de la identidad del firmante.

Se solicita al destinatario que introduzca información personal, que se utiliza para reunir varias preguntas no triviales de su pasado (mediante bases de datos públicas). Para obtener acceso al acuerdo es preciso responder correctamente todas las preguntas.

La KBA solo es válida para los destinatarios de EE. UU.

Método de seguridad de autenticación KBA

En la autenticación con identificación oficial se indica al destinatario que proporcione una imagen de un documento oficial (permiso de conducir, pasaporte, etc.) y un selfie para establecer un registro de verificación sólido.

Inicialmente se presenta a los destinatarios un método de seguridad para que proporcionen el número de teléfono de un smartphone y, después, se les muestra el proceso de cargar el documento y las imágenes de selfies:

Método de seguridad de la autenticación con identificación oficial


Métodos de autenticación de firmantes "premium"

Los métodos de autenticación por teléfono, KBA y con identificación oficial son "premium".

Los métodos de autenticación premium son un recurso medido que debe comprarse antes de utilizarse. Póngase en contacto con su administrador de éxito o agente de ventas para obtener más información.

Nota:

Al iniciarlas, las nuevas cuentas Enterprise y Business reciben 50 transacciones gratuitas por teléfono y KBA.


Umbrales de cancelación automática

Todos los métodos de autenticación de segundo factor tienen umbrales configurables con los que se cancela el acuerdo cuando un destinatario no logra autenticarse un número de veces inaceptable.

  • Se notificará al propietario del acuerdo (remitente) que se ha cancelado el acuerdo
    • Solo se notifica al remitente
    • Los acuerdos cancelados no pueden volver a tener un estado activo. Debe crearse un acuerdo nuevo


Cómo seleccionan los remitentes un método de autenticación

Al configurar un acuerdo, los remitentes pueden seleccionar un método de autenticación en el menú desplegable a la derecha de la dirección de correo electrónico del destinatario.

Un administrador puede configurar el método de autenticación predeterminado para simplificar el proceso de envío. Si es necesario, pueden estar disponibles otras opciones.

Interfaz de usuario del remitente


Experiencia del destinatario

Normalmente, un destinatario recibe primero un aviso de un acuerdo que espera su atención por correo electrónico.

  • Si el acuerdo se envía solo con autenticación por correo electrónico, al hacer clic en el botón Revisar y firmar del correo electrónico se abre el acuerdo para que se visualice y se puedan realizar las acciones correspondientes
  • Si el acuerdo tiene configurada la autenticación de segundo factor, al hacer clic en el botón Revisar y firmar del correo electrónico se abre la página del método de seguridad de la autenticación de segundo factor
    • Una vez satisfecho el método de seguridad de la autenticación de segundo factor, se abre el acuerdo para que se visualice y se puedan realizar las acciones correspondientes
Revisar y firmar correo electrónico


Eventos del informe de auditoría

Cada método de autenticación de segundo factor tiene un mensaje explícito de éxito en el que se identifica el método utilizado.

Con la autenticación por correo electrónico simplemente se indica que el documento se ha firmado:

Informe de auditoría para la autenticación de la identidad basada en correo electrónico


Opciones configurables y valores predeterminados

Controles del administrador

Para acceder a la configuración de nivel de cuenta, inicie sesión como administrador de nivel de cuenta de Adobe Sign y vaya a Configuración de cuenta > Configuración de envío > Métodos de autenticación de la identidad

Los controles se dividen en dos secciones:

  • Métodos de autenticación de la identidad: el conjunto principal de opciones de autenticación de la identidad. Estos valores se aplican a todos los destinatarios de todos los acuerdos creados en el grupo de envío con las excepciones siguientes:
    • Procesos basados en API, que pueden restringir las opciones del remitente (integraciones, flujos de trabajo, aplicaciones personalizadas, etc.)
    • Cuando está activada la opción Distintos métodos de autenticación de la identidad para destinatarios internos (ver más adelante)
  • Autenticación de la identidad para destinatarios internos: este subconjunto de opciones permite al grupo definir un conjunto diferente de métodos de autenticación de la identidad para los destinatarios internos. Esto ofrece las ventajas siguientes:
    • Menos frustración para los firmantes internos
    • Un proceso de firma menos complejo acelera la firma por parte de destinatarios que tal vez tengan que contrafirmar muchos acuerdos
    • Se evitan los costos de la autenticación premium para destinatarios internos
Métodos de autenticación de la identidad en la interfaz de usuario del administrador


Métodos de autenticación de la identidad

Los controles de autenticación principales son estos:

  • Requerir que los remitentes especifiquen uno de los métodos de autenticación habilitados: cuando esta opción esté habilitada, deberá seleccionar un método de segundo factor como método de autenticación predeterminado. Es posible que la opción Correo electrónico no se pueda seleccionar.
  • Permitir que Adobe Sign rellene automáticamente la dirección de correo electrónico de los firmantes para cada método de seguridad de autenticación: esta opción solo se aplica al método de autenticación de Adobe Sign. Cuando está habilitada, la dirección de correo electrónico del destinatario se inserta automáticamente donde sea necesario para la autenticación
  • No presentar al firmante ningún método de seguridad para que vuelva a autenticarse si ya ha iniciado sesión en Adobe Sign: esta opción solo se aplica al método de autenticación de Adobe Sign. Cuando está habilitada, no se presenta a los firmantes ningún método de seguridad para volver a autenticarse si ya han iniciado sesión en Adobe Sign
  • Habilitar los siguientes métodos de autenticación de la identidad: esto precede a la lista de opciones de autenticación de segundo factor disponibles para los remitentes. Seleccione una o más según sus necesidades de seguridad/cumplimiento.
  • De forma predeterminada, utilizar el método siguiente: establece el método de autenticación predeterminado que se inserta al añadir a un destinatario a un acuerdo nuevo.
  • Permitir que los remitentes cambien el método de autenticación predeterminado: si esta opción está activada, el remitente puede seleccionar cualquier método habilitado para el grupo desde el que envía.
    • Cuando esta opción está deshabilitada, solo se puede utilizar el método de autenticación predeterminado.


Autenticación de la identidad para los destinatarios internos

Los controles internos del destinatario proporcionan las opciones que se aplican a los destinatarios internos:

  • Habilitar diferentes métodos de autenticación de la identidad para los destinatarios internos: cuando esta opción está habilitada, los destinatarios internos se tratan como una excepción a las reglas de autenticación principales y, en su lugar, se presentan con las opciones predeterminadas de valor/autenticación definidas en la sección Autenticación de la identidad para los destinatarios internos
  • Habilitar los siguientes métodos de autenticación de la identidad: esto precede a la lista de opciones disponibles para la autenticación de destinatarios internos. Seleccione una o más según sus necesidades de seguridad/cumplimiento.
    • La autenticación de Adobe Sign proporciona un método de autenticación asequible y de baja fricción cuando los remitentes también son contrafirmantes
  • De forma predeterminada, utilice el método siguiente: establece el método predeterminado insertado para los destinatarios internos al crear un acuerdo nuevo
  • Permita que los remitentes puedan cambiar el método de autenticación predeterminado: concede al remitente la autoridad para cambiar el método de autenticación predeterminado a cualquier opción habilitada por el administrador


Configuración de nivel de grupo

Cada grupo de una cuenta hereda la configuración de autenticación predeterminada de la configuración de nivel de cuenta.

Cada grupo tiene la capacidad de anular la configuración de la cuenta heredada para ajustar los valores predeterminados y las opciones disponibles para los acuerdos generados en ese grupo.

Para acceder a los controles administrativos de nivel de grupo para la autenticación de la identidad, se debe iniciar sesión como administrador de Adobe Sign:

Para los administradores de nivel de grupo que no tienen acceso a nivel de cuenta:

  • Vaya a Mi grupo de usuarios > Enviar configuración
  • Marque la casilla Anular la configuración de la cuenta de esta página
    • Al marcarla, el grupo puede deshacerse de la herencia de la configuración de nivel de cuenta y se sustituyen los valores seleccionados explícitamente para el grupo. Ya no se heredarán actualizaciones de los valores de configuración de nivel de cuenta
    • Si no tiene la opción de anular la configuración, la configuración de administración de nivel de cuenta suprimirá la autoridad de edición de grupo
  • Desplácese hacia abajo por la página hasta la sección Métodos de autenticación de la identidad y configúrela según sea necesario
Navegación de administración de grupos

  • Vaya a la pestaña Grupos
  • Haga clic en el grupo para que se muestren los vínculos de acción en la parte superior de la lista
  • Haga clic en el vínculo Configuración de grupo
    • Se cargará el menú de configuración del grupo
  • Seleccione Configuración de envío en las opciones del menú de la izquierda
  • Marque la casilla Anular la configuración de la cuenta de esta página
    • Al marcarla, el grupo puede deshacerse de la herencia de la configuración de nivel de cuenta y se sustituyen los valores seleccionados explícitamente para el grupo. Ya no se heredarán actualizaciones de los valores de configuración de nivel de cuenta
    • Si no tiene la opción de anular la configuración, la configuración de administración de nivel de cuenta suprimirá la autoridad de edición de grupo
  • Desplácese hacia abajo por la página hasta la sección Métodos de autenticación de la identidad y configúrela según sea necesario
Acceso del administrador a los controles de grupo


Excepción de formulario web a la autenticación de la identidad

En muchos casos, los formularios web tienen un uso único y normalmente hay menos demanda de autenticación de la identidad aplicada.  

En cuentas o grupos en los que no sea necesario autenticar firmas de formulario web, se puede configurar la opción para desactivar la verificación por correo electrónico de la manera siguiente:

  • Ir a: Configuración de la cuenta > Configuración global > Formularios web (para la configuración de nivel de cuenta)
    • Editar Grupo: {Nombre del grupo} > Configuración del grupo > Formularios web (para la configuración de nivel de grupo)
  • Desmarque la opción Requerir que el firmante verifique su dirección de correo electrónico para aceptar firmas de formulario web sin verificación
    • Al eliminar el requisito de verificar la firma del formulario web, no se elimina el requisito de que el firmante proporcione una dirección de correo electrónico
Controles de formulario web


Prácticas recomendadas y consideraciones

  • Es posible configurar todos los métodos y las opciones de autenticación a nivel de cuenta y de grupo.
  • Los grupos heredan sus valores de configuración predeterminados de la configuración de nivel de cuenta. Diseñe la configuración de nivel de cuenta para aprovechar al máximo la herencia de propiedades automática y minimizar la configuración de grupos más adelante.
  • Los acuerdos obtienen sus opciones de autenticación del grupo desde el que se envía el acuerdo. Si no ve las opciones que espera, compruebe la configuración de nivel de grupo
  • Evalúe los requisitos de autenticación de la identidad para los tipos de documentos que envía y si están sujetos a alguna normativa de cumplimiento. Si se requiere autenticación "premium", asegúrese de haber comprado volumen suficiente para el tráfico esperado.
  • Determine si hay flujos de firma que puedan requerir autenticaciones de segundo factor, como:
    • Firmas alojadas
    • Soluciones personalizadas diseñadas para suprimir las notificaciones por correo electrónico (por ejemplo, Workday)
    • Flujos de firma que intentan obtener firmas legales de dos o más destinatarios que utilizan la misma dirección de correo electrónico (compartida)
  • Identifique si, y en qué casos, es útil tener diferentes estándares de autenticación para los destinatarios internos
  • En las cuentas con acceso a flujos de trabajo personalizados se pueden definir métodos de autenticación muy precisos para cada uno de los flujos de firma, por lo que el valor predeterminado tendrá una fricción menor (y un volumen potencialmente mayor), a la vez que se garantiza el cumplimiento de las normas en los procesos de firma críticos
  • Tenga en cuenta que se deben habilitar los métodos de autenticación individuales antes de que estén disponibles para otros servicios. Una vez habilitado, un método se muestra en los casos siguientes:
    • Otros controles administrativos, como Configuración de seguridad para los métodos de autenticación de segundo factor
    • Usuarios que se deben seleccionar durante el proceso estándar Enviar
    • Flujos de trabajo personalizados creados en el Diseñador de flujos de trabajo
    • Eventos de envío impulsados por API
    • Acceso de integración (Dynamics, Salesforce)