Ottenere firme e approvazioni da parte dei destinatari può richiedere diversi livelli di autenticazione a seconda del documento interessato. Adobe Acrobat Sign supporta una gamma completa di metodi di autenticazione, dalla semplice verifica tramite e-mail a fattore singolo fino all’autenticazione sofisticata a due fattori basata su documenti di identità.
Autenticazione dell’identità
L’autenticazione dell’identità dei destinatari è una funzionalità chiave del sistema Acrobat Sign, che consente di ottenere firme valide a livello legale e di migliorare la conformità.
Tuttavia, esigenze aziendali diverse comportano requisiti diversi per l’autenticazione dell’identità. Esaminiamo, ad esempio, i diversi livelli di verifica dell’identità richiesti per le transazioni seguenti:
- Richiesta per assenza dal lavoro
- Pagelle scolastiche dei figli
- Registrazione di eventi privati
- Iscrizione a una palestra
- Accesso a informazioni sanitarie
- Conformità dei documenti alle direttive CFR 21, parte 11
Acrobat Sign offre un set di controlli che consente di definire i tipi di autenticazione a livello di account e gruppo con valori predefiniti configurabili per ottimizzare l’esperienza del mittente e garantire una migliore conformità ai criteri di firma aziendale.
Tenendo presente che i metodi di autenticazione più affidabili aumentano la complessità del processo di firma, gli amministratori devono configurare le impostazioni predefinite dell’account o del gruppo in modo da supportare i requisiti di autenticazione più comuni, scegliendo se possibile l’opzione meno complessa e consentendo opzioni modificabili per le transazioni che richiedono soluzioni più complesse.
Terminologia chiave
Destinatari interni ed esterni
I controlli di autenticazione consentono di configurare i metodi di autenticazione per due tipi di destinatari: interni ed esterni.
- Sono destinatari interni tutti gli utenti attivi (identificati dall’indirizzo e-mail) inclusi nello stesso account Acrobat Sign da cui è stato inviato l’accordo.
- Un elenco di tutti gli utenti inclusi nel tuo account è un elenco di tutti gli utenti interni.
- Non importa in quale gruppo si trova il destinatario, purché l’utente sia incluso nella stessa struttura dell’account.
- Destinatari esterni sono tutti gli indirizzi e-mail del destinatario non associati a un utente interno.
- Qualsiasi indirizzo e-mail non incluso in un elenco di utenti a livello di account rappresenta un utente esterno.
La definizione dei destinatari in questo modo consente ai flussi di lavoro di sfruttare l’autenticazione di alto livello per i destinatari esterni, utilizzando al contempo un’autenticazione meno costosa per gli utenti interni.
È possibile che un’azienda (dominio di posta elettronica) disponga di più account Acrobat Sign.
Solo gli utenti che appartengono allo stesso specifico account si possono considerare interni. Gli account esterni ospitano sempre destinatari esterni.
Metodi di autenticazione del destinatario a fattore singolo
Autenticazione tramite e-mail
Acrobat Sign usa l’e-mail come metodo di autenticazione predefinito a fattore singolo, soddisfacendo i requisiti di firma elettronica legale ai sensi dell’ESIGN Act. Questo metodo è sufficiente per le esigenze di molti clienti.
La verifica tramite e-mail richiede che il destinatario:
- Acceda all’accordo dalla propria casella di posta elettronica
- Faccia clic sul collegamento presente nell’e-mail per accedere alla visualizzazione dell’accordo
- Completi tutte le azioni richieste (compilazione dei campi del modulo, firma) nell’accordo
- Faccia clic sul pulsante finale Fai clic per firmare per completare l’azione del destinatario
L’accesso al collegamento e-mail rappresenta una misura di identificazione sufficientemente affidabile, poiché tutti gli indirizzi e-mail sono univoci e l’accesso alla casella di posta elettronica è autenticato tramite password.
Le integrazioni o le azioni che ignorano la notifica e-mail a un destinatario dovrebbero includere un metodo di autenticazione a due fattori adatto per la conformità.
Autenticazione Acrobat Sign
L’autenticazione Acrobat Sign richiede al destinatario l’autenticazione nel sistema Acrobat Sign.
Questo metodo viene utilizzato principalmente come opzione di controfirma a “bassa complessità” per i destinatari interni quando si dispone di requisiti di firma che richiedono un evento registrato/autenticato per ogni firma.
Prestare attenzione prima di assegnare l’autenticazione Acrobat Sign a destinatari esterni.
- Autenticazione Acrobat Sign non è un metodo di autenticazione a due fattori.
- I destinatari esterni potrebbero disporre già di un’utenza Acrobat Sign attiva. In caso contrario, dovranno registrare e verificare un utente prima dell’autenticazione.
- I destinatari interni (per definizione) sono utenti attivi di Acrobat Sign, pertanto possono autenticarsi senza problemi.
I destinatari devono autenticarsi in Acrobat Sign prima di poter visualizzare il contenuto dell’accordo:
Password monouso tramite e-mail
Il metodo di autenticazione Password monouso tramite e-mail (OTPvEm) consente l’autenticazione a fattore singolo con un ulteriore livello di protezione.
Poiché il codice OTP viene inviato allo stesso indirizzo e-mail del collegamento originale della richiesta di firma, il metodo di autenticazione OTPvEm è considerato un metodo di autenticazione a fattore singolo. Tuttavia, con il metodo OTPvEm l’utente non deve un account né accedere a un’altra applicazione. Deve solo accedere alla propria casella email, rendendo questo metodo più semplice.
Inoltre, l’utilizzo di OTPvEm fornisce un livello di sicurezza in più rispetto al semplice collegamento inviato tramite e-mail. Esempio:
- L’accesso a un’e-mail non significa che la casella e-mail sia compromessa. Nel caso in cui sia esposto un collegamento e-mail ma la casella e-mail sia protetta, l’autenticazione OTMvEm mantiene la sicurezza dell’accordo.
- Se l’e-mail di un accordo viene inoltrata in modo inappropriato (invece di ricorrere alla delega), il metodo OTPvEm impedisce l’accesso all’accordo, mantenendo l’integrità del report di audit relativo all’e-mail del firmatario identificato e al firmatario effettivo.
Il destinatario deve immettere il codice di accesso entro 60 secondi dalla richiesta del codice. Una volta immesso il codice, il destinatario può accedere all’accordo.
Autenticazione a due fattori (2FA)
Acrobat Sign supporta diversi metodi di autenticazione a due fattori per transazioni di valore più elevato che richiedono più di una semplice verifica tramite e-mail.
Il metodo di autenticazione è solitamente dettato dal tipo di documento o di settore delle parti interessate. Spetta all’amministratore analizzare i requisiti interni in materia di firma e le eventuali esigenze di conformità.
Di seguito è riportato un riepilogo delle opzioni di autenticazione a due fattori disponibili con i rispettivi collegamenti a ulteriori informazioni.
Con l’autenticazione del firmatario tramite password, il mittente deve digitare la password (due volte).
- Le password possono contenere solo caratteri alfanumerici. Non possono contenere caratteri speciali.
- Il mittente deve comunicare la password al firmatario tramite un canale esterno.
- La password non viene memorizzata in chiaro in alcuna area dell’applicazione. Se la password viene persa, non può essere recuperata e il mittente dovrà reimpostarla.
Ai destinatari viene richiesto di immettere la password prima di poter visualizzare il contenuto dell’accordo:
Con l’autenticazione tramite telefono, viene inviato sul telefono cellulare del mittente un codice a sei cifre da immettere per poter accedere all’accordo.
- Il numero di telefono del destinatario deve essere immesso durante la creazione dell’accordo da parte del mittente.
- Se il destinatario delega la sua firma, verrà chiesto di fornire un numero di telefono valido per il nuovo destinatario. È necessario fornire un numero di telefono corretto, in caso contrario, l’autenticazione non avrà esito positivo.
- Il destinatario può selezionare un SMS (per i cellulari che possono riceverlo) o una Chiamata telefonica (se non è disponibile un telefono con supporto di SMS).
- Il codice di autenticazione è valido per dieci minuti dopo il suo invio.
Il destinatario richiede il codice e deve immetterlo prima di visualizzare il contenuto dell’accordo:
L’autenticazione basata su conoscenza è un metodo di autenticazione di livello avanzato utilizzato principalmente dagli istituti finanziari e in altri scenari in cui è richiesta una verifica avanzata dell’identità del firmatario.
Al destinatario viene richiesto di immettere informazioni personali, che vengono utilizzate per raccogliere diverse domande non banali sul passato (utilizzando database pubblici). Per poter accedere all’accordo sarà quindi necessario rispondere correttamente a ogni domanda.
Il metodo KBA è valido solo per i destinatari che si trovano negli Stati Uniti.
L’autenticazione tramite documento di identità richiede al destinatario di fornire un’immagine di un documento emesso da un ente pubblico (patente di guida, passaporto) e un selfie per definire un record di verifica valido.
I destinatari devono fornire inizialmente un numero di telefono di uno smartphone e quindi seguire il processo di caricamento del documento e di selezione delle immagini del selfie:
Le firme digitali basate su cloud richiedono che un firmatario si autentichi a un provider di identità di terze parti per applicare una firma digitale.
Acrobat Sign supporta un'ampia gamma di fornitori di firme in diversi paesi. Gli amministratori possono configurare il proprio account (o gruppi specifici) per accettare le firme digitali da uno o più fornitori.
Nella maggior parte dei casi, i clienti stipulano un accordo con il provider di identità per gestire il volume di firme. Acrobat Sign funge solo da piattaforma per la firma digitale da richiedere e fornire, senza costi aggiuntivi richiesti da Adobe. Gli account con una licenza VIP possono acquistare transazioni di identità Aadhaar tramite Adobe come componente aggiuntivo e monitorarne il consumo nel menu amministratore.
Metodi di autenticazione del firmatario Premium (a pagamento)
I metodi di autenticazione tramite Telefono, Autenticazione basata su conoscenza, Documento di identità e Firme digitali basate su cloud sono metodi di autenticazione “premium”.
I metodi di autenticazione premium (a pagamento) sono risorse soggette a misurazione che devono essere acquistate prima dell’uso. Per ulteriori informazioni, rivolgiti al tuo Success Manager o agente commerciale.
I nuovi account di livello Enterprise e Business ricevono 50 transazioni gratuite per l’autenticazione tramite Telefono e KBA al lancio dell’account.
Soglie di annullamento automatico
Tutti i metodi di autenticazione a due fattori prevedono la configurazione di una soglia il cui superamento da parte del destinatario determina l’annullamento dell’accordo.
- Il proprietario dell’accordo (mittente) riceverà la notifica che l’accordo è stato annullato.
- La notifica viene inviata solo al mittente..
- Gli accordi annullati non possono essere ripristinati a uno stato attivo. È necessario creare un nuovo accordo.
Verifica dell’identità digitale
La verifica dell’Identità digitale utilizza un IdP (Federated Identity Provider) mediante una licenza esterna al servizio Acrobat Sign e deve essere configurato prima di diventare accessibile durante la composizione degli accordi.
Dettagli completi della soluzione Identità digitale >
I dettagli dell’esperienza del destinatario variano in base al provider di identità utilizzato dal mittente. Ad alto livello, il destinatario viene informato che la verifica dell’identità deve essere risolta tramite un IdP (Federated Identity Provider), con un pulsante Verifica identità per attivare il processo di verifica.
Selezione di un metodo di autenticazione da parte dei mittenti
Durante la configurazione di un accordo, il mittente può selezionare un metodo di autenticazione da un menu a discesa disponibile a destra dell’indirizzo e-mail del destinatario.
La maggior parte dei metodi di autenticazione può essere configurata come valore predefinito selezionato per semplificare il processo di invio. Solo le opzioni Identità digitale non possono essere configurate come valore di autenticazione predefinito.
Esperienza del destinatario
In genere, un destinatario viene prima informato di un accordo che richiede la sua attenzione tramite e-mail.
- Se l’accordo viene inviato solo con autenticazione di tipo E-mail, facendo clic sul pulsante Rivedi e firma nel messaggio e-mail si apre l’accordo per la visualizzazione e l’azione.
- Se per l’accordo è configurata l’autenticazione aggiuntiva a due fattori, facendo clic sul pulsante Rivedi e firma nell’e-mail si apre la pagina di verifica dell’autenticazione.
- Una volta soddisfatta la verifica, l’accordo si apre per la visualizzazione e per intraprendere le azioni necessarie.
- Una volta soddisfatta la verifica, l’accordo si apre per la visualizzazione e per intraprendere le azioni necessarie.
Eventi del report di audit
Ogni metodo di autenticazione a due fattori prevede un messaggio di riuscita esplicito in cui è identificato il metodo utilizzato.
Con l’autenticazione tramite e-mail viene indicato semplicemente che il documento è stato firmato:
Opzioni configurabili e impostazioni predefinite
Controlli per l’amministratore
Per accedere alle impostazioni a livello di account è necessario accedere come amministratore Adobe Sign a livello di account e passare a Impostazioni account > Impostazioni di invio > Opzioni di autenticazione firmatario
Tutti i controlli possono anche essere configurati a livello di gruppo. Ricorda i seguenti aspetti:
- Per impostazione predefinita, tutti i gruppi ereditano le impostazioni a livello di account.
- Le impostazioni a livello di gruppo hanno precedenza rispetto a quelle a livello di account.
- Tutte le opzioni disponibili sulla pagina Invia sono derivate dalle impostazioni del gruppo da cui viene inviato l’accordo.
I controlli sono suddivisi in due sezioni:
- Opzioni di identificazione firmatario: il set primario di impostazioni per l’autenticazione dell’identità. Questi valori vengono applicati a tutti i destinatari di tutti gli accordi creati nel gruppo di invio con le seguenti eccezioni:
- Processi basati su API, che possono limitare le opzioni del mittente (integrazioni, flussi di lavoro, applicazioni personalizzate).
- Quando l’opzione Abilita metodi diversi di autenticazione dell’identità per i destinatari interni è abilitata (vedi di seguito).
- Processi basati su API, che possono limitare le opzioni del mittente (integrazioni, flussi di lavoro, applicazioni personalizzate).
- Autenticazione dell’identità per i destinatari interni: questo sottoinsieme di impostazioni consente al gruppo di definire un insieme diverso di metodi di autenticazione dell’identità per i destinatari interni. Questa caratteristica offre i seguenti vantaggi:
- Un livello di complessità inferiore per i firmatari interni.
- Un processo di firma meno complesso e più rapido per chi deve controfirmare numerosi accordi.
- I costi per l’autenticazione premium possono essere evitati per i destinatari interni.
Metodi di autenticazione identità
Controlli di autenticazione principali:
- I mittenti devono specificare uno dei metodi di autenticazione abilitati per i destinatari: se questa opzione è abilitata, è necessario selezionare un metodo di autenticazione diverso dall’e-mail come metodo di autenticazione predefinito. L’e-mail non è una scelta possibile.
- Consenti ad Acrobat Sign di compilare automaticamente l’indirizzo e-mail dei firmatari per ogni verifica di autenticazione: questa impostazione si applica solo al metodo Autenticazione Adobe Sign. Se questa opzione è abilitata, l’indirizzo e-mail del destinatario viene automaticamente inserito nel punto che richiede l’autenticazione.
- Non richiedere al firmatario di autenticarsi nuovamente se ha già effettuato l’accesso in Acrobat Sign: questa impostazione si applica solo al metodo di autenticazione Acrobat Sign. Se questa opzione è attivata, i firmatari non vengono invitati a eseguire nuovamente l’autenticazione se sono già connessi ad Acrobat Sign.
- Consenti ai mittenti di scaricare un report sull’identità dei firmatari per gli accordi contenenti firme verificate: i report sull’identità dei firmatari sono disponibili per i metodi di autenticazione Documento di identità e Identità digitale . Questa impostazione, se attivata, consente al mittente dell’accordo di scaricare il report sull’identità dei firmatari dalla propria pagina Gestisci.
- Abilita i seguenti metodi di autenticazione dell’identità: precede l’elenco delle opzioni di autenticazione disponibili per i mittenti. Seleziona una o più opzioni in base alle esigenze di sicurezza e conformità.
- Per impostazione predefinita, usa il seguente metodo: questa opzione permette di impostare il metodo di autenticazione predefinito da inserire quando un destinatario viene aggiunto a un nuovo accordo.
- Consenti ai mittenti di modificare il metodo di autenticazione predefinito: se selezionata, il mittente può selezionare qualsiasi metodo consentito per il gruppo da cui si sta inviando.
- Se è deselezionata, potrà essere usato solo il metodo di autenticazione predefinito.
Autenticazione dell’identità per destinatari interni
I controlli per i destinatari interni forniscono le opzioni da applicare ai destinatari interni:
- Consentire metodi di autenticazione dell’identità diversi per i destinatari interni: se questa opzione è attivata, i destinatari interni vengono trattati come un’eccezione rispetto alle regole di autenticazione principali e vengono invece visualizzate le opzioni di autenticazione/valore predefinite configurate nella sezione di autenticazione identità per destinatari interni..
- Abilita i seguenti metodi di autenticazione dell’identità per i destinatari: questa opzione consente di definire l’elenco di opzioni disponibili per l’autenticazione dei destinatari. Seleziona una o più opzioni in base alle esigenze di sicurezza e conformità..
- L’opzione Autenticazione Adobe Sign offre un metodo di autenticazione rapido e a basso costo per i mittenti che sono anche controfirmatari.
- L’opzione Autenticazione Adobe Sign offre un metodo di autenticazione rapido e a basso costo per i mittenti che sono anche controfirmatari.
- Per impostazione predefinita, usa il seguente metodo: stabilisce il metodo predefinito da utilizzare per i destinatari interni quando viene creato un nuovo accordo.
- Consenti ai mittenti di modificare il metodo di autenticazione predefinito: con questa opzione è possibile consentire al mittente di cambiare il metodo di autenticazione predefinito, impostando un’altra delle opzioni abilitate dall’amministratore.
Eccezione del modulo web per l’autenticazione dell’identità
I moduli web vengono usati per numerosi casi d’uso e spesso hanno requisiti di autenticazione di livello inferiore.
Per gli account/gruppi che non richiedono l’autenticazione delle firme dei moduli web, è possibile configurare l’opzione per disabilitare la verifica tramite e-mail:
- Passa a: Impostazioni account > Impostazioni globali > Moduli web (per le impostazioni a livello di account).
- Modifica le impostazioni Gruppo: {Group Name} > Impostazioni gruppo > Moduli web (per le impostazioni a livello di gruppo).
- Deseleziona l’opzione Richiedi al firmatario di verificare il suo indirizzo e-mail per accettare firme di moduli web senza verifica.
- La rimozione dell’obbligo di verifica della firma del modulo web non elimina l’obbligo di fornire un indirizzo e-mail da parte del firmatario.
Best practice e considerazioni
- Tutti i metodi e le opzioni di autenticazione possono essere configurati a livello account e di gruppo.
- Tutti i gruppi ereditano i valori predefiniti dalle impostazioni a livello di account. Progetta le impostazioni a livello di account per sfruttare al meglio l’ereditarietà automatica della proprietà, riducendo al minimo la configurazione successiva del gruppo..
- Gli accordi derivano le opzioni di autenticazione dal gruppo da cui viene inviato l’accordo. Se non sono visualizzate le opzioni previste, controlla le impostazioni a livello di gruppo..
- Verifica i requisiti di autenticazione dell’identità e per l’eventuale conformità alle normative per i tipi di documenti che stai inviando. Se è richiesta l’autenticazione premium (a pagamento), assicurati di aver acquistato un volume sufficiente per il traffico previsto..
- Autenticazione tramite documento di identità: i) non è destinato a flussi di lavoro e casi d'uso regolamentati o ad alto valore in materia di firma elettronica; ii) non può rilevare tutti i documenti di identificazione fraudolenti o “falsi”; e iii) non può sostituire la necessità di una revisione da parte di una persona.
- Verifica se sono presenti flussi di firma che potrebbero richiedere autenticazioni a due fattori, ad esempio:
- Firme ospitate
- Soluzioni personalizzate progettate per sopprimere le notifiche e-mail (ad esempio, Workday)
- Flussi di firma che richiedono firme valide da due o più destinatari utilizzando lo stesso indirizzo e-mail (condiviso)
- Valuta se/dove è utile disporre di diversi standard di autenticazione per i destinatari interni..
- Gli account con accesso a flussi di lavoro personalizzati possono definire metodi di autenticazione molto precisi per ciascun flusso di firma, consentendo un valore predefinito di minore complessità (e volume potenzialmente più elevato), garantendo al tempo stesso la conformità nei processi di firma critici..
- Tieni presente che i singoli metodi di autenticazione devono essere abilitati prima che diventino disponibili per altri servizi. L’abilitazione di un metodo lo espone per:
- Altri controlli amministrativi, come le Impostazioni di sicurezza per i metodi di autenticazione a due fattori
- Utenti da selezionare durante il processo di invio standard
- I flussi di lavoro personalizzati, creati nel modulo di creazione di flussi di lavoro
- Eventi di invio basati su API
- Accesso alle integrazioni (Dynamics, Salesforce)
- Altri controlli amministrativi, come le Impostazioni di sicurezza per i metodi di autenticazione a due fattori
Accedi al tuo account