Método de autenticación de Adobe Acrobat Sign: Autenticación basada en conocimientos (KBA)

La autenticación basada en conocimientos (KBA) es un método de autenticación de dos factores premium que garantiza una verificación de alto nivel de la identidad. KBA solo es válido para comprobar la identidad de los destinatarios residentes en Estados Unidos.

El proceso de autenticación solicita al destinatario que introduzca su nombre y apellidos, además de su dirección postal. El destinatario puede, opcionalmente, introducir los últimos cuatro dígitos de su número de la Seguridad social de EE. UU.

La información introducida se utiliza para consultar varias bases de datos públicas, con lo que se genera una lista de tres a cuatro preguntas no triviales para el destinatario.

Preguntas de ejemplo:

• Seleccione el número de casa de la dirección que compartió con {un nombre}.
• ¿Cuál de los siguientes aviones es de su propiedad?
• ¿En cuál de las siguientes ciudades ha cursado estudios universitarios?
• ¿A quién compró la propiedad en {una dirección}?
• ¿Qué intervalo de edad corresponde a {un nombre}?

Una vez superada la autenticación, se concede al destinatario acceso para ver el acuerdo e interactuar con él.

Si el destinatario cierra el acuerdo por cualquier motivo antes de completar la acción, tendrá que volver a autenticarse.

Para protegerse de los intentos de autenticación mediante sistemas de fuerza bruta, se puede configurar el método KBA para que el acuerdo se cancele tras un número definido de intentos fallidos.

Una nota acerca de los datos personales del destinatario

La autenticación basada en conocimientos es un servicio que se proporciona mediante una asociación que emplea la tecnología InstantID Q&A de LexisNexis.

La página de desafío es un iframe para el servicio de LexisNexis. Todos los datos del destinatario introducidos y devueltos durante el proceso de autenticación existen únicamente dentro del marco de LexisNexis y nunca transitan por el servicio de Adobe Acrobat Sign.

Una vez que LexisNexis verifica al destinatario, se pasa a Acrobat Sign un token de autenticación que aprueba el acceso. El tokenID se almacena en el informe de auditoría como parte del registro de autenticación correcta.

Configuración del método de autenticación basada en conocimientos al redactar un nuevo acuerdo

Cuando la opción KBA está activada, el remitente puede seleccionarla en la lista desplegable Autenticación, justo a la derecha de la dirección de correo electrónico del destinatario:

Una configuración opcional del método KBA puede requerir que el remitente introduzca el nombre del destinatario.

Esta opción garantiza que el nombre del destinatario sea coherente durante toda la transacción.

Consumo de transacciones de autenticación prémium

Como método de autenticación premium, es preciso que compre y ponga a disposición de la cuenta transacciones KBA antes de poder enviar acuerdos con KBA habilitado.

Las transacciones de KBA se consumen por destinatario.

Por ejemplo, un acuerdo configurado con tres destinatarios que se autentiquen mediante KBA consume tres transacciones de autenticación.

La configuración de un acuerdo con varios destinatarios resta una transacción del volumen total disponible para la cuenta por cada destinatario que se autentique mediante KBA.

• Si se cancela un borrador de acuerdo con KBA configurado, todas sus transacciones de autenticación KBA se devuelven al volumen total disponible para la cuenta.
• Si se cancela una transacción en curso, no se devuelve la transacción de autenticación al volumen total disponible para la cuenta.
• Cambiar un método de autenticación a KBA (desde cualquier otro método) consume una transacción.
  • Si cambia varias veces al mismo destinatario entre KBA y otros métodos, solo se consumirá una transacción en total.
    
• Cambiar el método de autenticación de KBA a otro método no devuelve la transacción.
• Cada destinatario que se autentica con KBA consume una única transacción, independientemente de cuántas veces intente el proceso.

Seguimiento del volumen disponible

Para supervisar el volumen de transacciones de KBA disponibles para la cuenta:

• Vaya a Configuración de la cuenta > Configuración de envío > Métodos de autenticación de la identidad.
• Haga clic en el vínculo Realizar un seguimiento del uso:

Informe de auditoría

Una verificación correcta de la identidad mediante KBA se registra explícitamente en el informe de auditoría con el token de autenticación proporcionado por LexisNexis.

Si el acuerdo se cancela debido a que el destinatario no puede autenticarse, se indica explícitamente el motivo:

Prácticas recomendadas y consideraciones

• Si la autenticación de firma de segundo factor no es necesaria para sus firmas internas, plantéese el método de autenticación de Acrobat Sign en lugar de KBA para así reducir la fricción del proceso de firma y no consumir transacciones de autenticación prémium
  

Opciones de configuración

La autenticación basada en el conocimiento tiene dos conjuntos de controles, que están disponibles para configurarse en los niveles de cuenta y de grupo:

• Configuración de envío, que controla el acceso del remitente a la opción KBA y la configuración de la misma
• Configuración de seguridad, que gobierna la experiencia del destinatario

Habilite el método de autenticación en Configuración de envío

Para activar la opción de autenticación por teléfono para los remitentes, vaya a Configuración de envío > Métodos de autenticación de la identidad

• Casilla de verificación autenticación basada en el conocimiento: cuando está activada, la opción KBA queda disponible para los acuerdos redactados en el grupo.
• (Opcional) Requerir nombre del firmante en la página Enviar: cuando se selecciona esta opción, los remitentes deben proporcionar el Nombre del destinatario. Este valor de nombre persiste durante todo el ciclo de firma; el destinatario no puede cambiarlo.
  • Al habilitar esta opción, se impide que el destinatario delegue el acuerdo (incluida la autodelegación).
  • Reemplazar firmante funciona para el remitente desde la página Administrar moderna.
    
• (Opcional) Utilizar KBA al ver el acuerdo una vez firmado: cuando esta opción está habilitada, en cualquier intento de acceder al acuerdo en línea almacenado en Acrobat Sign mediante un vínculo se solicitará al solicitante que utilice el proceso KBA para volver a autenticarse (véase a continuación)
  • Nota: Esta autenticación solo es un método de seguridad para acceder al acuerdo original a través del vínculo y es diferente de la protección con contraseña para ver el PDF de un acuerdo
    
• (Opcional) Una vez que KBA está activado, puede definirlo como el método predeterminado que se ofrecerá al redactar un nuevo acuerdo.
• Guarde el cambio en la página.

Requiere autenticación para ver el acuerdo en línea original a través de un vínculo web

Las plantillas de correo electrónico, como la verificación posterior a la firma para el destinatario, pueden contener un vínculo al acuerdo original en los servidores de Acrobat Sign:

Al habilitar la opción Usar KBA al consultar el acuerdo después de haberse firmado, en cualquier intento de acceder al acuerdo a través del vínculo se aplicará un método de seguridad para volver a autenticar la identidad del destinatario a través de KBA.

• Esta configuración se incrusta en el acuerdo al crearse. Si se modifica dicha configuración, no cambia la experiencia de los acuerdos que ya están en proceso
• Si se cambia el método de verificación de la identidad del destinatario, se desactivará la autenticación para ver el acuerdo a través del vínculo
• Cada vez que un destinatario se autentica para ver el acuerdo, se consumen transacciones de autenticación premium
  

El proceso de seguridad es exactamente el mismo que el proceso de autenticación del destinatario original:

El acuerdo no se abrirá para que pueda visualizarse hasta que la KBA se haya resuelto correctamente.

No existe la opción de editar o deshabilitar la autenticación después de que el destinatario haya firmado y completado su acción.

Configuración de la Configuración de seguridad

La autenticación basada en conocimientos tiene tres opciones configurables que se encuentran en la página Configuración de seguridad:

• Restringir el número de intentos: esta casilla de verificación, activada de forma predeterminada, habilita la opción de seguridad para cancelar el acuerdo si un destinatario no se autentica dentro del número de intentos definido. Si está deshabilitada, los destinatarios pueden intentar autenticarse un número ilimitado de veces. 
  • Permitir al firmante XX intentos para validar su identidad entes de cancelar el acuerdo: el administrador puede introducir cualquier número para limitar el número de intentos de autenticación. Una vez superado el número de intentos, el acuerdo se cancela automáticamente.
• Nivel de dificultad de autenticación por conocimientos: define la complejidad del proceso de validación:
  • Predeterminado: se hará a los firmantes tres preguntas que deben responder correctamente. Si solo responden correctamente a dos, se les hará dos preguntas más que tendrán que responder correctamente
  • Estricto: se hará a los firmantes cuatro preguntas que deben responder correctamente. Si solo responden correctamente a tres, se les hará dos preguntas más que tendrán que responder correctamente

Cancelación automática de acuerdos cuando un destinatario no se autentica

Si la configuración restringe el número de intentos de autenticación con KBA y el destinatario alcanza ese número sin conseguir autenticarse, el acuerdo se cancela automáticamente.

El iniciador del acuerdo recibe un correo electrónico en el que se anuncia la cancelación, con una nota que identifica al destinatario que no se ha autenticado.

No se notifica a ninguna otra parte.