Métodos de autenticação de identidade do Adobe Sign

A obtenção de assinaturas e aprovações de destinatários pode exigir níveis variados de autenticação, dependendo do documento envolvido. O Adobe Sign é compatível com uma ampla variedade de métodos de autenticação, desde a simples verificação por email de fator único até a sofisticada autenticação de dois fatores baseada em documentos emitidos pelo governo.

Autenticação de identidade

A autenticação da identidade de um destinatário é um elemento-chave do sistema Adobe Sign para obter uma assinatura legal e melhorar o não repúdio.

No entanto, diferentes objetivos comerciais têm diferentes exigências de autenticação de identidade. Analise os diferentes níveis de certificação de identidade que você exigiria para as transações abaixo:

  • Solicitação de licença no trabalho
  • Boletim infantil da escola
  • Registro de evento privado
  • Associação a uma academia
  • Acesso aos registros médicos
  • Documentos em conformidade com CFR 21 parte 11

O Adobe Sign fornece um conjunto de controle que permite que os tipos de autenticação sejam definidos no nível da conta e do grupo com valores padrão definíveis para simplificar a experiência do remetente e garantir uma melhor conformidade com as políticas de assinatura da empresa.

Lembrando que os métodos de autenticação mais robustos inserem mais “fricção” no processo de assinatura, os administradores devem configurar os padrões da conta ou do grupo para apoiar o requisito de autenticação mais comum, escolhendo a opção menos complexa sempre que possível e permitindo opções editáveis se algumas transações exigirem soluções mais complexas.


Terminologia importante

Destinatários internos vs. externos

Os controles de autenticação fazem acomodações específicas para configurar métodos de autenticação para dois tipos de destinatários: interno e externo:

  • Por destinatários internos entende-se cada usuário ativo (conforme identificado pelo endereço de email) na mesma conta do Adobe Sign da qual o contrato foi enviado
    • Uma lista de todos os usuários de sua conta é uma lista de todos os usuários internos
    • Não importa em qual grupo o destinatário está, desde que o usuário esteja na mesma estrutura de conta
  • Por destinatários externos entende-se todos os endereços de email de destinatários não anexados a um usuário interno
    • Cada endereço de email não incluído em uma lista de usuários no nível da conta é um usuário externo

Delimitar os destinatários desta forma permite que os fluxos de trabalho aproveitem a autenticação de alto nível para destinatários externos ao usar uma autenticação mais econômica para usuários internos.

Observação:

É possível que uma empresa (domínio de email) tenha várias contas Adobe Sign.

Somente os usuários residentes em cada conta discreta são internos entre si. As contas externas hospedam destinatários externos em todos os casos.


Métodos de autenticação do recipient

Autenticação por email

O Adobe Sign usa o email como método de autenticação padrão de único fator, que atende aos requisitos para uma assinatura eletrônica legal do Ato ESIGN. Para muitos clientes, isto é o suficiente.

A verificação por email requer que o destinatário:

  • Acesse o email do contrato em sua caixa de entrada
  • Clique no link do email para visualizar o contrato
  • Conclua todas as ações designadas (preenchimento dos campos do formulário, assinatura) no contrato
  • Clique no botão final Clique para assinar para finalizar a ação do destinatário

O acesso ao link do email estabelece uma medida aceitável de identificação, pois todos os endereços de email são exclusivos e o acesso ao email é autenticado por senha.

As integrações ou ações que ignoram a notificação por email a um destinatário devem incluir um método de autenticação de dois fatores adequado para o não repúdio.


Autenticação de dois fatores (2FA)

O Adobe Sign oferece suporte a vários métodos de autenticação de dois fatores para transações de maior valor que exigem mais do que uma simples verificação de email.

O método de autenticação geralmente é ditado pelo tipo de documento ou pelo tipo de negócio das partes envolvidas. Cabe ao administrador entender suas políticas de assinatura interna e possíveis demandas de conformidade.

Segue abaixo, um resumo das opções de autenticação de dois fatores disponíveis com links para descrições mais detalhadas:

As autenticações por senha do signatário exigem que o remetente digite a senha (duas vezes)

  • As senhas são constituídas somente de caracteres alfanuméricos. Nenhum caractere especial
  • O remetente deve informar a senha ao destinatário por meio de um canal externo
  • Observe que a senha não é armazenada em texto explícito em qualquer lugar no aplicativo. Se a senha for perdida, ela não poderá ser recuperada e o remetente terá de redefini-la

Os destinatários são solicitados a digitar a senha antes que possam visualizar o conteúdo do contrato:

Contestação da autenticação da senha

A Autenticação do Adobe Sign solicita que o destinatário autentique no sistema Adobe Sign.

Este método é usado principalmente como uma opção de contra-assinatura de “baixo atrito” para seus destinatários internos quando se tem requisitos de assinatura que exigem um evento registrado/autenticado para cada assinatura.

Cuidado:

Deve-se ter cuidado antes de atribuir a Autenticação do Adobe Sign a destinatários externos:

  • Os destinatários internos (por definição) são os usuários ativos do Adobe Sign, por isso sabe-se que podem autenticar sem problemas
  • Os destinatários externos podem ou não ser um usuário ativo do Adobe Sign. Se não forem, será necessário registrar e verificar o usuário antes de autenticar

 

Os destinatários são solicitados a se autenticarem no Adobe Sign antes de poderem visualizar o conteúdo do contrato:

Contestação da autenticação do Adobe Sign

A autenticação por telefone envia um código de seis dígitos para o destinatário, que deve digitá-lo para visualizar o contrato.

  • O número de telefone do destinatário deve ser inserido pelo remetente durante a criação do contrato
  • Se o destinatário delegar sua autoridade de assinatura, será solicitado a fornecer um número de telefone válido para o novo destinatário. Um número de telefone correto deve ser fornecido ou a autenticação falhará
  • O destinatário tem a opção de selecionar uma Mensagem de texto (para smartphones que podem receber mensagens de texto) ou uma Chamada de voz (se o telefone não tiver o recurso de mensagens de texto)
    • O código de autenticação permanece válido por dez minutos depois que é enviado

O destinatário solicita o código e deve inseri-lo antes de visualizar o conteúdo do contrato:

Contestação da autenticação por telefone

A autenticação baseada em conhecimento é um processo de autenticação de alto nível utilizado principalmente em instituições financeiras e outros ambientes que exigem alta assertividade na identidade do signatário.

O destinatário é solicitado a inserir informações pessoais que são usadas para coletar várias perguntas não triviais do passado (usando bases de dados públicas). Cada pergunta deve ser respondida corretamente para obter acesso ao contrato.

A KBA é válida apenas para destinatários nos EUA.

Contestação da autenticação KBA

A autenticação por documento de identidade instrui o destinatário a fornecer uma imagem de um documento emitido pelo governo (carteira de motorista, passaporte) e uma selfie para definir um registro de verificação robusto.

Os destinatários são solicitados a fornecer o número de telefone do smartphone e depois seguem o processo de upload das imagens do documento e da selfie:

Contestação da autenticação por documento de identidade


Métodos de autenticação de signatários "Premium"

Telefone, KBA e documento de identidade são métodos de autenticação “premium”.

Os métodos de autenticação premium são um recurso medido que deve ser comprado antes de ser usado. Entre em contato com o gerente de sucesso ou agente de vendas para obter detalhes.

Observação:

Novas contas corporativas e empresariais recebem sem custo, 50 transações por telefone e KBA quando a conta é iniciada.


Limites de cancelamento automático

Todos os métodos de autenticação de dois fatores têm limites configuráveis que cancelam o contrato quando um destinatário falha inúmeras vezes na autenticação.

  • O proprietário do contrato (remetente) será notificado quando o contrato for cancelado
    • Somente o remetente é notificado
    • Contratos cancelados não podem ser retornados para um status ativo. Um novo contrato deve ser criado


Como os remetentes selecionam um método de autenticação

Quando estão configurando um contrato, os remetentes podem selecionar um método de autenticação em um menu suspenso à direita do endereço de email do destinatário.

O método de autenticação padrão pode ser configurado por um administrador para simplificar o processo de envio. Outras opções podem ser disponibilizadas, se necessário.

Interface do remetente


A experiência do recipient

Quando um contrato precisa da atenção do destinatário, normalmente ele recebe um aviso por email primeiro.

  • Se o contrato for enviado apenas com autenticação por email, clicar no botão Revisar e assinar no email abre o contrato para visualização e ação
  • Se o contrato tiver a autenticação de dois fatores configurada, clicar no botão Revisar e assinar no email abrirá a página de contestação de autenticação de dois fatores
    • Quando a contestação do segundo fator for concluída, o contrato será aberto para visualização e ação
Examinar e assinar o email


Eventos do relatório de auditoria

Cada método de autenticação de dois fatores tem uma mensagem explícita de sucesso que identifica o método usado.

A autenticação por email apenas indica que o documento foi assinado:

Relatório de auditoria para autenticação de identidade com email


Opções e padrões configuráveis

Controles do administrador

As configurações no nível da conta podem ser acessadas fazendo logon como administrador no nível da conta do Adobe Sign e navegando até Configurações da conta > Configurações de envio > Métodos de autenticação de identidade

Os controles são divididos em duas seções:

  • Métodos de autenticação de identidade - o conjunto principal de configurações de autenticação de identidade. Esses valores são aplicados a todos os destinatários de todos os contratos criados no grupo de envio com as seguintes exceções:
    • Processos baseados em API, que podem restringir as opções do remetente (Integrações, fluxos de trabalho, aplicativos personalizados)
    • Quando diferentes métodos de autenticação de identidade para destinatários internos estiver ativado (consulte abaixo)
  • Identificar autenticação para destinatários internos - este subconjunto de configurações permite que o grupo defina um conjunto diferente de métodos de autenticação de identidade para destinatários internos. Os benefícios oferecidos são:
    • Menos frustração para signatários internos
    • Um processo menos complexo de assinatura acelera a assinatura dos destinatários que podem ter que contra-assinar muitos contratos
    • Os custos para autenticações Premium podem ser evitados para destinatários internos
Métodos de autenticação de identidade na interface do administrador


Métodos de autenticação de identidade

Os principais controles de autenticação:

  • Exigir que os remetentes especifiquem um dos métodos de autenticação ativados - quando ativado, você deve selecionar um método de dois fatores como o método de autenticação padrão. O email pode não ser selecionado.
  • Permitir que o Adobe Sign preencha automaticamente o endereço de email dos signatários a cada contestação de autenticação - esta configuração se aplica somente ao método de autenticação do Adobe Sign. Quando ativado, o endereço de email do destinatário é inserido automaticamente onde for necessário para autenticação
  • Não solicitar a autenticação do signatário novamente se ele já estiver conectado ao Adobe Sign - esta configuração se aplica somente ao método de autenticação do Adobe Sign. Quando ativado, os signatários não terão que autenticar novamente se estiverem conectados ao Adobe Sign
  • Ativar os seguintes métodos de autenticação de identidade - isso antecede a lista de opções de autenticação de dois fatores disponíveis para os remetentes. Selecione uma ou mais de acordo com as suas necessidades de segurança/conformidade.
  • Por padrão, use o método a seguir - estabelece o método de autenticação padrão inserido quando um destinatário é adicionado a um novo contrato
  • Permitir que os remetentes alterem o método de autenticação padrão - se ativado, o remetente tem a opção de selecionar qualquer método habilitado para o grupo de onde está enviando
    • Quando desabilitado, somente o método padrão de autenticação pode ser usado


Autenticação de identidade para recipients internos

Os controles internos do destinatário fornecem as opções para aplicar aos destinatários internos:

  • Ativar diferentes métodos de autenticação de identidade para destinatários internos - quando ativado, os destinatários internos são tratados como uma exceção às regras de autenticação primárias, assim, recebem o valor padrão/opções de autenticação definidas na seção Identificar autenticação para destinatários internos
  • Ativar os seguintes métodos de autenticação de identidade - isto antecede a lista de opções disponíveis para autenticação de destinatário. Selecione uma ou mais de acordo com as suas necessidades de segurança/conformidade.
    • A autenticação do Adobe Sign fornece um método de autenticação de baixo atrito/custo, se os remetentes também forem contra-signatários
  • Por padrão, use o método a seguir - estabelece o método padrão inserido para destinatários internos quando um novo contrato é criado
  • Permitir que os remetentes alterem o método de autenticação padrão - concede ao remetente a autoridade para alterar o método de autenticação padrão para qualquer outra opção habilitada pelo administrador


Configuração no nível de grupo

Cada grupo em uma conta herda as configurações de autenticação padrão das configurações no nível da conta.

Cada grupo tem a possibilidade de substituir as configurações herdadas da conta para ajustar os valores padrão e as opções disponíveis para os contratos gerados neste grupo.

Os controles de administrador no nível de grupo para autenticação de identidade podem ser acessados fazendo logon como um administrador do Adobe Sign:

Para administradores de nível de grupo que não têm acesso no nível de conta:

  • Navegue até Meu grupo de usuários > Configurações de envio
  • Marque a caixa para Substituir configurações de conta nesta página
    • Marcar essa caixa permite que o grupo rompa a herança das configurações no nível da conta e substitui os valores explicitamente selecionados para o grupo. As atualizações dos valores de configuração no nível da conta não serão mais herdadas
    • Se não tiver a opção de substituir as configurações, suas configurações de administrador no nível da conta suprimiram a autoridade de edição do grupo
  • Role a página para baixo até a seção Autenticação de identidade Métodos e configure conforme necessário
Navegação do administrador do grupo

  • Acesse a guia Grupos
  • Clique no grupo para expor os links de ação na parte superior da lista
  • Clique no link Definições do grupo
    • O menu de configurações do grupo é carregado
  • Selecione Configurações de envio nas opções do menu à esquerda
  • Marque a caixa para Substituir configurações de conta nesta página
    • Marcar essa caixa permite que o grupo rompa a herança das configurações no nível da conta e substitui os valores explicitamente selecionados para o grupo. As atualizações dos valores de configuração no nível da conta não serão mais herdadas
    • Se não tiver a opção de substituir as configurações, suas configurações de administrador no nível da conta suprimiram a autoridade de edição do grupo
  • Role a página para baixo até a seção Autenticação de identidade Métodos e configure conforme necessário
Acesso do administrador aos controles de grupo


Exceção do formulário da Web para autenticação de identidade

Os formulários da Web são usados em vários casos de uso exclusivos e muitas vezes há uma redução da demanda para a imposição da autenticação de identidade.  

Para contas/grupos que não precisam autenticar assinaturas de formulário da Web, a opção para desativar a verificação por email pode ser configurada:

  • Ao navegar até: Configurações da conta > Configurações globais > Formulários da Web (para definições no nível da conta)
    • Ao editar Grupo: {Nome do grupo} > Definições do grupo > Formulários Web (para configurações no nível de grupo)
  • Ao desmarcar a opção Exigir que o signatário verifique seu endereço de email para aceitar assinaturas no formulário da Web sem verificação
    • A remoção do requisito para verificar a assinatura do formulário da Web não remove o requisito para o signatário fornecer um endereço de email
Controles do formulário da Web


Práticas recomendadas e considerações

  • Todos os métodos e opções de autenticação podem ser configurados no nível da conta e do grupo
  • Todos os grupos herdam seus valores de configuração padrão das configurações no nível da conta. Crie as configurações no nível de conta para aproveitar melhor a herança automática de propriedade, minimizando a configuração posterior de grupo
  • Os contratos derivam suas opções de autenticação do grupo do qual o contrato é enviado. Se você não estiver visualizando as opções esperadas, verifique suas configurações no nível de grupo
  • Avalie seus requisitos de autenticação de identidade para os tipos de documentos que está enviando e se eles estão sujeitos a quaisquer regulamentos de conformidade. Se a autenticação “premium” for necessária, certifique-se de ter adquirido a quantidade suficiente para o tráfego esperado de assinaturas
  • Determine se há fluxos de assinatura que podem exigir autenticações de dois fatores, como:
    • Assinaturas hospedadas
    • Soluções personalizadas projetadas para suprimir notificações por email (por exemplo, Workday)
    • Fluxos de assinatura que buscam assinaturas legais de dois ou mais destinatários usando o mesmo endereço de email (compartilhado)
  • Identifique se/onde ter padrões de autenticação diferentes para destinatários internos é importante
  • As contas com acesso a Fluxos de trabalho personalizados podem definir métodos de autenticação muito precisos para cada um dos seus fluxos de assinatura, permitindo um valor padrão de menor atrito (e volume potencialmente maior), garantindo a conformidade em processos de assinatura críticos
  • Lembre-se de que os métodos de autenticação individuais devem ser ativados antes de disponibilizá-los para outros serviços. A ativação de um método o expõe para:
    • Outros controles administrativos, como Configurações de segurança para métodos de autenticação de dois fatores
    • Usuários podem selecioná-los durante o processo padrão de Envio
    • Fluxos de trabalho criados no Designer de fluxo de trabalho
    • Eventos de envio acionados por API
    • Acesso de integração (Dynamics, Salesforce)
Logotipo da Adobe

Fazer logon em sua conta