GlobalSign Blog

21 sep. 2018

Digitale handtekeningen integreren in documentplatformen – doe het niet zelf, kies voor de cloud

Regelgeving zoals eIDAS, FDA CFR 21 Deel 11 en de vereisten op het gebied van architectuur en engineering in de VS benadrukken de nood aan vertrouwen en identiteit bij elektronische transacties. De vraag naar vertrouwde, veilige digitale handtekeningen is nog nooit zo groot geweest en bedrijven verwachten van hun providers van documentworkflows of digitaal transactiebeheer dat ze deze mogelijkheid direct aanbieden in hun bestaande platformen.

De klanten willen vertrouwde digitale handtekeningen; de serviceproviders willen deze wel aanbieden ... maar hoe doen ze dat? Als u een oplossing ontwikkelt voor rekeningafschriften of kredietoverzichten, lenings- of hypotheekovereenkomsten, aanwervingen, klinische of farmaceutische studies, autoverhuur of autoleningen, schooltranscripties of andere bedrijfstoepassingen waarvoor de ondertekening van documenten vereist is, dan is dit artikel relevant voor u.

De meest gebruikte optie om digitale handtekeningen toe te voegen aan een documentplatform was jarenlang de vereiste complexe cryptografische componenten verzamelen en de integratie intern ontwikkelen. Die componenten waren:

  • De handtekeningcertificaten – uitgegeven voor de geverifieerde identiteit van de ondertekenaars, worden gebruikt om de handtekening toe te passen.
  • Revocatiediensten (bv. OCSP, CRL) – deze controleren de status/geldigheid van de handtekeningcertificaten
  • Timestampservices – in plaats van te vertrouwen op de lokale systeemklok kan een externe timestamp worden ingebed in de handtekening om meer zekerheid te bieden over wanneer de handtekening daadwerkelijk werd toegepast. Dit is technisch niet vereist om een digitale handtekening toe te passen, maar is vaak nodig om te voldoen aan industrienormen, juridische normen of andere regelgeving.
  • Cryptografische hardware – (vaak hardware security modules [HSM's] die lokaal worden onderhouden of gehost worden door een derde partij) voor het bewaren en beveiligen van de private keys van de ondertekenaars.
  • Medewerkers met expertise in cryptografie en PKI – om de integraties en hardware te configureren en beheren.

Elk van deze componenten zou apart moeten worden voorzien met aparte API-aanroepen naar uw platform telkens als een handtekening wordt toegepast (zie schema hieronder). Klinkt leuk, niet? Zeker als u rekening houdt met de hoeveelheid cryptografische kennis die nodig is om dit allemaal te configureren. Om alles eenvoudiger te maken, zal ik vanaf nu naar dit scenario verwijzen met de term 'HSM-implementatie'.

Voorbeeld van integraties die vereist zijn voor een op HSM gebaseerde implementatie van een digitale handtekening.

Dit kunnen we vergelijken met een nieuwe boekenkast kopen voor uw thuiskantoor. U kunt zelf hout en gereedschap kopen, een plan maken voor het gewenste ontwerp, leren hoe u het gereedschap moet gebruiken en de boekenkast zelf maken. Uiteindelijk hebt u natuurlijk een boekenkast die doet wat ze moet doen, maar hoeveel tijd hebt u hiermee verloren? Wat als er iets kapotgaat of u nog een plank wilt toevoegen in de toekomst? Dan moet u terug naar de tekentafel.

Wat als u in plaats daarvan de boekenkast thuis zou kunnen laten leveren, volledig in elkaar gezet, met minimale montage (en echt minimale montage, niet montage zoals bij IKEA), met de garantie dat defecten worden opgelost en de mogelijkheid om deze desgewenst uit te breiden? En u hoeft zelf geen schrijnwerker te zijn om deze in elkaar te zetten. Dat zou toch een interessante optie zijn, niet?

Voor ons scenario met digitale handtekeningen zou een cloudservice alle componenten kunnen voorzien die u nodig hebt om op een eenvoudige manier digitale handtekeningen te implementeren in uw platform, zonder te hoeven investeren in hardware of complexe ontwikkeling, met als bijkomende voordelen schaalbaarheid, flexibiliteit en gegarandeerde conformiteit en beveiliging. De nieuwe Digital Signing Service (DSS) van GlobalSign doet precies dat – alles voorzien wat u nodig hebt om digitale handtekeningen te integreren met een enkele REST API-aanroep. U hoeft de componenten niet apart te voorzien en geen individuele integraties voor alles te voorzien in uw platform. We veranderen de manier waarop digitale handtekeningen geïntegreerd worden in elke workflow.

Vereenvoudigd voorbeeld van integratie vereist voor een cloudgebaseerde implementatie van een handtekeningservice.

Naast de aanzienlijke vereenvoudiging van de integratie tussen de cryptografische componenten en uw platform, waardoor minder interne ontwikkeling en interne PKI-expertise nodig zijn, biedt onze cloudgebaseerde DSS ook de volgende voordelen:

  • Meer flexibiliteit van ondertekeningsidentiteiten – meestal worden identiteiten van slechts één organisatie of afdeling (bv. Boekhouding, Financiën) ondersteund door HSM-implementaties. DSS ondersteunt ook individuele identiteiten zodat werknemers of klanten in hun eigen naam kunnen tekenen.
  • Ondersteuning voor toekomstig groei en schaalbaarheid – aparte implementaties hebben mogelijk aanvullende HSM-partities en configuratie nodig als u deze in de toekomst wilt uitbreiden. Met DSS is de oplossing schaalbaar en kunt u deze probleemloos uitbreiden.
  • De serviceprovider is niet verantwoordelijk voor het beheer van de private keys – bij HSM-implementaties is de serviceprovider verantwoordelijk voor het beheer van de private keys. Dit betekent doorgaans investeren in en onderhoud van lokale HSM's (met back-up) of het zoeken van een cloud HSM provider en complexe integraties op het platform. DSS gebruikt hiervoor REST API en heeft geen interne resources nodig.
  • Standaard hoge beschikbaarheid – HSM-implementaties vereisen aanvullende, redundante HSM-investeringen
  • U voldoet aan de meest recente best practices/baseline requirements - Wanneer vertrouwensprogramma's (bv. Adobe Approved Trust List [AATL]) hun vereisten bijwerken, nieuwe regelgeving van kracht wordt of HSM-leveranciers nieuwe hardware en firmware lanceren, werkt GlobalSign zijn Digital Signing Service bij en blijft u conform zonder dat u zelf veel moet investeren in ontwikkeling

De waarde van digitale handtekeningen integreren in uw documentplatform is duidelijk – het uw klanten gemakkelijk maken om vertrouwde, conforme digitale handtekeningen toe te voegen aan hun workflows – maar daarvoor hoeft u geen expert in PKI of cryptografie te zijn. De Digital Signing Service maakt integraties van digitale handtekeningen eenvoudig zodat u zich kunt concentreren op uw kernactiviteiten.

Hebt u vragen over het integreren van digitale handtekeningen in uw service? Neem vandaag nog contact met ons op. U kunt de Digital Signing Service ook in actie zien in onze nieuwe casestudy – DocuFirst integreert Digital Signing Service van GlobalSign in leningssoftware voor compleet veilige documentenworkflows

Share this Post