Autorizarea semnaturilor corporative sau calificate

Deseori este necesar sa fie semnate documente in numele unei organizatii sau a unui titular (de exemplu director financiar) utilizand certificate calificate sau alte certificate cu credibilitate inalta. Pentru a putea fi disponibile pentru procese automate, astfel de certificate trebuie sa fie pastrate securizat pe un server protejat de module hardware de securitate (HSM) sau poate un smartcard. In acest articol ne vom referi la toate semnaturile create de astfel de chei sub denumirea “semnaturi corporative”. In cazuri mai complexe, cheile si certificatele multiple pot fi utilizate pentru a permite diferitelor entitati legale sau titularilor sa semneze si sa aprobe documente pentru scopuri multiple.

Problema autorizarii 
Provocarea de a utiliza chei si certificate calificate sau cu inalta credibilitate pe un server este de a se asigura ca fiecare proces de semnare este autorizat corespunzator. Controalele efective interne sunt necesare pentru a se asigura ca accesul la mecanismul de semnare (si la cheie) este protejat si disponibil numai pentru personalul autorizat. Semnaturile electronice avansate calificate solicita ca semnarea datelor sa reprezinte un act intentionat efectuat de catre semnatar. Auditorii solicita de asemenea dovada revizuirii si aprobarii pentru a se asigura ca toate controalele interne sunt eficiente.

Scenariile de utilizare mai complexe pot solicita titularilor multipli dintr-o organizatie sa aprobe cererea de semnare inainte sa fie aplicata o semnatura de server. Fiecare aprobare trebuie sa fie verificata astfel incat intentia de semnare si aprobare sa fie clara. Regulile de conformitate solicita o astfel de actiune.

Solutia 
Raspunsul Ascertia la aceste cerinte a fost sa ofere un mecanism care furnizeaza cereri pentru ca semnaturile de server sa fie autorizate corespunzator de personalul selectat. Specificatia OASIS Digital Signature Services (DSS) ofera un protocol standard pentru semnaturile pe parte de server solicitate. Ascertia si-a extins mesajul de cerere OASIS DSS pentru a-i permite sa includa informatiile de autorizare pentru unul sau mai multi utilizatori (denumiti “autorizatori”).

Un flux de lucru tipic: Utilizatorii de business interactioneaza cu o aplicatie web online care afiseaza unul sau mai multe documente pe care trebuie aplicate semnaturi pe parte de server, de exemplu rapoarte corporative, facturi, propuneri guvernamentale etc. Aplicatia web creeaza un fisier de control al autorizarii care contine documentele introduse si semnaturile persoanelor autorizate care indica aprobarea lor – aceste semnaturi sunt denumite “semnaturi de autorizare”. Aplicatia web trimite fisierul de control al autorizarii catre ADSS Server ca parte din mesajul de cerere de semnare pe parte de server. ADSS Server poate verifica si accepta sau refuza aceste fisiere de control ale autorizarii. Serverul ofera o gama larga de servicii de nivel inalt si usor de utilizat pentru semnare, verificare, aplicare marci de timp, semnare pe termen lung si arhivare.

Diagrama de mai jos sintetizeaza modul in care utilizatorii interactioneaza cu o aplicatie web pentru a crea un fisier de control al autorizarii care apoi este transmis catre ADSS Server pentru procesare:

ADSS Server autentifica cererile din aplicatia de business. Verifica si daca aplicatia este autorizata sa utilizeze profilul de semnare solicitat. Profilurile de semnare sunt pre-definite de administratorii de securitate si ei au optiunea de a selecta un profil de autorizare care trebuie sa indeplineasca cerintele inainte sa inceapa procesul de semnare pe parte de server.

Profilul de autorizare defineste o verificare M sau N – contine o lista de certificate ale persoanelor autorizate (numarul din lista este N). Profilul este apoi setat sa defineasca numarul minim (M) de semnaturi autorizate care trebuie sa fie prezentate in fisierul de control al autorizarii pentra a aproba utilizarea profilurilor de semnare cu cheile lor de semnare. Daca sunt prezente mai putin decat M semnaturi atunci cererea va esua. Daca sunt prezentate M sau mai multe semnaturi si sunt verificate complet, atunci cererea este aprobata si incepe semnarea fisierului (fisierelor).

Activarea semnaturilor de autorizare

Ascertia ofera o biblioteca inteligenta de nivel inalt ADSS Client SDK pentru medii .NET si Java care permite integrarea cu usurinta a lui ADSS Server in aplicatii de business. Pentru semnarea autorizata, acesta reprezinta un detaliu tipic al fluxului de lucru:

1. Aplicatia web prezinta utilizatorului unul sau mai multe documente si creeaza un fisier de control al autorizarii (ACF) utilizand ADSS Client SDK.

2. Primul utilizator revizuieste fisierele care trebuie autorizate si apoi aplicatia solicita semnarea lor, deci crearea unei semnaturi autorizate. ADSS Go>Sign Applet este utilizat pentru a crea un hash si a semna utilizand un smartcard, deci crearea semnaturilor de autorizare multiple.

3. Pe masura ce fiecare utilizator semneaza sunt realizate verificari pentru a se asigura ca fisierele raman nemodificate.

4. Atunci cand fluxul de lucru este finalizat si toate semnaturile de autorizare sunt adunate de aplicatia web, se include fisierul ACF intr-o cerere catre ADSS Server pentru semnare pe parte de server.

5. ADSS Server autentifica aplicatia web utilizand mecanismul definit (AuthID, SSL si semnatura), verifica drepturile ei de a utiliza profilurile de semnatura selectate si cheile/certificatele de semnare, verifica semnaturile ACF conform regulii de autorizare M sau N. Se verifica si daca fisierele specificate nu s-au modificat. In cele din urma daca toate acest verificari sunt corecte atunci fisierele sunt semnate si retransmise aplicatiei de business.

6. NOTA: ADSS Server pastreaza o copie a tuturor mesajelor de cerere si raspuns (optional se pot include si documentele de business) in jurnalele tranzactiilor serviciilor de semnare propri.

Separat aplicatia web poate verifica rolurile indivizilor si alte atribute ca de exemplu limitele de plata. Astfel de aspecte pot fi introduse cu usurinta intr-un director LDAP si pot fi verificate in timp real. De vreme ce aceste elemente sunt dinamice este recomandat ca aceste atribute specifice ale organizatiei sa fie verificate de aplicatia de business.

Concluzie 
ADSS Server ofera servicii usor de utilizat pentru crearea si verificarea semnaturilor digitale care permit aplicatiilor de business sa adauge incredere documentelor si datelor importante de business. Toata complexitatea semnarii si verificarii documentelor poate fi delegata in afara aplicatiei de business si transmisa serverului dedicat si sigur ADSS Server.

Semnarea autorizata se asigura ca poate fi creat o baza de audit permanent care leaga aprobarile individuale in actiunile de semnare corporative sau automate. Beneficiul pentru organizatie este ca poate fi mai usor pentru indivizi sa semneze si sa aprobe un pachet de documente – in loc sa semneze fiecare document in parte. Mai tarziu nu poate exista nicio negare a intentiei de a semna, nu poate exista nicio suspiciune ca fisierele au fost modificate in timpul sau dupa aprobare. Nu va exista nicio indoiala ca documentele finale au fost aprobate de un numar corespunzator de parti autorizate. Acest lucru adauga incredere si da valoare fluxurilor de lucru cu informatii critice de business.

Despre noi

Suntem prezenti pe piata in domeniul securitatii informatice din anul 1994.

Distribuim in Romania solutii de securitate dezvoltate in domeniu de catre lideri de piata.

Oferim servicii de asistenta in domeniu.

Contact

Ro Interactive Technologies S.R.L.
Str. Aurel Suciu nr. 63 ap. 1
400440 Cluj-Napoca
Tel: 0040-264-418929; 0040-744-799248
Fax: 0040-264-418929
Email:  This email address is being protected from spambots. You need JavaScript enabled to view it.

Mighty Free Joomla Templates by MightyJoomla