Ética del almacenamiento de firmas [cerrado]
https://stackoverflow.com/questions/836634
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy trabajando en un software que crea un contrato y captura la firma del cliente a través de un gif y lo aplica al contrato (y escupe un pdf). Ahora, estamos almacenando los datos del contrato, pero cuando se trata de la firma, no estoy seguro de si debería hacerlo.
Almacenarlo: Pros: si el documento pdf se pierde, puedo reconstruir el documento de forma instantánea y sencilla para quien lo necesite (nosotros o el cliente). (verificado con los abogados, la reconstrucción del documento a partir de los datos es legal y aplicable siempre que no haya datos o haya cambiado)
Contras: aunque nunca haré nada con la firma almacenada, no puedo estar seguro de que, si alguna vez dejo la compañía, mis compañeros de trabajo o reemplazos lo respetarán.
No lo almacene: Pros: terreno ético, no hay opción para que nadie ahora o en el futuro use esa imagen y haga algo con ella. Mantiene a todos honestos.
Contras: ahora no hay forma de reconstruir el documento original si se pierde el pdf, lo cual es una buena posibilidad.
Solución
Los abogados son las personas más importantes para hablar en este caso. Pero todavía diría que no lo guardes. Si es necesario, sugiero almacenar el contrato en un formato del cual NO PUEDE extraer el GIF original. Como tomar un archivo png para todo el documento o alguna otra solución.
Sin embargo, si está almacenando todo el documento con la firma incrustada (y no extraíble), entonces tiene la capacidad de reenviar la firma y no tiene ninguna razón para almacenar los GIF sin adjuntar.
En última instancia, tener los GIF sin adjuntar es solo una gran oportunidad para ser demandado.
Almacenarlos de esa manera también lo abre a problemas relacionados con 'pegar el GIF incorrecto' en un contrato.
Yo diría que tener los archivos gif de una manera que no los vincula EXPLÍCITAMENTE al único contrato al que se aplican es MUY peligroso.
EDITAR
Después de leer su publicación nuevamente, diría que no tiene sentido almacenar los GIF o los PDF. Debería tener una copia impresa en algún lugar del documento firmado (y si está perdiendo copias impresas de los contratos, entonces hay problemas de organización GRAVES) y después de eso, ya no necesita la versión firmada , solo necesita conocer los términos del contrato. Entonces, siempre que pueda reconstruir los términos para leer, entonces no veo por qué necesitaría la firma literal nuevamente. Si necesita demostrar que lo firmaron, vuelva a la copia impresa.
Otros consejos
- Hable con un abogado.
- Si es un área lo suficientemente gris, votaría por no almacenarla.
¿Necesita conservar la firma para algo más? De lo contrario, lo almacenaría solo durante el tiempo necesario para producir el PDF, ya que no hay razón para mantenerlo.
En Nueva Zelanda, la recopilación de datos personales se rige por la Ley de Privacidad y, como tal, uno de sus requisitos es que los datos solo se almacenan durante el tiempo requerido por la razón por la que se recopilaron.
La firma aún se puede extraer del PDF. Entonces, si almacena el GIF original no parece hacer una diferencia, en cuanto a seguridad.
¿Qué tal esto para pensar?
Si se tratara de una firma electrónica, probablemente no podrá / no podrá almacenarla en absoluto. Puede almacenar la firma + documento (es decir, el hash cripto firmado del documento inicial) y verificarlo con la clave pública, pero para almacenar muchas claves privadas del cliente para poder volver a firmar documentos.
Imagine que alguien ingresa a la base de datos y roba esas claves privadas (gifs o claves RSA / DSA). Esa tienda sería muy útil / rentable para una organización criminal.
¿Quiere exponerse a eso?
No lo sé, cualquiera puede volver a crear un GIF con una copia del documento y un escáner ... sin almacenarlo, perderá el beneficio de tenerlo, sin que se agregue ningún valor de seguridad real ... .
Recibiría asesoramiento legal sobre algún texto para colocar cerca de la firma en el documento final. Tal vez algo como:
John Hancock http://rightzinger.com/LibraryofProgress/FoundingFathers/John_Hancock_signature.gif a>
(firma añadida electrónicamente)
