Ética do armazenamento de assinaturas [fechado
https://stackoverflow.com/questions/836634
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou trabalhando em um software que cria um contrato e captura a assinatura do cliente via GIF e o aplica ao contrato (e cospe um PDF). Agora, estamos armazenando os dados do contrato, mas quando se trata da assinatura, não tenho certeza se deveria.
Armazene: Prós: Se o documento PDF for perdido, eu posso reconstruir o documento instantaneamente e facilmente para quem precisar (nós ou cliente). (Verificado com os advogados, a reconstrução do documento dos dados é legal e aplicável, desde que nenhum dado seja ou tenha sido alterado)
Contras: Embora eu nunca faça nada com a assinatura armazenada, não posso ter certeza de que, se alguma vez deixar a empresa, meus colegas de trabalho ou substituições honrarão isso.
Não o guarde: Prós: terreno ético alto, não há opção para ninguém agora ou no futuro usar essa imagem e fazer qualquer coisa com ela. Isso mantém todos honestos.
Contras: Agora, não há como reconstruir o documento original se o PDF estiver perdido - o que é uma boa possibilidade.
Solução
Os advogados são as pessoas mais importantes para conversar neste caso. Mas eu ainda diria que não o guarde. Se necessário, sugiro armazenar o contrato em um formato do qual você não pode extrair o GIF original. Como pegar um arquivo PNG para todo o documento ou alguma outra solução.
No entanto, se você estiver armazenando o documento inteiro com a assinatura incorporada (e não é extraível), terá sua capacidade de reenviar a assinatura e não terá motivos para armazenar os GIFs não ligados.
Por fim, ter os GIFs não ligados está apenas fornecendo uma enorme abertura para ser processada.
Armazená -los dessa maneira também abre você para problemas relacionados a 'colar o GIF errado' em um contrato.
Eu diria que ter os arquivos GIF de uma maneira que não os vincule explicitamente ao contrato a que se aplica é muito perigoso.
EDITAR
Depois de ler sua postagem novamente, eu diria que não há um ponto em armazenar os GIFs ou os PDFs. Você deve ter uma cópia impressa em algum lugar do documento assinado (e se estiver perdendo cópias impressas de contratos, há sérios problemas organizacionais) e depois disso, você não precisa do assinado Versão mais, você só precisa conhecer os termos do contrato. Então, desde que você possa reconstruir os termos para ler, não vejo por que você precisaria da assinatura literal novamente. Se você precisar provar que eles assinaram, volte para a cópia impressa.
Outras dicas
- Fale com um advogado.
- Se for cinza uma área o suficiente, eu votaria para não morar.
Você precisa manter a assinatura para mais alguma coisa? Caso contrário, eu o armazenaria apenas pelo tempo necessário para produzir o PDF, pois não há razão para mantê -lo por perto.
Na Nova Zelândia, a coleta de dados pessoais é regida pela Lei de Privacidade e, como tal, seus requisitos é que os dados são armazenados apenas pelo tempo necessário para o motivo pelo qual os dados foram coletados.
A assinatura ainda pode ser extraída do PDF. Portanto, se você armazena o GIF original não parece fazer a diferença, em termos de segurança.
Que tal isso para o pensamento:
Se fosse uma assinatura eletrônica, você provavelmente não poderá armazená -la. Você pode armazenar o documento de assinatura+(ou seja, o hash sinalizado por criptografia do documento inicial) e verificá-lo com a chave pública, mas para armazenar muitas chaves privadas do cliente para poder assinar novamente os documentos.
Imagine alguém invadindo o banco de dados e roubando essas chaves privadas (GIFs ou chaves RSA/DSA). Essa loja seria muito útil/lucrativa para uma organização criminosa.
Você quer se expor a isso?
Eu não sei, um GIF pode ser recriado por ninguém com uma cópia do documento e um scanner ... sem armazenar você perde o benefício de tê-lo, sem que nenhum valor de segurança real seja adicionado ....
Eu receberia aconselhamento jurídico sobre algum texto para colocar perto da assinatura no documento final. Talvez algo como:
John Hancock http://rightzinger.com/libraryofprogress/foundingfathers/john_hancock_signature.gif
(assinatura adicionada eletronicamente)
