eIDAS: Trouver un équilibre entre la sécurité et l'expérience client
Alors que les organisations européennes cherchent à livrer des affaires via des canaux en ligne et mobiles,la nécessité d'équilibrer la sécurité avec l'amélioration de l'expérience client est essentielle. L'une des technologies qui fait les deux - signatures électroniques - est à la base de la révolution numérique à tel point qu'il existe un nouveau règlement appelé eIDAS destiné à faciliter la facilité de la transmission électronique à travers les frontières des États membres de l'UE.
eIDAS fournit des orientations claires pour l'utilisation des signatures en électronique, ainsi que trois catégories de signature électronique pour satisfaire les différents niveaux de risque associés aux transactions numériques. Ces catégories visent à appliquer des mesures de sécurité pour protéger les données des entreprises et des clients tout en assurant le respect de la réglementation. Le défi consiste alors à permettre une expérience utilisateur transparente pour attirer plus de clients, mais de le faire d'une manière qui garantit que les transactions numériques sont légales et sécurisées en tout temps.
Toutes les E-Signatures ne sont pas les mêmes
Le règlement eIDAS définit trois catégories de signature électronique - de base, avancée et qualifiée - qui peuvent toutes être juridiquement efficaces. Avant eIDAS, beaucoup croyaient que les lois nationales imposaient l'utilisation de la signature électronique qualifiée pour qu'une signature électronique soit juridiquement efficace, ce qui n'était tout simplement pas le cas. Encore aujourd'hui, cependant, l'E-Signature qualifié est perçu comme la meilleure option parce qu'il offre les plus hauts niveaux de sécurité et d'assurance.
Le processus de signature e-Signature qualifié est basé sur l'utilisation d'un certificat numérique personnel, connu sous le nom de certificat qualifié en vertu de l'eIDAS, qui est attribué à une personne individuelle et obtenu d'un fournisseur de services fiduciaires (TSP). Le certificat est généralement stocké sur un appareil tel qu'une carte à puce ou un jeton USB et utilisé avec un système informatique pour signer des documents, ce qui rend le processus hautement sécurisé. Dans la pratique, il peut s'agit d'une carte d'identité électronique (eID) émise par le gouvernement, comme l'eID national de Belgique, ou d'une carte à puce délivrée par un TSP qualifié pour signer des documents.
Aujourd'hui, nous voyons l'utilisation de l'E-Signature qualifiée dans des secteurs tels que le gouvernement, les services militaires et financiers pour les transactions numériques associées à une valeur élevée et à un risque élevé, car elle impose une étape de sécurité supplémentaire avant que la signature électronique ne soit appliquée à la Document. Dans ce scénario, cependant, l'expérience de l'utilisateur tend à être encombrante parce que le processus nécessite un lecteur de carte à puce qui maintient l'utilisateur attaché à un ordinateur. Cela peut créer un obstacle majeur au déploiement de signatures électronique entre les entreprises, les processus interentreprises et les processus d'entreprise à consommateur et, dans certains cas, d'avoir un impact négatif sur les taux d'adoption en raison du matériel supplémentaire et des mesures nécessaires pour compléter processus de signature électronique.
eIDAS: Équilibrer la sécurité et l'expérience client pour l'adoption
Un rapport de décembre 2014 de Forrester Research, « E-Signatures - A Few Simple Best Practices Drive Adoption », explique que les processus complexes réduisent considérablement l'adoption et préconise que la conception de l'expérience de signature soit aussi facile ou aussi détaillée que nécessaire pour gérer les risques afin d'assurer une forte adoption de la technologie.
Alors que de nombreuses organisations en Europe sont prêtes à tirer parti de la technologie de signature électronique maintenant que eIDAS est en plein effet, ils peuvent être tentés de défaut à la qualified E-Signature. C'est parce qu'il offre la plus haute sécurité et exige le moins de preuves pour rassurer un tribunal que la signature est authentique et intentionnellement appliquée au document particulier. Le défi est cependant que le coût et l'effort de mise en œuvre de la signature électronique qualifiée peuvent l'emporter sur les avantages potentiels si le processus est lourd et que personne n'est intéressé à l'utiliser.
E-Signature avancée vs. E-Signature qualifié et ce qu'il faut rechercher
Lors de l'évaluation d'une solution de signature électronique et du choix du type de signature électronique optimal, il est important de prendre le temps d'examiner vos processus d'affaires et de déterminer le niveau de risque.
Pour certaines transactions à haut risque et de grande valeur, comme les transferts d'argent, il peut être judicieux de mettre en œuvre la signature électronique qualifiée. Recherchez une solution qui utilise des signatures numériques basées sur des normes et qui peut prendre en charge les certificats X.509 délivrés par n'importe quel TSP qualifié - toutes les solutions ne peuvent pas le faire et sinon, elles ne peuvent pas être utilisées immédiatement sans un codage dur (lire: retards et coûts informatiques). L'état de préparation est l'un des « must-haves » qui vous permettra d'implémenter les signatures en matière d'e-signatures dès aujourd'hui plutôt que d'attendre que le fournisseur livre ses plans de développement futurs.
Pour les cas d'utilisation de signature plus routiniers et courants, tels que les contrats, les accords et les documents d'intégration, la signature électronique avancée peut être le choix approprié. Si vous décidez d'aller avec ce dernier, assurez-vous d'évaluer si la solution du fournisseur fournit des pistes d'audit détaillées pour vous soutenir en cas de litige. Certaines solutions sur le marché lésinent sur les détails de sorte que faire votre diligence raisonnable et de s'assurer que vos équipes juridiques et de conformité font partie du processus d'évaluation et de sélection.
Quelle que soit l'option de signature électronique que vous choisissez, il est important de trouver un juste équilibre entre l'expérience client et la sécurité, et de déterminer si vos objectifs initiaux pour la mise en œuvre des signatures en e-signatures peuvent être atteints.
Cet article a été publié à l'origine dans Innovation Enterprise.