Contattaci

exaSign è la soluzione exacoding che consente di firmare digitalmente documenti informatici tramite firme elettroniche e firme qualificate.

La soluzione:

exaSign consente di effettuare:

Processo di firma elettronica OTP
  1. Il firmatario è dotato di un telefono di suo uso esclusivo e il numero telefonico è abbinato alla sua anagrafica. In base al processo gestionale che genera le necessità di firma possono essere messe in atto strategie differenti per attribuire in modo sicuro il numero di telefono al firmatario;
  2. Acquisizione dei documenti da firmare da parte di exaSign;
  3. Richiesta al servizio di autenticazione a due fattori Aruba tramite SMS della generazione di un OTP e dell’invio del codice al numero telefonico del firmatario;
  4. Ricezione SMS da parte del firmatario e sua digitazione su exaSign;
  5. Richiesta al servizio di verifica autenticazione a due fattori Aruba della correttezza dell’OTP digitato dall’utente (non è exaSign a generare il codice OTP e il processo continua solo se il servizio concede l’autorizzazione);
  6. Visualizzazione del documento;
  7. Firma del firmatario tramite conferma campo firma;
  8. Calcolo dell’impronta del documento da sottoscrivere;
  9. Creazione di una firma elettronica qualificata in formato PAdES basata su un certificato di sigillo elettronico di servizio installato all’interno della piattaforma exaSign;
  10. Creazione record di log relativo alla singola firma effettuata.

Gli step G-J sono ripetuti per ogni punto firma all’interno di un singolo documento, gli step F-J sono ripetuti per tutti i documenti da firmare nella sessione. È da notare come tutti i documenti di una sessione debbano essere omogenei (relativi ad una stessa finalità) e costituiscano un insieme unico dal punto di vista logico (stessa Reason sulle firme): documenti non attinenti o legati a pratiche diverse tra loro dovranno essere gestiti tramite sessioni differenti.

Considerazioni:

  1. Il firmatario riceve sul proprio dispositivo il messaggio SMS che contiene il codice OTP. Solo digitando il codice corretto su exaSign il servizio di gestione dell’autenticazione a due fattori, esterno ad exaSign, autorizza la prosecuzione delle attività. Il controllo esclusivo delle operazioni di firma è quindi sotto il controllo del firmatario, che è l’unico a conoscere il codice OTP;
  2. L’evidenza che il documento firmato non abbia subito modifiche è data dalla firma qualificata effettuata sul file PDF tramite sigillo elettronico;
  3. Il firmatario ottiene evidenza di quanto sta per sottoscrivere e di quanto sottoscritto, potendo scaricare il file prima della firma, consultarlo durante la firma e potendo infine scaricare il file firmato. Durante il processo di firma e consultando il file firmato il firmatario vedrà il suo nome e cognome nell’area firma e l’evidenza che ha effettuato una firma elettronica;
  4. La connessione univoca della firma al documento sottoscritto è data dal fatto che le coordinate della firma sono nel campo ContactInfo del documento, anch’esso firmato e non modificabile dopo la firma.
Processo di firma elettronica con riconoscimento SPID
  1. Identificazione dell’utente sottoscrittore da parte del circuito SPID (acquisizione una tantum delle credenziali da parte dell’utente presso un identity provider accreditato);
  2. Acquisizione dei documenti da firmare da parte di exaSign;
  3. Generazione identificativo di sessione di firma ed inclusione nella richiesta SAML verso IDP;
  4. Login dell’utente su SPID con le sue credenziali personali;
  5. Ricezione risposta SAML firmata da IDP contente l’identificativo di sessione e creazione di un record di log relativo alla sessione (autenticazione SPID effettuata);
  6. Visualizzazione del documento;
  7. Firma del firmatario tramite conferma campo firma;
  8. Calcolo dell’impronta del documento da sottoscrivere;
  9. Creazione di una firma elettronica qualificata in formato PAdES basata su un certificato di sigillo elettronico di servizio installato all’interno della piattaforma exaSign;
  10. Creazione record di log relativo alla singola firma effettuata.

Gli step G-J sono ripetuti per ogni punto firma all’interno di un singolo documento, gli step F-J sono ripetuti per tutti i documenti da firmare nella sessione. E’ da notare come tutti i documenti di una sessione debbano essere omogenei (relativi ad una stessa finalità) e costituiscano un insieme unico dal punto di vista logico (stessa Reason sulle firme): documenti non attinenti o legati a pratiche diverse tra loro dovranno essere gestiti tramite sessioni differenti.

Considerazioni:

  1. L’identificazione del firmatario avviene tramite credenziali SPID, tra i dati forniti dall’IDP vi è il codice fiscale che deve corrispondere a quello del sottoscrittore, che quindi viene identificato in modo certo;
  2. La connessione univoca della firma al firmatario avviene tramite l'identificativo della sessione di firma SPID, generato dal sistema che viene restituito firmato nella risposta SAML dal circuito SPID;
  3. Il controllo esclusivo del firmatario sulla firma è garantito dall'uso delle credenziali SPID di livello 2 o superiore (autenticazione a due fattori);
  4. L’evidenza che il documento firmato non abbia subito modifiche è data dalla firma qualificata effettuata sul file PDF;
  5. Il firmatario ottiene evidenza di quanto sta per sottoscrivere e di quanto sottoscritto, potendo scaricare il file prima della firma, consultarlo durante la firma e potendo infine scaricare il file firmato. Durante il processo di firma e consultando il file firmato il firmatario vedrà il suo nome e cognome nell’area firma e l’evidenza che ha effettuato una firma elettronica;
  6. La connessione univoca della firma al documento sottoscritto è data dal fatto che le coordinate della firma sono inserite nel campo ContactInfo del documento, anch’esso firmato e non modificabile dopo la firma, insieme al codice fiscale del firmatario (campo ricevuto dall’autenticazione SPID).

Tutte le funzionalità di creazione delle operazioni di firma (sessioni) e recupero dei file firmati sono programmabili e disponibili alle applicazioni gestionali che possono in tal modo interagire direttamente con il sistema e tramite esso richiedere ai firmatari l’apposizione delle firma secondo le procedure previste.

Schema di integrazione di un’applicazione gestionale con le componenti di exaSign
Schema di integrazione di un’applicazione gestionale con le componenti di exaSign

A supporto delle funzioni di firma elettronica exaSign offre inoltre due ulteriori possibilità di trattamento dei documenti:

I moduli di cui è composto exaSign sono tre:

exaSign è utilizzabile in modalità SaaS disponibile in cloud sull’infrastruttura exacoding e può essere rilasciata anche in modalità on-premises.

La modalità SaaS presuppone l’acquisto di un’istanza applicativa subito pronta all’uso (il sistema è realizzato con uno schema architetturale multitenant).

La modalità on-premises presuppone invece l’installazione dell’applicativo e l’acquisizione di una serie di servizi accessori erogati da Aruba Pec e la possibilità da parte del cliente di partizionare l’uso del sistema.

* i servizi marcatura temporale, firma qualificata remota, SMS per l’invio di OTP, conservazione sostitutiva sono realizzati tramite servizi erogati da Aruba Pec S.p.a..