exaSign di Exacoding s.r.l.

exaSign è la soluzione exacoding che consente di firmare digitalmente documenti informatici tramite firme elettroniche e firme qualificate.

La soluzione:

semplifica il rapporto con i diversi attori che partecipano ai processi aziendali (clienti, fornitori, collaboratori, …);
risponde alle esigenze di digital transformation aziendale fornendo il supporto alla semplificazione e dematerializzazione dei processi di gestione documentale;
è facilmente integrabile in applicazioni gestionali che possono così essere dotate di funzionalità di firma elettronica;
si integra nell'offerta exacoding delle soluzioni (exaBroker, exaInsurance, exaDoc) e servizi per la gestione digitalizzata della documentazione all'interno di un'organizzazione;
ha un impatto sulla riduzione dei costi diretti e indiretti (stampa, spedizione, archiviazione, controlli amministrativi, …);
integra la gestione e la conservazione di registri (log) in cui sono annotati gli elementi di dettaglio relativi alle firme effettuate e gli elementi probatori relativi alle operazioni di firme (es. interazione con il servizio di OTP SMS, interazione con gli Identity Provider SPID).

exaSign consente di effettuare:

firme elettroniche che prevedono l’identificazione del firmatario ed il consolidamento del documento firmato a prova della sua immutabilità dopo la firma. L’identificazione del firmatario avviene tramite l’invio di un codice OTP su SMS. Il sistema è inoltre predisposto per la gestione delle operazioni di identificazione tramite SPID (Sistema Pubblico di Identità Digitale) e per l'apposizione di firme elettroniche avanzate tramite CIE (Carta di Identità Elettronica);
firme qualificate che possono essere realizzate tramite un certificato disponibile su dispositivo locale (token, smart card) o tramite l’utilizzo di firme digitali remote emesse dalla Certification Authority Aruba Pec di cui exacoding è CDRL. Il sistema è in grado di apporre firme qualificate nei formati CAdES, PAdES e XAdES. Le firme PAdES possono essere gestite a livello di intero documento o firme visibili (una o più firme per documento).

Processo di firma elettronica OTP

Il firmatario è dotato di un telefono di suo uso esclusivo e il numero telefonico è abbinato alla sua anagrafica. In base al processo gestionale che genera le necessità di firma possono essere messe in atto strategie differenti per attribuire in modo sicuro il numero di telefono al firmatario;
Acquisizione dei documenti da firmare da parte di exaSign;
Richiesta al servizio di autenticazione a due fattori Aruba tramite SMS della generazione di un OTP e dell’invio del codice al numero telefonico del firmatario;
Ricezione SMS da parte del firmatario e sua digitazione su exaSign;
Richiesta al servizio di verifica autenticazione a due fattori Aruba della correttezza dell’OTP digitato dall’utente (non è exaSign a generare il codice OTP e il processo continua solo se il servizio concede l’autorizzazione);
Visualizzazione del documento;
Firma del firmatario tramite conferma campo firma;
Calcolo dell’impronta del documento da sottoscrivere;
Creazione di una firma elettronica qualificata in formato PAdES basata su un certificato di sigillo elettronico di servizio installato all’interno della piattaforma exaSign;
Creazione record di log relativo alla singola firma effettuata.

Gli step G-J sono ripetuti per ogni punto firma all’interno di un singolo documento, gli step F-J sono ripetuti per tutti i documenti da firmare nella sessione. È da notare come tutti i documenti di una sessione debbano essere omogenei (relativi ad una stessa finalità) e costituiscano un insieme unico dal punto di vista logico (stessa Reason sulle firme): documenti non attinenti o legati a pratiche diverse tra loro dovranno essere gestiti tramite sessioni differenti.

Considerazioni:

Il firmatario riceve sul proprio dispositivo il messaggio SMS che contiene il codice OTP. Solo digitando il codice corretto su exaSign il servizio di gestione dell’autenticazione a due fattori, esterno ad exaSign, autorizza la prosecuzione delle attività. Il controllo esclusivo delle operazioni di firma è quindi sotto il controllo del firmatario, che è l’unico a conoscere il codice OTP;
L’evidenza che il documento firmato non abbia subito modifiche è data dalla firma qualificata effettuata sul file PDF tramite sigillo elettronico;
Il firmatario ottiene evidenza di quanto sta per sottoscrivere e di quanto sottoscritto, potendo scaricare il file prima della firma, consultarlo durante la firma e potendo infine scaricare il file firmato. Durante il processo di firma e consultando il file firmato il firmatario vedrà il suo nome e cognome nell’area firma e l’evidenza che ha effettuato una firma elettronica;
La connessione univoca della firma al documento sottoscritto è data dal fatto che le coordinate della firma sono nel campo ContactInfo del documento, anch’esso firmato e non modificabile dopo la firma.

Processo di firma elettronica con riconoscimento SPID

Identificazione dell’utente sottoscrittore da parte del circuito SPID (acquisizione una tantum delle credenziali da parte dell’utente presso un identity provider accreditato);
Acquisizione dei documenti da firmare da parte di exaSign;
Generazione identificativo di sessione di firma ed inclusione nella richiesta SAML verso IDP;
Login dell’utente su SPID con le sue credenziali personali;
Ricezione risposta SAML firmata da IDP contente l’identificativo di sessione e creazione di un record di log relativo alla sessione (autenticazione SPID effettuata);
Visualizzazione del documento;
Firma del firmatario tramite conferma campo firma;
Calcolo dell’impronta del documento da sottoscrivere;
Creazione di una firma elettronica qualificata in formato PAdES basata su un certificato di sigillo elettronico di servizio installato all’interno della piattaforma exaSign;
Creazione record di log relativo alla singola firma effettuata.

Gli step G-J sono ripetuti per ogni punto firma all’interno di un singolo documento, gli step F-J sono ripetuti per tutti i documenti da firmare nella sessione. E’ da notare come tutti i documenti di una sessione debbano essere omogenei (relativi ad una stessa finalità) e costituiscano un insieme unico dal punto di vista logico (stessa Reason sulle firme): documenti non attinenti o legati a pratiche diverse tra loro dovranno essere gestiti tramite sessioni differenti.

Considerazioni:

L’identificazione del firmatario avviene tramite credenziali SPID, tra i dati forniti dall’IDP vi è il codice fiscale che deve corrispondere a quello del sottoscrittore, che quindi viene identificato in modo certo;
La connessione univoca della firma al firmatario avviene tramite l'identificativo della sessione di firma SPID, generato dal sistema che viene restituito firmato nella risposta SAML dal circuito SPID;
Il controllo esclusivo del firmatario sulla firma è garantito dall'uso delle credenziali SPID di livello 2 o superiore (autenticazione a due fattori);
L’evidenza che il documento firmato non abbia subito modifiche è data dalla firma qualificata effettuata sul file PDF;
Il firmatario ottiene evidenza di quanto sta per sottoscrivere e di quanto sottoscritto, potendo scaricare il file prima della firma, consultarlo durante la firma e potendo infine scaricare il file firmato. Durante il processo di firma e consultando il file firmato il firmatario vedrà il suo nome e cognome nell’area firma e l’evidenza che ha effettuato una firma elettronica;
La connessione univoca della firma al documento sottoscritto è data dal fatto che le coordinate della firma sono inserite nel campo ContactInfo del documento, anch’esso firmato e non modificabile dopo la firma, insieme al codice fiscale del firmatario (campo ricevuto dall’autenticazione SPID).

Tutte le funzionalità di creazione delle operazioni di firma (sessioni) e recupero dei file firmati sono programmabili e disponibili alle applicazioni gestionali che possono in tal modo interagire direttamente con il sistema e tramite esso richiedere ai firmatari l’apposizione delle firma secondo le procedure previste.

Schema di integrazione di un’applicazione gestionale con le componenti di exaSign

A supporto delle funzioni di firma elettronica exaSign offre inoltre due ulteriori possibilità di trattamento dei documenti:

la generazione delle aree firma su famiglie di documenti simili a partire da un descrittore in grado di interpretare i documenti e posizionare correttamente le aree;
il supporto alla compilazione dei documenti durante la firma.

I moduli di cui è composto exaSign sono tre:

un engine di servizi (marcatura temporale, firma qualificata remota, servizi SMS per l’invio di OTP, servizi di conservazione sostitutiva) ^*;
un’applicazione a disposizione del titolare dei documenti da firmare per la creazione, la parametrizzazione, il controllo delle sessioni di firma e la definizione dei parametri di funzionamento (es. configurazione dei servizi, abilitazione delle interfacce REST per le applicazioni gestionali);
un portale di firma che permette al sottoscrittore di eseguire le firme richieste dal titolare del documento; il portale è disponibile in lingua italiana e inglese;
un software (exaCardController) per la gestione dei dispositivi di firma locali (token, smart card) su piattaforma Windows;

exaSign è utilizzabile in modalità SaaS disponibile in cloud sull’infrastruttura exacoding e può essere rilasciata anche in modalità on-premises.

La modalità SaaS presuppone l’acquisto di un’istanza applicativa subito pronta all’uso (il sistema è realizzato con uno schema architetturale multitenant).

La modalità on-premises presuppone invece l’installazione dell’applicativo e l’acquisizione di una serie di servizi accessori erogati da Aruba Pec e la possibilità da parte del cliente di partizionare l’uso del sistema.

^* i servizi marcatura temporale, firma qualificata remota, SMS per l’invio di OTP, conservazione sostitutiva sono realizzati tramite servizi erogati da Aruba Pec S.p.a..