Tecnologia

Principalmente sì. In caso di utilizzo del cognome e del nome, deve essere esattamente lo stesso che si trova nella carta d'identità o nel passaporto. Ma se questo è difficile da implementare, la funzionalità del modello può supportare ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Questa funzione consente di rilevare esattamente il nome e il cognome utilizzati durante l'identificazione in combinazione con il servizio RA (SRS).

Swisscom è inoltre in grado di configurare il servizio in modo che venga utilizzato solo uno pseudonimo al posto del cognome e del nome. Inoltre il “Common Name” (CN) potrebbe essere utilizzato con i nomi solitamente usati per questa persona (indipendentemente dal documento di identità). La chiamata di verifica del RA-Service verifica in questo caso il numero di cellulare utilizzato durante l'identificazione e il paese. L'uso dello pseudonimo in verificareCall è indipendente dall'uso dello pseudonimo nella chiamata di richiesta di firma.

Sì, sul mercato sono disponibili diverse librerie che consentono una rapida implementazione di un'applicazione di firma. Tutti hanno anche un supporto speciale per Swisscom Service:

• Intarsys, Germania : fornisce varie soluzioni per la gestione e l'integrazione delle firme: https://www.intarsys.de/produkte/fernsignatur

Intarsys è un partner premium di Swisscom e conosce molto bene il servizio AIS dal punto di vista tecnico e può fornire supporto di consulenza.

• PDF-Tools, Svizzera : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Belgio : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom utilizza iText nei suoi esempi, ma gli esempi sono "obsoleti", ovvero alcune funzionalità sono cambiate. Ma la gestione di base può essere vista lì: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Germania : alcuni clienti utilizzano SetaPDF, che offre anche una soluzione speciale per Swisscom Service: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Svizzera (Skribble.com): https://api.skribble.com/swagger-ui.html

Swisscom declina ogni responsabilità per il funzionamento senza errori di queste biblioteche. Questi possono contenere errori e richiedere conoscenze e competenze speciali. L'utilizzo è a rischio e pericolo dell'abbonato.

Vedi https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

È disponibile una modalità di prova e demo che consente di provare l'app, ma non vengono trasmessi dati. A tal fine è necessario inserire nel modulo di registrazione il numero di cellulare +41001234567 e la ragione sociale “demo”.

No. Swisscom richiede addirittura che, quando lo schermo PWD/OTP è integrato come "iFrame", una persona esterna possa verificare che provenga da Swisscom. Ad es. è possibile utilizzare le funzioni standard del browser che Swisscom pubblica tramite il collegamento al proprio sito Web in conformità al capitolo 4 delle condizioni di utilizzo. Per l'integrazione iFrame, dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Non c'è supporto per lo screen scraping come interfaccia. Developers potrebbe trovarsi di fronte al fatto che le schermate verranno cambiate. È anche in contraddizione con l'attuazione del "controllo esclusivo" tra il firmatario e il certificato di firma.

Sì, ma solo come iFrame, le istruzioni possono essere trovate qui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, vedere https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sì, come descritto nella Guida di riferimento ( www.swisscom.com/signing-service ) in «Metodo Step-Up» nel campo «Messaggio», il blocco di testo con l'intestazione del messaggio per l'espressione dell'intenzione e la l'impostazione con “Lingua” può essere configurata nell'ambito del protocollo. Per la finestra di inserimento SMS la lingua può essere impostata anche con il parametro “Lingua”.

Il prerequisito per l'installazione è una "dichiarazione di configurazione e accettazione" firmata dal cliente e verificata dall'autorità di registrazione globale. Tale dichiarazione contiene gli obblighi del gestore di una domanda di firma (es. la possibilità di esibire il documento completo da sottoscrivere, garantire l'accesso al servizio), ma anche le caratteristiche del servizio.

Un altro prerequisito è un certificato di accesso, che assicura la comunicazione dell'applicazione di firma al servizio di firma.

Dopo aver verificato il documento, il nostro Servizio di Setup riceve l'ordine di attivazione del servizio con il certificato di accesso inviato e la specifica selezionata nella configurazione e dichiarazione di accettazione. Nel caso di firme qualificate, il servizio viene inizialmente attivato solo per le firme “avanzate”. Successivamente, al contatto indicato nella dichiarazione di configurazione e accettazione viene richiesta una firma di esempio con la firma avanzata. Se questo è impeccabile, il servizio viene commutato al livello "qualificato" se richiesto. Anche il cliente sarà informato di questo. Ora ha 10 giorni per segnalare eventuali irregolarità direttamente al team di installazione. Se non si ricevono reclami durante questo periodo, la connessione al servizio è accettata. Ulteriori incidenti possono quindi essere segnalati a Swisscom tramite 1st Level Support in caso di contatto diretto con Swisscom o con il partner di rivendita.

Il certificato di accesso può essere un certificato autofirmato. Ad esempio con il software openssl.

Requisiti per il nome distinto:

• CN=<URL del sistema dell'abbonato che effettua la comunicazione con AIS o altra identificazione univoca del sistema dell'abbonato>
• O=<Nome dell'organizzazione>
• Email=<E-Mail per notifica ad es. in caso di fine validità>
• C=<Paese dell'organizzazione>

I seguenti requisiti aggiuntivi devono essere presi in considerazione durante la preparazione del certificato:

• Durata massima 3 anni
• Algoritmo hash minimo SHA-256
• Lunghezza chiave minimo 3072 bit

Per i certificati di accesso valgono ancora condizioni speciali nell'ambito della creazione del sigillo regolamentato (ZertES) o qualificato (eIDAS): la chiave privata del certificato di accesso deve essere creata su un modulo crittografico in una cerimonia congiunta di un rappresentante dell'autorità di registrazione di Swisscom. Questo modulo deve soddisfare i requisiti di FIPS 140-2 livello 2 o simili, ad esempio Yubikey, Feitan key o Microsoft Key Vault. In alternativa, può essere presentato un concetto su come ottenere in altri modi l'assegnazione del certificato di accesso alla persona responsabile dell'organizzazione.

Nel caso di un sigillo, oltre alla dichiarazione di configurazione e accettazione da parte dell'operatore della piattaforma di firma, richiede anche una richiesta di certificato per il certificato di sigillo, un certificato dell'organizzazione. A differenza del certificato per la firma personale, il certificato di sigillo è rilasciato per tre anni. La domanda di certificato deve essere firmata da persone autorizzate dell'organizzazione. L'autorizzazione può risultare dal registro (es. procura) oppure può essere anche una procura speciale, rilasciata ad esempio per gli operatori del centro di calcolo. Swisscom ha bisogno della prova di questa procura. Queste persone vengono inoltre identificate personalmente in anticipo da un rappresentante dell'ufficio di registrazione di Swisscom tramite RA-App. Potrebbe trattarsi anche, ad esempio, di un agente RA di un rivenditore che ha effettuato l'identificazione personale. Ciò consente alla persona di firmare la domanda utilizzando una firma elettronica. La domanda viene inviata a Swisscom senza firma e Swisscom invita le persone a firmare elettronicamente. I passaggi successivi ora differiscono a seconda del tipo di sigillo:

Firma avanzata: il richiedente invia a Swisscom un certificato SSL, che desidera utilizzare come certificato di accesso per l'interfaccia al sigillo.

Firma qualificata/regolamentata: il richiedente concorda con Swisscom una data per la creazione congiunta di una chiave privata. Questo deve essere creato su un dispositivo crittografico basato sulla qualifica FIPS 140-2 livello 2 o simile (es. Yubikey, Feitan Key, Key Vault HSM Microsoft, ecc.) Viene quindi creato un certificato di accesso basato su questa chiave. Cioè per il processo di firma l'accesso deve essere rilasciato per mezzo di questo certificato. In alternativa, può essere presentato un concetto su come l'assegnazione del certificato di accesso al responsabile dell'organizzazione può essere ottenuta in altri modi.

L'incorporamento di hash firmati dovrebbe essere compito degli specialisti PDF o delle librerie corrispondenti. Lo spazio per la firma deve essere precalcolato. Dai un'occhiata a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La seguente soluzione può fornire una soluzione. Lo presentiamo qui senza garanzia, poiché Swisscom si concentra solo sul servizio e non sulla richiesta di firma:

• Crea un PDF con un campo firma vuoto e precompilato
• L'intervallo di byte deve essere riempito con zeri fino alla dimensione prevista
• Calcola l'hash del documento
• Firma l'hash con All-in Signing Service
• Riempi l'hash firmato nel campo della firma vuoto
• Iterare nel campo della firma vuoto
• Determinare l'intervallo di byte del campo firma vuoto
• Calcola l'offset dell'intervallo di byte
• Apri il documento con il campo della firma vuoto in modalità lettura-scrittura e trova l'offset in cui è stato inserito l'hash

È anche molto importante seguire le linee guida per lo standard PADES e la convalida a lungo termine: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Nei parametri restituiti della Verifica Call viene restituito il cosiddetto “seriale”. Se inizia con "SAS" (cioè SASxxxxxxx), il cliente utilizzerà l'autenticazione PWD/OTP. Se inizia con “MID” (cioè MIDxxxxxx), il cliente utilizza la procedura Mobile ID. Tuttavia, non è possibile distinguere tra Mobile ID App e Mobile ID SIM Card.

Tuttavia, i risultati possono essere utilizzati, ad esempio, per fornire al cliente speciali testi di aiuto (ad es. se la password viene dimenticata, ecc.) o per fare riferimento alla dichiarazione di volontà sul telefono cellulare.

VerificaCall ti consente di verificare se un firmatario è già registrato o meno. Se scegli lo pseudonimo ti serviranno solo il numero di cellulare e il paese del firmatario. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS#1 è supportato solo per il formato e i sigilli CADES, ma non per le firme personali.

No, solo PADES/CADES per i sigilli e PADES per le firme personali.

Supporta Swisscom nella ricerca di un nome per il ClaimedID (accesso a signing service).

Sì, basta spuntare la casella di controllo appropriata.

Al momento stiamo ampliando le nostre capacità con altri algoritmi (pre-generazione di chiavi) ed espansione HW. Poiché più clienti utilizzano il servizio, assumiamo un carico massimo di una richiesta al secondo in media per cliente. Prestazioni più elevate, ovvero capacità riservate sono facoltativamente possibili.

È limitato a 250 per motivi di sicurezza piuttosto che per la capacità del servizio.

Tieni presente che abbiamo installato un WAF per proteggere nuovamente il nostro servizio dagli attacchi denial-of-service. Se desideri eseguire alcuni test di massa, ti preghiamo di contattarci in anticipo.

La firma deve essere sottoscritta con una dichiarazione di volontà (autorizzazione) di Mobile ID (SIM/App) o PWD/OTP. Dopo aver inviato la richiesta, l'utente ha solitamente 80 secondi per inserire l'autorizzazione. Il valore non è regolabile.

Oltre alla licenza generale Docusign, è necessario acquistare tramite Docusign o un rivenditore Docusign la "Docusign Express SKU" e chiedere al supporto Docusign di abilitare la Swisscom PEN nell'interfaccia utente (questa è la casella di selezione per Swisscom QES/AES). Inoltre è necessario firmare un contratto Swisscom Signing Service e ordinare il connettore Docusign.

“Non hai il livello di garanzia corretto per firmare questo documento. Si prega di contattare l'agente RA della vostra azienda” verrà mostrato come messaggio di errore.

Il controllo completo di tutte le firme nel validatore mostra che almeno una firma non è valida e non segue le regole del regolamento eIDAS o della legge SigE/ZertES. Questo è il motivo per cui l'applicazione Docusign aggiunge oltre allo Swisscom QES un sigillo Entrust che non segue le regole legali. Nella conclusione del controllo totale il risultato è negativo perché è stata trovata una firma non valida. Tuttavia, la firma QES è ovviamente valida in tribunale. Volendo puoi chiedere al supporto di Docusign di eliminare il sigillo Entrust.

Il validatore Docusign non sarà più mantenuto e al momento non è in grado di supportare alcuna firma elettronica svizzera.

Si prega di discutere con il supporto di Docusign. Swisscom offre sempre un connettore per «ID account cliente Docusign»