Tecnologia

Ajuda em detalhes técnicos

Principais perguntas

Esta funcionalidade está desativada. Aceite os biscoitos funcionais para usar nosso serviço.

Geração de certificados com OpenSSL

Esta funcionalidade está desativada. Aceite os biscoitos funcionais para usar nosso serviço.

O que é uma identidade reivindicada?

Esta funcionalidade está desativada. Aceite os biscoitos funcionais para usar nosso serviço.

Como fazer uma chamada de verificação

H | Integração e configuração da interface

Principalmente sim. No caso de utilização do apelido e nome próprio, deverá ser exatamente o mesmo que consta do documento de identidade ou passaporte. Mas se for difícil de implementar, o recurso de modelo pode suportar ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Este recurso permite assumir exatamente o nome e o sobrenome que foram usados durante a identificação em combinação com o RA-Service (SRS).

A Swisscom também pode configurar o serviço de forma que apenas um pseudônimo seja usado em vez do sobrenome e do nome. Além disso, o “Nome Comum” (CN) pode ser usado com os nomes normalmente usados para essa pessoa (independente do documento de identidade). A chamada de verificação RA-Service verifica, neste caso, o número de telemóvel que foi utilizado durante a identificação e o país. O uso do pseudônimo em verifyCall é independente do uso do pseudônimo na chamada de solicitação de assinatura.

Sim, existem várias bibliotecas disponíveis no mercado que permitem uma rápida implementação de um aplicativo de assinatura. Todos eles também contam com suporte especial para Swisscom Service:

A Intarsys é um sócio premium da Swisscom e conhece muito bem o serviço AIS do ponto de vista técnico e pode fornecer suporte de consultoria.

A Swisscom rejeita qualquer responsabilidade pela operação livre de erros dessas bibliotecas. Estes podem conter erros e exigir conhecimento e experiência especiais. O uso é por conta e risco do assinante.

Consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Existe um modo de teste e demonstração que permite que você experimente o aplicativo, mas nenhum dado é transmitido. Para o efeito, deve constar no formulário de registo o número de telemóvel +41001234567 e o nome da empresa “demo”.

Não. A Swisscom exige até que, quando a tela PWD / OTP for integrada como um “iFrame”, uma pessoa externa possa verificar se ele se origina da Swisscom. Por exemplo, as funções padrão do navegador podem ser usadas, as quais a Swisscom publica no link de seu site de acordo com o Capítulo 4 dos Termos de Uso. Para integração iFrame, dê uma olhada em https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Não há suporte para eliminação de tela como interface. Developers pode ser confrontado com o fato de que as telas serão alteradas. Também é contraditório com a implementação de “controle exclusivo” entre o signatário e o certificado de assinatura.

Sim, mas apenas como iFrame, as instruções podem ser encontradas aqui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Não, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sim, conforme descrito no Guia de Referência ( www.swisscom.com/signing-service ) em “Método Step-Up” no campo “Mensagem”, o bloco de texto com o título da mensagem para a expressão de intenção e o idioma A configuração com “Idioma” pode ser configurada dentro da estrutura do protocolo. Para a janela de entrada de SMS, o idioma também pode ser definido com o parâmetro “Idioma”.

O pré-requisito para a configuração é uma “declaração de configuração e aceitação” assinada pelo cliente e verificada pela autoridade de registro global. Esta declaração contém as obrigações do operador de um aplicativo de assinatura (por exemplo, a possibilidade de exibir o documento completo a ser assinado, garantindo o acesso ao serviço), mas também as características do serviço.

Outro pré-requisito é um certificado de acesso, que protege a comunicação do aplicativo de assinatura com o serviço de assinatura.

Após a verificação do documento, o nosso Setup Service recebe a encomenda de activação do serviço com o certificado de acesso enviado e a especificação seleccionada na configuração e declaração de aceitação. No caso de assinaturas qualificadas, o serviço é inicialmente ativado apenas para assinaturas “avançadas”. Posteriormente, o contato indicado na declaração de configuração e aceitação é solicitado a fornecer um exemplo de assinatura com a assinatura avançada. Se não houver falhas, o serviço é alterado para o nível “qualificado”, se necessário. O cliente também será notificado sobre isso. Ele agora tem 10 dias para relatar qualquer irregularidade diretamente à equipe de configuração. Se não receberem nenhuma reclamação durante esse período, a conexão com o serviço será aceita. Outros incidentes podem ser relatados à Swisscom por meio do Suporte de primeiro nível no caso de um contato direto com a Swisscom ou com o parceiro de revenda.

O certificado de acesso pode ser um certificado autoassinado. Por exemplo, com software openssl.

Requisitos para o nome distinto:

  • CN = <URL do sistema de assinante que realiza a comunicação com AIS ou outra identificação única do sistema de assinante>
  • O = <Nome da organização>
  • Email = <E-mail para fins de notificação, por exemplo, em caso de fim de validade>
  • C = <país da organização>

Os seguintes requisitos adicionais devem ser considerados ao preparar o certificado:

  • Prazo máximo de 3 anos
  • Algoritmo de hash SHA-256 mínimo
  • Comprimento da chave mínimo de 2.048 bits

Condições especiais ainda se aplicam a certificados de acesso no âmbito da criação de selo regulamentado (ZertES) ou qualificado (eIDAS): A chave privada do certificado de acesso deve ser criada em um módulo criptográfico em uma cerimônia conjunta de um representante da autoridade de registro da Swisscom. Este módulo deve atender aos requisitos de FIPS 140-2 nível 2 ou similar, por exemplo, Yubikey, chave Feitan ou Microsoft Key Vault. Como alternativa, pode ser apresentado um conceito sobre como a atribuição do certificado de acesso à pessoa responsável pela organização pode ser realizada de outras maneiras.

No caso de um selo, além da declaração de configuração e aceitação pelo operador da plataforma de assinatura, também é necessário um pedido de certificado de certificado de selo, um certificado de organização. Ao contrário do certificado de assinatura pessoal, o certificado do selo é emitido por três anos. O pedido de certificado deve ser assinado por pessoas autorizadas da organização. A autorização pode resultar do registo (por exemplo, procuração) ou também pode ser uma procuração especial, que foi emitida, por exemplo, para os operadores do centro de informática. A Swisscom precisa da prova desta procuração. Essas pessoas também são identificadas pessoalmente com antecedência por um representante do escritório de registro da Swisscom usando o RA-App. Também pode ser, por exemplo, um agente de RA de um revendedor que efetuou a identificação pessoal. Isso permite que a pessoa assine o aplicativo usando uma assinatura eletrônica. O aplicativo é enviado para a Swisscom sem assinatura e a Swisscom convida as pessoas a assinarem eletronicamente. As próximas etapas agora diferem dependendo do tipo de vedação:

Assinatura avançada: o requerente envia à Swisscom um certificado SSL, que deseja usar como certificado de acesso para a interface do selo.

Assinatura qualificada / regulamentada: O requerente concorda com uma data com a Swisscom para a criação conjunta de uma chave privada. Deve ser criado em um dispositivo criptográfico baseado na qualificação FIPS 140-2 nível 2 ou similar (por exemplo, Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.) Um certificado de acesso é então criado com base nesta chave. Ou seja, para o processo de assinatura o acesso deve ser liberado por meio deste certificado. Como alternativa, pode ser apresentado um conceito sobre como a atribuição do certificado de acesso à pessoa responsável pela organização pode ser realizada de outras maneiras.

A incorporação de hashes assinados deve ser tarefa de especialistas em PDF ou bibliotecas correspondentes. O espaço para a assinatura deve ser pré-calculado. Dê uma olhada em https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

A solução a seguir pode fornecer uma solução. Apresentamos isso aqui sem garantia, já que a Swisscom se concentra apenas no serviço e não no aplicativo de assinatura:

  • Crie um PDF com um campo de assinatura em branco e pré-preenchido
  • O intervalo de bytes deve ser preenchido com zeros até o tamanho esperado
  • Calcule o hash do documento
  • Assine o hash com o All-in Signing Service
  • Preencha o hash assinado no campo de assinatura vazio
  • Itere para o campo de assinatura vazio
  • Determine o intervalo de bytes do campo de assinatura vazio
  • Calcule o deslocamento do intervalo de bytes
  • Abra o documento com o campo de assinatura vazio no modo de leitura e escrita e encontre o deslocamento onde o hash foi inserido

Também é muito importante seguir as diretrizes do padrão PADES e da Validação de Longo Prazo: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Nos parâmetros retornados da chamada de verificação, o chamado “serial” é retornado. Caso comece com “SAS” (ou seja, SASxxxxxxx), o cliente usará a autenticação PWD / OTP. Se começar com “MID” (ou seja, MIDxxxxxx), o cliente usa o procedimento Mobile ID. No entanto, não é possível distinguir entre o aplicativo Mobile ID e o cartão SIM Mobile ID.

No entanto, os resultados podem ser usados, por exemplo, para fornecer textos de ajuda especiais (por exemplo, se a senha for esquecida, etc.) para o cliente, ou para consultar a declaração de vontade no telefone celular.

O verifyCall permite que você verifique se um signatário já está cadastrado ou não. Se você escolher o pseudônimo, precisará apenas do número do celular e do país do signatário. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS # 1 só é compatível com o formato CADES e os selos, mas não com assinaturas pessoais.

Não, apenas PADES / CADES para sinetes e PADES para assinaturas pessoais.

Suporta Swisscom para encontrar um nome para ClaimedID (acesso ao signing service).

Sim, basta marcar a caixa de seleção apropriada.

I | Desempenho

No momento estamos em processo de expansão de nossas capacidades com outros algoritmos (pré-geração de chaves) e expansão de HW. Como vários clientes usam o serviço, consideramos uma carga máxima de uma solicitação por segundo em média por cliente. Desempenho superior, ou seja, capacidades especialmente reservadas são opcionalmente possíveis.

É limitado a 250 por motivos de segurança e não pela capacidade do serviço.

Esteja ciente de que instalamos um WAF para proteger nosso serviço contra ataques de negação de serviço. Se você deseja realizar alguns testes em massa, entre em contato conosco com antecedência.

A assinatura deve ser assinada com uma declaração de vontade (autorização) por Mobile ID (SIM / App) ou PWD / OTP. Depois de enviar a solicitação, o usuário geralmente tem 80 segundos para inserir a autorização. O valor não é ajustável.

N | Docusign Connector

Além da licença Docusign geral, você deve comprar através da Docusign ou de um revendedor Docusign o “Docusign Express SKU” e solicitar ao suporte da Docusign para habilitar o Swisscom PEN na IU (esta é a caixa de seleção para o Swisscom QES / AES). Além disso, você precisa assinar um contrato Swisscom Signing Service e solicitar o conector Docusign.

“Você não tem o nível de garantia correto para assinar este documento. Entre em contato com o Agente de RA de sua empresa ”será exibida como mensagem de erro.

A verificação completa de todas as assinaturas no validador mostra que pelo menos uma assinatura não é válida e não segue as regras do regulamento eIDAS ou lei SigE / ZertES. Isso porque o aplicativo Docusign acrescenta, além do Swisscom QES, um selo Entrust que não segue as normas legais. Na conclusão total da verificação, o resultado é negativo porque uma assinatura inválida foi encontrada. No entanto, a assinatura do QES é obviamente válida no tribunal. Se desejar, você pode pedir ao suporte da Docusign para eliminar o selo Entrust.

O validador Docusign não será mais mantido e no momento não é capaz de suportar qualquer assinatura eletrônica suíça.

Por favor, discuta com o seu suporte Docusign. Swisscom oferece sempre um conector por “Docusign Customer Account ID”

Você não encontrou sua resposta, entre em contato com nosso suporte.

Formulário de Apoio
Conseguimos ajudá-lo?

Estamos felizes em poder ajudá-lo.

É uma pena que ainda não tenhamos sido capazes de fornecer a resposta que você precisa. Nossa equipe de suporte terá prazer em ajudá-lo.


Gostaríamos de fornecer a você o conteúdo de ajuda mais recente em seu idioma o mais rápido possível. Esta página foi traduzida automaticamente e pode conter erros gramaticais ou imprecisões. Você pode visitar a página onde retiramos o conteúdo original aqui para evitar possíveis mal-entendidos.

Zoom