Calificación de 4.8 estrellas en g2.com
El acceso a Email no es identidad. OTP cierra la brecha.
Un enlace de firma enviado a un correo electrónico es razonablemente seguro. Pero no es una verificación de identidad. Enlaces reenviados, bandejas de entrada compartidas y cuentas de correo comprometidas son todos escenarios reales donde la persona equivocada termina accediendo a un documento sensible.
La OTP de Correo Electrónico del Firmante cierra esa brecha: antes de que un firmante pueda ver o firmar, debe ingresar un código de 6 dígitos enviado a su dirección de correo electrónico. El documento no se carga hasta que demuestren que tienen acceso a la bandeja de entrada a la que fue enviado.
Cómo Funciona para los Firmantes
La Experiencia del Firmante
La experiencia está diseñada para ser rápida y sin ambigüedades. Cuando OTP está habilitado, un firmante que abre su enlace de firma ve una pantalla de verificación en lugar del documento. Su dirección de correo electrónico está enmascarada por privacidad (mostrada como j**e@esample.com), y se envía un código a esa dirección. El código tiene 6 dígitos, es válido por 10 minutos y se envía automáticamente en el momento en que se ingresa el último dígito. Si necesitan otro código, un botón de reenvío se activa después de un enfriamiento de 60 segundos.
Detalles de seguridad
Los detalles de seguridad son dignos de mención: los códigos son criptográficamente aleatorios, se permiten un máximo de 5 intentos por código antes de que se invalide, y una vez verificados, un token de sesión de 4 horas significa que el firmante no tiene que volver a verificar si regresa al mismo documento en el mismo dispositivo dentro de ese período.
El Modelo de Configuración en Cascada
El concepto más importante para los desarrolladores es cómo require_otp_verification se comporta a través de los niveles de configuración. Es un campo de tres estados: true, false o null. Null significa heredar del nivel superior.
La cadena de anulación se ejecuta en este orden, de mayor a menor prioridad:
Solicitud de firma
Anula todo lo que está debajo de él
Configuración del espacio de trabajo
Sustituye la configuración por defecto de la empresa
Configuración de la empresa
La configuración base predeterminada para todos los espacios de trabajo
Esto te da un control preciso. Habilita OTP al nivel del espacio de trabajo y cada solicitud de firma en ese espacio de trabajo requiere verificación por defecto. Anúlalo a false en solicitudes específicas de baja sensibilidad donde la fricción no merece la pena. O configúralo a true al nivel de la compañía y desactívalo selectivamente por espacio de trabajo para contextos donde no se aplique.
Configurar OTP a nivel de espacio de trabajo
Cada solicitud de firma en este espacio de trabajo ahora requiere OTP por defecto, a menos que se anule en el nivel de solicitud de firma.
Sobrescribiendo Por Solicitud de Firma
Esta solicitud específica omite OTP independientemente de la configuración del espacio de trabajo. Útil para documentos internos o flujos de trabajo de bajo riesgo que no necesitan el paso adicional.
Dónde fue expuesto
Nivel
Campo
Comportamiento
Empresa
requerir_verificación_otp
Establece el valor predeterminado para todos los espacios de trabajo
Configuración del espacio de trabajo
requerir_verificación_otp
Anula la configuración predeterminada de la empresa; null hereda de la empresa
Configuración de la solicitud de firma
requerir_verificación_otp
Anulación de máxima prioridad; null hereda del espacio de trabajo
Casos de Uso
Formularios de consentimiento sanitario
La identidad del paciente importa antes de que se cargue un documento de consentimiento médico. Para los flujos de trabajo diseñados para apoyar los requisitos de HIPAA, la verificación OTP añade una capa significativa de control de acceso sin requerir una integración completa de KYC. También es relevante para plataformas construidas para el cumplimiento de la FDA 21 CFR Parte 11.
Acuerdos financieros
Los mandatos de inversión, las solicitudes de préstamo y los acuerdos de asesoría implican información sensible. Requerir acceso verificado a la bandeja de entrada antes de que el documento se cargue reduce el riesgo de acceso no autorizado y proporciona un registro adicional de la verificación del firmante.
Onboarding de recursos humanos en sectores regulados
Los contratos de empleo y los reconocimientos de cumplimiento en el ámbito de la salud, los servicios financieros y la contratación gubernamental se benefician de la verificación de la identidad del firmante, particularmente para la incorporación remota donde el empleador no puede confirmar la identidad en persona.
La verificación OTP se envió en v1.9.0 como un cambio aditivo que no rompe la compatibilidad. Si ya estás integrado, está disponible para habilitarlo hoy sin ningún cambio en tu lógica de solicitud de firma existente.
