Note de 4,8 étoiles sur g2.com
L'accès par Email n'est pas l'identité. L'OTP comble le fossé.
Un lien de signature envoyé à un courriel est raisonnablement sécurisé. Mais ce n'est pas une vérification d'identité. Les liens transférés, les boîtes de réception partagées et les comptes de courriel compromis sont tous des scénarios réels où la mauvaise personne finit par accéder à un document sensible.
Le OTP email du signataire comble cet écart : avant qu'un signataire puisse voir ou signer, il doit entrer un code à 6 chiffres envoyé à son adresse email. Le document ne se charge pas tant qu'ils ne prouvent pas qu'ils ont accès à la boîte de réception à laquelle il a été envoyé.
Comment cela fonctionne pour les signataires
L'Expérience du Signataire
L'expérience est conçue pour être rapide et sans ambiguïté. Lorsque le OTP est activé, un signataire qui ouvre son lien de signature voit un écran de vérification au lieu du document. Leur adresse email est masquée pour la confidentialité (affichée comme j**e@exemple.com), et un code est envoyé à cette adresse. Le code contient 6 chiffres, est valide pendant 10 minutes, et est soumis automatiquement dès que le dernier chiffre est entré. S'ils ont besoin d'un autre code, un bouton de renvoi s'active après un délai de 60 secondes.
Détails de sécurité
Les détails de sécurité valent la peine d'être notés : les codes sont cryptographiquement aléatoires, un maximum de 5 tentatives est autorisé par code avant qu'il ne soit invalidé, et une fois vérifié, un jeton de session de 4 heures signifie que le signataire n'a pas besoin de revérifier s'il revient au même document sur le même appareil pendant cette période.
Le modèle de configuration en cascade
Le concept le plus important pour les développeurs est de comprendre comment require_otp_verification se comporte à travers les niveaux de configuration. C'est un champ tri-état : true, false ou null. Null signifie hériter du niveau supérieur.
La chaîne de substitution s'exécute dans cet ordre, de la plus haute à la plus basse priorité :
Demande de signature
Remplace tout ce qui se trouve en dessous
Paramètres de l'espace de travail
Remplace la valeur par défaut de l'entreprise
Paramètres de l'entreprise
La configuration de base par défaut pour tous les espaces de travail
Cela vous donne un contrôle précis. Activez OTP au niveau de l'espace de travail et chaque demande de signature dans cet espace nécessite une vérification par défaut. Remplacez-le par false sur des demandes spécifiques à faible sensibilité où la friction ne vaut pas la peine. Ou définissez-le sur true au niveau de l'entreprise et désactivez-le sélectivement par espace de travail pour les contextes où il ne s'applique pas.
Définir l'OTP au niveau de l'espace de travail
Chaque demande de signature dans cet espace de travail nécessite désormais un OTP par défaut, sauf si elle est remplacée au niveau de la demande de signature.
Remplacement par demande de signature
Cette demande spécifique saute OTP quel que soit le paramètre de l'espace de travail. Utile pour les documents internes ou les flux de travail à faible risque qui n'ont pas besoin de l'étape supplémentaire.
Où cela a-t-il été exposé
Niveau
Champ
Comportement
Société
exiger_verification_otp
Définit la valeur par défaut pour tous les espaces de travail
Paramètres de l'espace de travail
exiger_verification_otp
Remplace les paramètres par défaut de l'entreprise ; null hérite de l'entreprise
Paramètres de demande de signature
exiger_verification_otp
Surcharge de la plus haute priorité ; null hérite de l'espace de travail
Cas d'utilisation
Formulaires de consentement médical
L'identité du patient est importante avant qu'un document de consentement médical ne se charge. Pour les flux de travail conçus pour soutenir les exigences de HIPAA, la vérification OTP ajoute une couche significative de contrôle d'accès sans nécessiter une intégration complète KYC. Pertinent également pour les plateformes conçues pour la conformité à la FDA 21 CFR Part 11.
Accords financiers
Les mandats d'investissement, les demandes de prêt et les accords de conseil impliquent des informations sensibles. Exiger un accès vérifié à la boîte de réception avant que le document ne se charge réduit le risque d'accès non autorisé et fournit un enregistrement supplémentaire de la vérification du signataire.
Intégration des ressources humaines dans les secteurs réglementés
Les contrats de travail et les reconnaissances de conformité dans le secteur de la santé, les services financiers et les contrats gouvernementaux bénéficient de l'identité vérifiée du signataire, notamment pour l'intégration à distance où l'employeur ne peut pas confirmer l'identité en personne.
La vérification OTP a été livrée dans la version 1.9.0 comme un changement additif et sans rupture. Si vous êtes déjà intégré, elle est disponible pour être activée dès aujourd'hui sans aucun changement à votre logique de demande de signature existante.
