Connective - Whitepaper - Firma Digitale - 2021

1 Guía fundamental sobre las firmas digitales Actualización de 2021 Todo lo que quiere saber sobre las firmas digitale

Views 97 Downloads 0 File size 5MB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

  • Author / Uploaded
  • car
Citation preview

1

Guía fundamental sobre las firmas digitales Actualización de 2021

Todo lo que quiere saber sobre las firmas digitales. Con una sencilla lista de comprobación que le ayudará a elegir la mejor solución para su empresa.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

INFOR ME T ÉC N ICO

2

01

Introducción

04

05

¿Cómo funcionan las firmas digitales?

24

02

¿Qué es una firma digital?

06

Ejemplos de métodos de firmas electrónicas

26

Diferencia entre una firma electrónica y digital

07

06 07

Integración con sistemas y programas

33

08

Los casos de uso son infinitos

34

09

Lista de comprobación para elegir una

36

03

04

¿Son las firmas digitales jurídicamente

09

informáticos

vinculantes? eIDAS

10

Las leyes UETA y eSIGN

12

ZertES

14

Las ventajas de las firmas electrónicas

16

Eficiencia

16

Experiencia del usuario

17

Cumplimiento normativo

18

Seguridad

19

Incidencia positiva en la sostenibilidad

20

Resumen de las ventajas

22

solución de firma electrónica

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Contenido

Introducción

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

01 3

4

han propuesto abordar los procesos cotidianos de forma electrónica y, por tanto, mucho más eficiente y segura. Sin embargo, vemos una circunstancia curiosa: a la hora de celebrar acuerdos importantes y jurídicamente vinculantes o de compartir información confidencial, muchas empresas han preferido seguir con sus tradicionales soportes de papel. Por eso, el año 2020 fue un auténtico punto de inflexión. La propagación de COVID-19, el distanciamiento social sostenido y el continuo aumento del número de empleados que trabajan desde casa repercutieron inevitablemente en la forma de llevar a cabo los negocios. Obviamente, las operaciones tan esenciales como la firma de acuerdos y contratos no se libraron del impacto. La pandemia de Covid-19 forzó a las empresas, a los consumidores y a los empleados a digitalizarse completa y rápidamente para poder mantener la continuidad de sus negocios.

Los flujos de trabajo con firma electrónica son indispensables.

Tuvieron que cambiar sus hábitos digitales y adoptar otros nuevos a pasos agigantados. La legislación y la normativa que regulan las transacciones y firmas electrónicas se convirtieron en la clave para responder a las necesidades cambiantes de las empresas. Si no lo han hecho ya, empresas de todo el mundo están incorporando la firma electrónica a sus herramientas o ampliando su uso. Es una evolución bastante lógica, ya que los flujos de trabajo con firma electrónica son indispensables para seguir impulsando los negocios en un mundo a distancia. En este informe técnico, repasamos todo lo que necesita saber sobre las firmas electrónicas. Le ayudaremos a evaluar, elegir e implantar la mejor solución de firma electrónica para su negocio.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Desde la era digital, muchas organizaciones se

¿Qué es una firma digital?

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

02 5

6

manuscrita que utilizamos en el mundo offline. Técnicamente, es un código matemático que asegura que el documento no puede ser modificado después de firmarlo. Lo mismo aplica a los elementos relacionados con la identidad de la persona. A nivel jurídico, recoge la intención de una persona de dar su consentimiento al contenido de un documento electrónico, contrato o conjunto de datos.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

La firma digital es el equivalente virtual de la versión

7 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

DIFERENCI A ENTR E UNA F IRM A ELE CTRÓNI CA Y DI GI TAL Seguramente habrá notado que los términos firma electrónica y firma digital se utilizan indistintamente. Sin embargo, hay una diferencia. Una firma digital siempre es electrónica. En cambio, una firma electrónica no siempre es digital. La diferencia es que una firma digital se ampara en

Por lo tanto, la firma digital es la forma más avanzada y

tecnología criptográfica que proporciona un nivel

segura de la firma electrónica. Ambas utilizan el protocolo

adicional de seguridad e integridad al documento. Una

de la infraestructura de clave pública (PKI, por sus siglas

firma electrónica, por otro lado, puede ser simplemente la

en inglés) para firmar datos electrónicos con una clave

imagen de su firma pegada en un documento de Word.

criptográfica. El contenido del mensaje no se puede

Incluso puede ser la firma de su correo electrónico.

modificar ni alterar sin quebrantar la validez de la firma digital. La firma digital puede utilizarse para cumplir los requisitos reglamentarios más exigentes, ya que ofrece los niveles más altos de garantía sobre la identidad de cada firmante y la autenticidad/integridad de los documentos que firmen.

¿Son las firmas digitales jurídicamente vinculantes?

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

03 8

9

La firma digital goza de reconocimiento jurídico y es

Si quiere indagar en este tema, le animamos a que

vinculante en casi todo el mundo.

se descargue nuestro informe técnico legal con la evaluación realizada por DLA Piper. Por ahora, esto

Desde 2016, eIDAS, el marco jurídico europeo para

es lo que debe saber sobre:

las firmas electrónicas, se aplica directamente en todos los Estados miembro de la Unión Europea.

y eIDAS

En Estados Unidos existe una normativa similar

y Las leyes UETA y eSIGN (Estados Unidos)

denominada UETA y eSign Act, que se aplica desde

y FAES suiza (“ZertES” en alemán)

2002. Otros países también han decretado leyes similares. Incluso los países menos desarrollados, los que en el pasado no habían explorado esta vía, están introduciendo leyes que regulan las firmas electrónicas. Actualmente, las firmas electrónicas se están convirtiendo en un elemento clave para responder a las necesidades cambiantes de las empresas.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Sí.

10

El 1 de julio de 2016, el Reglamento europeo

Las diferencias entre estos tipos de firma se basan

para la identificación electrónica, la autenticación

principalmente en 4 elementos clave:

y los servicios de confianza orientados a las transacciones electrónicas (eIDAS) estableció una

y Autenticidad

nuevo marco jurídico para la identificación, las

¿Está la firma vinculada de forma

firmas, los sellos y los documentos electrónicos en

exclusiva al firmante?

toda la UE. Este reglamento de la UE clasifica las firmas electrónicas según el nivel de garantía que ofrecen. En la siguiente tabla explicaremos lo que

y Identidad ¿Es usted capaz de identificar al firmante? y Integridad

significa. Pero antes que nada debe saber que hay

¿Está la firma vinculada a los datos de

tres tipos de firmas electrónicas:

modo que cualquier cambio ulterior de los mismos se pueda detectar?

Firma electrónica básica o simple (SES)

y Autenticación ¿Hasta qué punto está seguro usted de que la

Firma electrónica avanzada o digital (AES) Firma electrónica avanzada cualificada o firma digital cualificada (QES)

firma la ha creado exclusivamente el firmante?

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

e IDAS

11 SIMPL E O BÁSICA (SES)

Definición

AVA N ZA DA (A ES )

CUA L I FI CA DA (Q ES )

Son todas las formas de firma electrónica que constituyen

Esta firma debe cumplir unos requisitos específicos que

La firma digital cualificada o de no repudio es el único tipo

una prueba de aceptación o aprobación por parte del

proporcionan un mayor nivel de verificación de la identidad

de firma electrónica que goza de una condición jurídica

firmante. Puede ser una imagen escaneada de una firma,

del firmante, de seguridad y de sellado inviolable (lo que

especial en la UE. A diferencia de las otras firmas, la carga

una firma trazada a mano en una pantalla de un PC (y

significa que el documento no puede modificarse tras su

de la prueba recae en la parte que impugna la(s) firma(s),

guardada digitalmente), un clic en un botón de “Acepto”, etc.

firma).

y no en la parte que la(s) inició. Esto hace que a nivel legal sea equivalente a una firma manuscrita. Está respaldada por un certificado emitido por un proveedor de servicios de confianza que figura en la lista de confianza de la UE (ETL) y está certificado por un Estado miembro de la UE.

Integridad

El contenido no puede modificarse después de la firma

El contenido no puede modificarse después de la firma

El contenido no puede modificarse después de la firma

Identidad del firmante

La identidad del firmante no está comprobada.

Existe una alta probabilidad de poder identificar al firmante.

El firmante se puede identificar al 100 %. Se requiere una

Autenticidad

No es seguro que la firma esté vinculada de forma exclusiva

Es cierto que la firma está vinculada de forma exclusiva con

Es cierto que la firma está vinculada de forma exclusiva con

con el firmante.

el firmante.

el firmante.

No es seguro que la firma la haya creado exclusivamente el

Es cierto que la firma la ha creado exclusivamente el

Es cierto que la firma la ha creado exclusivamente el

firmante.

firmante. La autenticación multifactor es opcional.

firmante. Se requiere una autenticación multifactor.

No es necesario.

Se necesita un dispositivo de creación de firmas seguras

Se necesita un dispositivo de creación de firmas cualificadas

(SSCD).

(QSCD).

Jurídicamente irrefutable. La carga de la prueba recae en la

Jurídicamente irrefutable. La carga de la prueba recae en la

Jurídicamente irrefutable. La carga de la prueba recae en la

parte que inició la firma.

parte que inició la firma.

parte que impugna la firma.

Los siguientes métodos de firma pueden ser una firma

Los siguientes métodos de firma pueden ser una firma

La firma electrónica cualificada siempre va acompañada de

electrónica básica o avanzada en función del proceso de

electrónica básica o avanzada en función del proceso de

una identidad electrónica y presupone el uso de un lector de

creación: Manual, Biométrico, Con tarjeta bancaria / iDIN,

creación: Manual, Biométrico, Con tarjeta bancaria / iDIN,

tarjetas o token, u otro certificado específico.

Con contraseña de un solo uso (OTP) por SMS o por correo

Con contraseña de un solo uso (OTP) por SMS o por correo

electrónico

electrónico

Autenticación

Hardware

Validez jurídica

Ejemplos

verificación inicial cara a cara u otro proceso equivalente.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

En esta tabla explicaremos cómo se diferencian los tres tipos en estos aspectos:

12

Estados Unidos tiene una estructura de leyes a dos

Esto significa que eSIGN es vigente en todos los

niveles: el federal y el estatal. Las leyes federales se

estados del país, mientras que cada estado por

aplican a toda la nación y a las transacciones entre

separado puede optar por aplicar la normativa

partes de diferentes estados, mientras que las leyes

UETA, en su totalidad o en parte, o en forma

estatales se aplican solo al estado específico y a las

modificada, como ley estatal. Son 47 los estados los

operaciones realizadas dentro de ese estado. Para

que han adoptado UETA de alguna forma.

regular el comercio electrónico, EE. UU. promulgó la Ley de firmas electrónicas en el comercio global y nacional (eSIGN), que se aplica a nivel federal, y la Ley uniforme de transacciones electrónicas (UETA), que rige las operaciones a nivel de los estados.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

LAS L E Y ES UE TA Y ESI GN (ESTAD OS UNI D OS)

13

determinadas normas de cumplimiento normativo.

3

Asociación clara de la firma Para que pueda considerarse una firma electrónica

Existen cuatro requisitos principales para que una

según las leyes eSIGN y UETA, ésta debe estar

firma electrónica sea considerada válida según la

vinculada o asociada lógicamente con el registro y

legislación estadounidense. Son los siguientes:

el firmante.

1

2

Intención de firmar Al igual que las firmas tradicionales manuscritas,

4

Conservación de registros Las leyes estadounidenses sobre firmas y

sus versiones electrónicas solo son válidas si

transacciones electrónicas exigen que cada

cada una de las partes demuestra una clara

registro electrónico refleje con exactitud la

intención de firmar.

información del documento. Además, el registro electrónico debe permanecer accesible a todas las

Consentimiento para hacer negocios de forma

personas con derecho de acceso por ley durante

electrónica

el período de tiempo legalmente requerido y al

Ambas partes de la transacción deben aceptar

mismo tiempo debe estar en un formato que

el uso de registros y firmas electrónicos en

pueda ser reproducido con precisión para su

lugar de versiones en papel y firmas manuscritas.

posterior consulta.

Este acuerdo puede ser expreso o desprenderse

(Fuente https://www.dlapiper.com/en/us/insights/

implícitamente de las circunstancias.

publications/2019/04/ipt-news-q1-2019/so-you-

Una excepción son las transacciones con

want-to-go-digital/)

consumidores, en las que debe seguirse el Proceso de consentimiento del consumidor de eSIGN. Los firmantes también tienen la opción de excluirse. (Fuente: DLA Piper)

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Tanto eSIGN como UETA definen claramente

14 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

FAES S UIZA ( “ Z ERT ES” EN A L EM Á N) El 19 de diciembre de 2003 se legalizó la firma electrónica en Suiza con la entrada en vigor de la Ley federal de firmas electrónicas (también denominada ZertES). La Ley federal relativa a las firmas electrónicas (o FAES, por sus siglas en inglés) regula las condiciones en las que los proveedores de servicios pueden utilizar los servicios de certificación con firma electrónica. Además, la FAES proporciona

La estructura escalonada de la FAES y las normas

un marco que determina las obligaciones y los

de valor jurídico son similares a las del Reglamento

derechos del proveedor a la hora de prestar

eIDAS de la Unión Europea. Además de la noción

servicios de certificación. La ley promueve el uso

y del concepto general de la firma electrónica, la

de servicios seguros de certificación electrónica

normativa FAES estipula tres variantes adicionales,

para facilitar la utilización de las firmas electrónicas

a saber, la firma electrónica simple, avanzada y

cualificadas. Con la FAES, la firma electrónica se

cualificada, al igual que el eIDAS.

equipara a la manuscrita. Significa que las firmas electrónicas cualificadas son plenamente válidas en los tribunales, mientras que las otras versiones requieren más pruebas para ser consideradas auténticas.

Las ventajas de las firmas electrónicas

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

04 15

16

En la oficina ya no necesitará:

muchas ventajas de las que la eficiencia, la experiencia del usuario, el cumplimiento normativo, la seguridad y la incidencia positiva sobre la sostenibilidad son las más destacadas.

y Esperar a que los altos directivos vuelvan a la oficina para obtener su firma; y Firmar, imprimir, escanear o enviar documentos por servicio postal; y Archivar a mano los documentos autorizados; y Verificar manualmente si los documentos han sido firmados por la persona autorizada.

EF IC IENC IA

De cara a sus clientes, podrá acelerar todo el ciclo de vida de su negocio. Con las firmas digitales:

Con demasiada frecuencia, la finalización de un proceso comercial o de cualquier otra índole

y Ahorrará tiempo a la hora de crear contratos;

empresarial se convierte en una pesadilla que

y Todos dentro y fuera de la organización

absorbe mucho tiempo y está plagada de tedioso

podrán firmar en cualquier momento y desde

papeleo. Se dedica tiempo a realizar tareas

cualquier dispositivo;

administrativas repetitivas antes que alcanzar objetivos efectivos. Es la razón por la que todos tratan de optimizar los tiempos de los procesos al

y Agilizará todo el proceso de aprobación y firma, y lo hará a prueba de errores; y Disfrutará del mismo nivel de protección

trabajar digitalmente. La introducción de la firma

y fiabilidad que con los documentos

electrónica puede ser otro paso para acelerar su

convencionales;

negocio.

y Podrá cerrar tratos de forma más rápida.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

El uso de las firmas electrónicas conlleva

17

La experiencia del usuario es la percepción del

Además, se pueden utilizar todo tipo de dispositivos,

cliente sobre la interacción con su organización. Es

lo que hace que la firma digital sea extremadamente

determinada por el trato que le brinda su empresa.

fácil de usar. Las pilas de hojas por rubricar o

Aprovechando las firmas electrónicas puede

el papeleo para archivar son cosas del pasado.

mejorar estas interacciones. Estas firmas ofrecen

Basta con enviar el contrato por correo electrónico

la comodidad de que los documentos pueden ser

(automática o manualmente) para cerrar el trato en

firmados en todas partes: el cliente puede formalizar

cuestión de minutos.

un préstamo mientras está de vacaciones, los tratos pueden cerrarse rápidamente. Piense en una oferta exclusiva en una feria. Incluso en la puerta de su casa puede confirmar fácilmente la entrega de un pedido.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

EXPE RI E NCI A DE L US UA RIO

18

En los últimos años, casi todos los países han aprobado leyes y reglamentos que reconocen la legalidad de las firmas digitales y las han otorgado un efecto vinculante. Gracias al reglamento eIDAS, en Europa disponemos de una plataforma jurídica que permite el uso y la validación transfronterizos de las firmas electrónicas. En virtud de este reglamento, todos los tipos de firma se tratan por igual en los tribunales. Las firmas digitales proporcionan autenticidad y aseguran que se verifique la identidad del firmante. Esto tiene validez en todos los tribunales de justicia, al igual que cualquier otro documento de papel firmado. Al elegir una solución que se ajuste a la normativa correspondiente, se asegurará de cumplir con estos requisitos legales.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

C UM PLI M I ENTO NOR M AT IVO

19

Cuando se trata de firmas, la autenticidad y la

Además, con la firma digital siempre estará firmando

seguridad son prioritarias. Todos los tipos de

todo el juego de documentos. No hay riesgo de

firma electrónica ya son más seguros que la firma

que algunas páginas se hayan añadido o quitado

manuscrita sobre el papel. Ciertamente es el caso

posteriormente.

de la firma digital. Gracias a la encriptación del documento, tiene la garantía de que el documento

Las firmas digitales también son eficientes en el

no se alteró después de la firma.

sentido de que son menos propensas a errores. Los controles manuales acarrean un riesgo mayor que los procesos automatizados. Otra ventaja respecto a la seguridad es que las firmas electrónicas permiten establecer una administración de los consentimientos, lo cual es obligatorio según el RGPD.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

S E G URIDAD

20

La firma electrónica también contribuye en gran medida a la protección del medio ambiente y a la sostenibilidad en general.

1

Firmar a distancia: los desplazamientos se vuelven obsoletos La opción de firmar documentos electrónicamente elimina la necesidad de desplazarse. Basta con utilizar el ordenador o el teléfono móvil para firmar a distancia, desde cualquier lugar del mundo. Además de ser beneficioso para nuestro entorno, conduce a un ahorro de tiempo y gastos. En resumidas cuentas, es una forma mucho más práctica de abordar los negocios en general.

2

La firma electrónica: olvídese de los documentos en papel No solo evitará los desplazamientos para rubricar documentos a mano, con la firma electrónica también contribuirá a una oficina sin papel. Olvídese de imprimir, copiar, escanear o archivar físicamente sus contratos firmados, ya que todo el proceso está digitalizado. En cuanto cambie a la firma electrónica, reducirá la huella ecológica de su empresa desde el primer día. Gastará menos papel, ayudando a preservar nuestros bosques. Además, disminuirá la emisión de CO2 de su empresa desde la primera firma electrónica.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

INC IDENC IA PO S I T I VA E N LA S O ST E N I B I L I DA D

21

La firma electrónica: el archivo físico se convierte en cosa del pasado En muchos casos, la herramienta de firma electrónica le permite subir los documentos por firmar y almacenarlos en el sistema de gestión documental de su empresa una vez firmados. Todos los pasos están automatizados, lo que reduce considerablemente el riesgo del error humano a lo largo del proceso de firma. Algunas herramientas de firma incluso incorporan una extensión especial de archivo, que le permite almacenar y archivar esos documentos de forma segura. Al no tener que imprimir los documentos (a menudo en varias copias), se reduce drásticamente la cantidad de papel que circula por la oficina. Además, los documentos están disponibles en línea en todo momento y son accesibles desde cualquier lugar.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

3

22

E F IC IE N C IA

ME J OR TRATO CON LO S CLIE N TES

Las firmas electrónicas simplifican los procesos y

firmas tendrán validez jurídica más allá de las fronteras europeas. En el marco del eIDAS, existen tres tipos

automatizarse, eliminando todas las tareas manuales

de firmas. Los tres pueden tener validez jurídica. La

como la obtención de la firma, la impresión, el escaneo, el

diferencia entre ellos radica en las pruebas que hay que

envío, el archivo y la verificación.

aportar para demostrar a un tribunal que la firma es auténtica y que se ha aplicado intencionalmente a un

Hoy día, los clientes esperan de las empresas que

documento en particular.

ofrezcan servicios en línea. Si introduce la opción de la A PRUEBA DE FUTURO

documento de identidad digital. Es lógico, porque desde

se vayan a otros proveedores.

el 29 de septiembre de 2018, todos los ciudadanos y las empresas de la UE pueden iniciar sesión con su DNI

Las firmas electrónicas se pueden incorporar a cualquier

en los portales de las instituciones públicas de otros Estados miembro. Esto ha potenciado el uso de las

serán más productivos y se ahorrarán muchas horas

firmas digitales, ya que su DNI sirve como identificación

de trabajo, las que podrán dedicar a otras tareas que

digital que respalda estas firmas más allá de las

aportan un mayor valor. Al mismo tiempo, reducen drásticamente los costes administrativos. Reducirá el consumo de papel, no necesitará sellos ni tinta,

fronteras. ESCALABILIDAD

a más clientes.

escaneo. Ya no tendrá que perder tiempo persiguiendo firmas.

A medida que las tareas manuales disminuyen, se pueden procesar más documentos y es posible atender

ni instalaciones físicas de archivo o dispositivos de

MOV IL IDAD

Muchos países han implantado el sistema del

para deleitar y satisfacer a sus clientes. Esto evitará que

proceso de la empresa. La ventaja es que sus empleados

SE GU IM IE N TO DE SUS AVA N C ES

Si elige una solución que cumpla con el eIDAS, las

gestionar los documentos. El proceso de firma puede

firma electrónica, dispondrá de todas las herramientas

REDU CC IÓ N DE COST ES

CUMPLIMIENTO NORMATI VO

reducen considerablemente el tiempo necesario para

SE GURIDAD

Con las firmas digitales, puede salvaguardar sus

Puede ser frustrante y tedioso si no para de preguntarse:

documentos con un alto nivel de seguridad y peso de

“¿Ha firmado ya?” o “¿En qué fase está mi documento?”.

prueba. Cada firma está protegida con un sello inviolable,

El software de firma electrónica facilita el seguimiento

que le avisa si se modifica alguna parte del documento

de los documentos con un panel de control online. Es

tras su firma. El nivel de protección puede ajustarse en

más, algunas soluciones informáticas ofrecen incluso

función del grado de confidencialidad. Para obtener el

la posibilidad de enviar a los firmantes un correo

máximo nivel de confidencialidad, se pueden utilizar

electrónico a modo de recordatorio.

tipos de autenticación más estrictos. De este modo,

Los documentos se pueden firmar en cualquier lugar y en todos los dispositivos. Es muy útil para los directivos que viajan, pero también para firmar en el momento.

los documentos con firma digital incluyen una prueba fehaciente de la identidad del firmante, lo que le ofrece una sólida garantía de la integridad del documento y de la identidad de la persona que lo ha firmado.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

R ESU MEN DE LAS VENTA JAS

¿Cómo funcionan las firmas digitales?

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

05 23

24

Antes de firmar, se utiliza una función criptográfica para crear

denominado infraestructura de clave pública (PKI, por sus siglas

un compendio de mensajes (comparable con algunos datos),

en inglés). Este protocolo utiliza algoritmos criptográficos para

llamado huella digital única o hash. A continuación, el hash se

crear dos números largos o claves. Una es pública, mientras

cifra (se firma) con la clave privada del firmante y se incluye en

que la otra es privada.

la firma digital.

La firma digital es exclusiva de un firmante. Cada vez que

Cuando el documento llega al destinatario, se crea otro hash.

éste firma un documento, la firma se crea utilizando su clave

El hash incluido en la firma se descifra para compararlo con

privada. Esta clave privada siempre es guardada de forma

el hash generado para el documento. Si no coinciden, el

segura por el firmante y se incluye en la firma cuando la aplica.

destinatario verá que el documento se ha manipulado, por lo

Básicamente, la firma digital asocia al firmante de forma segura

que la firma digital habrá quedado invalidada.

con un documento mediante un mensaje codificado. Además de esta clave, la firma también contiene el certificado del firmante, incluidas la clave pública y otra información, como la fecha y la hora en que se firmó el documento.

001011011001010

ORIGIN AL D OC UMEN T

H ASH CALC ULAT ION

EN CRY PTIO N

PRIVATE 110100101101101 PUBLIC

SIGN ED DOC UMEN T

H ASH CALC ULAT ION

001011011001010

D E CRY PTIO N

=

001011011001010

WHOSE PUB L IC K E Y IS TH IS?

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Las firmas digitales se basan en un protocolo específico,

Ejemplos de métodos de firmas electrónicas

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

06 25

26 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Existen muchos métodos de firma diferentes. Varían desde métodos sencillos, como un botón de aprobación o una firma manuscrita, hasta formas de firma más avanzadas o incluso cualificadas y, por tanto, muy seguras, como la firma con un DNI electrónico. Lo que necesita saber es que, dependiendo del método de firma, el proceso de firmar suele ir precedido de la autenticación del usuario. Se trata de la verificación de las credenciales de una persona como paso previo para concederle acceso a un sistema, en este caso, el de la firma electrónica. La autenticación contribuye a la validez de los documentos

Aunque la autenticación no implica necesariamente una

firmados, ya que certifica con quién una empresa, organización

experiencia más engorrosa para el usuario, el proceso sigue

o institución está realizando la transacción. El hecho de que

siendo más complejo y requiere más del usuario que un simple

una empresa decida pedir una autenticación durante el proceso

garabato con el dedo en un smartphone o un ordenador de

de firma dependerá del valor de la transacción y del peso que

sobremesa.

tiene la experiencia del usuario. Queremos darle más información sobre los métodos de firma que existen actualmente.

DESCARGO DE RESPONSABILIDAD: La información contenida en esta sección tiene únicamente fines informativos generales y no pretende constituir un asesoramiento jurídico. Connective no garantiza que la información aquí contenida esté actualizada o sea precisa, ni hace declaraciones sobre la validez legal de los métodos de firma. Tenga en cuenta que la legislación que regula la firma electrónica está cambiando rápidamente y puede diferir en cada jurisdicción. Si tiene preguntas sobre el contenido o las afirmaciones realizadas en esta sección, o sobre si las soluciones de Connective se ajustan a las necesidades de su organización, póngase en contacto con un profesional del derecho de su región.

27

Firma trazada en pantalla Una firma básica y manual se puede trazar en la pantalla simplemente utilizando el ratón o el panel táctil o usando los dedos o un lápiz óptico en una pantalla táctil. Esto también se considera una firma electrónica.

Aa

Firma manuscrita Con este método de firma usted introduce su nombre utilizando el teclado. A continuación, podrá elegir entre diferentes fuentes preconfiguradas y manuscritas para plasmar su firma. Botón de aprobación Se trata de un simple clic con el ratón en un botón de aprobación. Esto generará una firma de aprobación.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

SIN AUTENTI CACI ÓN

28

Firma biométrica

Firma con tarjeta inteligente o token (USB)

Para poner una firma biométrica se necesita una tableta

El tipo de tarjeta inteligente más conocido para firmar

de firma biométrica o un lápiz biométrico. La tableta

electrónicamente es el documento (nacional) de

de firma y el lápiz biométrico permiten capturar las

identidad electrónico de un país, como por ejemplo LuxID,

características biométricas de una firma, como la posición

Estonian ID, .beID, DNIe, etc. Otros ejemplos de tarjetas

del lápiz, el momento en el que se presiona con la punta y

inteligentes son la tarjeta para abogados en Bélgica, la

la fuerza aplicada. Estos datos biométricos se vinculan a la

tarjeta de acceso común (CAC) o la tarjeta personal para

firma, creando un perfil de firma biométrico exclusivo, que

la verificación de la identidad (PIV) en Estados Unidos, y

permite al fabricante de la tableta verificar la autenticidad

muchos más.

de la firma cuando sea necesario. Estas tarjetas inteligentes contienen un certificado personal con una clave privada emitida por un proveedor cualificado. Con este sistema, el firmante introduce su tarjeta inteligente en el lector de tarjetas o inserta el token en el puerto USB y teclea su código PIN personal para autenticarse a la hora de firmar documentos.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

CO N AUTENTI CACI ÓN

29

y El principio de SSO (inicio de sesión único) también es un

(incluyendo SSO)

ejemplo de firma que utiliza el nombre de usuario y una

y En algunos procesos de incorporación, el usuario se

contraseña. De este modo, una persona puede utilizar sus

identifica eligiendo su nombre de usuario (que suele

credenciales de inicio de sesión en la plataforma de una

ser su dirección de correo electrónico) y contraseña.

empresa para firmar documentos. Este método suele ir

A veces, también rellena alguna información adicional.

acompañado de una autenticación multifactor.

A continuación, puede utilizar estas credenciales para autenticarse cuando firme documentos de forma

Con contraseña de un solo uso (OTP) por SMS o correo

electrónica.

electrónico Para la firma con una OTP por SMS, es necesario disponer

y Si desea implantar una solución más segura para el inicio

del número de teléfono móvil del firmante. Durante el proceso

de sesión con nombre de usuario y contraseña como

de firma, la persona tendrá que introducir los cuatro últimos

paso previo a la firma, puede optar por herramientas

dígitos de su número de teléfono. A continuación, recibirá una

como la de Swisscom. Esta solución funciona con una

contraseña de un solo uso por SMS para autenticarse.

identificación única a través de Face2Face o por vídeo para verificar la identidad del firmante. A continuación, el

En el caso de una OTP por correo electrónico, se necesita

firmante puede elegir su nombre de usuario y contraseña

la dirección de correo electrónico del firmante. El firmante

para autenticaciones posteriores o autenticarse mediante

deberá completar la dirección de correo electrónico para que

aplicación móvil. Gracias a la identificación previa, se

el sistema le envíe una contraseña de autenticación a esa

genera un certificado personal que queda vinculado a la

dirección.

identidad. Esto aumenta considerablemente el nivel de seguridad y da lugar a firmas electrónicas avanzadas y cualificadas.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Inicio de sesión con nombre de usuario y contraseña

30

Autenticación bancaria (a veces en combinación con los

La identidad móvil se refiere a la identidad digital de una

operadores de redes móviles)

persona y a la tecnología empleada para gestionarla, es

También existen iniciativas de la banca que crean su DNI

decir, un teléfono inteligente, una tableta u otro dispositivo

electrónico personal y le permiten identificarse de forma

móvil.

segura. Su identidad bancaria puede ser móvil, en cuyo caso queda almacenada en la tarjeta SIM de su teléfono,

Un caso de uso muy común consiste en que el usuario

pero también hay bancos que verifican su identidad con un

empiece por crear su identidad móvil a través de un proceso

dispositivo de autenticación como los lectores de tarjetas

de incorporación. Para ello, puede identificarse con su DNI

bancarias o autenticadores de un botón, etc. Las identidades

electrónico o utilizar las credenciales con las que inicia

bancarias también son un método perfecto para firmar

sesión en su banca online. A continuación, el usuario crea

documentos de forma electrónica.

una contraseña que quedará vinculada a su identidad móvil.

Algunos ejemplos son iDIN, Bank ID Norway, Bank ID Sweden,

Una vez creada la identidad móvil, ésta servirá para la

Finnish Trust Network, etc.

autenticación en un proceso de firma electrónica, por ejemplo. Un ejemplo de la identidad móvil es itsme® en

Autenticación biométrica

Bélgica.

Con este método, se realiza un proceso de autenticación seguro antes de la firma. Se basa en los rasgos biológicos

Iniciativas públicas

únicos de las personas para comprobar que son quienes dicen

Algunos gobiernos han creado servicios de autenticación

ser. Estos rasgos biológicos pueden ser la voz, los rasgos

para proteger el acceso a sus aplicaciones virtuales seguras.

faciales y las huellas dactilares, por ejemplo. A continuación,

En algunos casos, estos sistemas de autenticación también

el documento puede ser firmado electrónicamente. La

sirven para firmar documentos de forma electrónica y

autenticación biométrica quedará grabada en los registros de

segura.

auditoría de los documentos, lo que cuenta como prueba de

Algunos ejemplos son FranceConnect, FAS Belgium, MitID

una firma electrónica segura y jurídicamente vinculante.

(anteriormente NemID), etc.

Algunos ejemplos son SmileID de Electronic ID, FaceID de Apple, etc.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Identidades móviles

Integración con sistemas y programas informáticos

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

07 31

32 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Si decide implementar la herramienta de firma electrónica, se hará la vida más fácil si la integra en las aplicaciones que su empresa ya tiene instaladas. Asegúrese también de que la solución de firma electrónica elegida se adapte a los sistemas de sus clientes. La mayoría de las soluciones están construidas para integrarse con los últimos sistemas operativos y navegadores, pero aun así debería comprobar si la suya funciona sin problemas en las últimas versiones antes de elegir y verificar si tiene una interfaz (API) flexible. Por ejemplo, Google Chrome ya no ejecuta los applets de

También existen herramientas independientes en el

Java y es posible que otros navegadores sigan sus pasos.

mercado. Funcionan mediante inicio de sesión en un

Algunas herramientas de firma electrónica utilizan Java.

portal central para firmas digitales. Es mejor que en este

Por lo tanto, compruebe el rendimiento de la solución

caso también compruebe la interfaz. De este modo,

en todos los navegadores más utilizados. Al fin y al

podrá integrar perfectamente una funcionalidad de firma

cabo, querrá facilitarles las cosas a su clientes antes que

electrónica en sus propias aplicaciones web.

complicarlas. Además, piense en el diseño responsivo. Resulta que los teléfonos inteligentes y las tabletas están a punto de superar a los ordenadores para operar en línea. Cumpla las expectativas de sus clientes en este aspecto y compruebe cómo se ve la solución en móviles y tabletas. Obviamente, debería ser compatible con iOS y Android.

Los casos de uso son infinitos

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

08 33

34

recomendamos que se ponga en contacto con su

de una firma puede ser firmado electrónicamente.

departamento jurídico si tiene alguna duda sobre la

Y como ya hemos dicho, las firmas digitales no

validez legal de las firmas electrónicas.

solo son válidas y vinculantes, sino que también surten los mismos efectos legales que sus

Sin embargo, los casos de uso son infinitos. He aquí

versiones manuscritas. Obviamente, para ello se

algunos ejemplos interesantes de documentos que

tienen que cumplir los requisitos estipulados por la

pueden firmarse de forma electrónica.

normativa y las leyes aplicables. Además, según el país y la legislación, determinados documentos siguen precisando de una firma manuscrita para que tengan validez jurídica. Por lo tanto, siempre

V E N TAS

Ofertas Confirmaciones de pedidos

RE C URS O S H UM A NO S

Políticas de empresas

COMPRAS

Declaraciones de trabajo

Contratos temporales e indefinidos

Contratos marco de servicios

Contratos con socios

Normas internas

Acuerdos de confidencialidad - Contratos

Acuerdos de confidencialidad

Documentos de seguros de salud

y acuerdos con proveedores

Cotizacione

Evaluaciones anuales del desempeño

Órdenes de compra

Propuestas

Movilidad interna

Condiciones contractuales

Términos y condiciones

Solicitudes de crédito Acuerdos de financiación

F IN AN ZAS

Hipotecas online

O PE RAC IO NES

Ofertas

D E PARTAMENTO JURÍDICO

Términos y condiciones

Aperturas de cuentas

Confirmaciones de pedidos

Incorporaciones de clientes

Contratos con socios

Confirmaciones de pedidos Acuerdos

Convenios de crédito

Acuerdos de confidencialidad

Acuerdos de confidencialidad

Solicitudes de tarjetas de débito/crédito

Términos y condiciones

Contratos de venta

Solicitudes de cambio

Poderes de representación

Aprobaciones de requisitos

Gestión de políticas Documentos de cumplimiento normativo

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Técnicamente, cualquier documento que precise

Lista de comprobación para elegir una solución de firma electrónica

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

09 35

36

adecuada, hemos elaborado una lista de comprobación. Si comprueba todos estos puntos, se asegurará de adquirir una

DEPARTAMENTO JURÍDICO ¿Cumple con la normativa aplicable a su organización (eIDAS, RGPD, etc.)?

solución fácil de usar que satisfaga a todos los implicados,

¿Se puede utilizar de forma transfronteriza? ¿Cumple con la última

tanto dentro como fuera de la empresa.

normativa eIDAS para Europa? ¿Abarca las identidades electrónicas u otros métodos de identidad

EFICIENCIA

relevantes en los países en los que quiera operar (.beID, itsme, iDIN, SwissID, etc.)?

¿Permite firmar los tipos de archivos que suele utilizar (como por

¿Es compatible con la firma electrónica avanzada y cualificada (AES

ejemplo, PDF, DOC, DOCX, TXT, XML, etc.)?

y QES) para documentos con múltiples firmantes?

¿Funciona con sus aplicaciones actuales?

¿Permite a cualquiera validar la firma, incluso sin acceso al sistema?

¿Permite el seguimiento de los documentos con un panel de control

En otras palabras, ¿son autónomos los documentos? Si no es así,

intuitivo? ¿Incorpora flujos de firma automatizados? ¿Se integra con sus aplicaciones actuales o con las que podría utilizar en el futuro para la gestión de contratos o los servicios de RR. HH., por ejemplo? ¿Conoce y entiende su negocio el proveedor? ¿Permite incorporar su imagen corporativa?

puede que tenga que recurrir al proveedor de la herramienta de firmas más adelante si surge alguna disputa. La solución, ¿ofrece WYSIWYS (lo que ves es lo que firmas)? Si quiere asegurarse de que se lee todo el documento antes de que se firme, esta función es imprescindible. Garantizará que el documento solo se pueda firmar cuando se haya leído por completo.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

Para ayudarle a elegir la herramienta de firma electrónica

37

RE QUISITOS T É CNICOS

¿Es fácil preparar los documentos para su firma?

¿Desea utilizar una solución en la nube o alojarla usted mismo?

¿Es autoexplicativa e intuitiva la solución? Asegúrese de que sus

¿Está la solución disponible en la forma que usted prefiere? ¿Ofrece

usuarios no necesitan seguir ninguna formación o leer un manual

el software el nivel de seguridad requerido?

para utilizarla.

¿Crea una firma digital y un hash para cada firmante de la

¿Le permite establecer el orden de los firmantes?

transacción? Es decir, ¿sella de modo inviolable el documento entre

¿Incorpora un amplio surtido de métodos de firma (código SMS,

los firmantes con arreglo a los requisitos del eIDAS?

código de correo electrónico, desafío-respuesta, DNIe, otros

¿Es compatible con las últimas versiones de todos los sistemas

certificados digitales, etc.)?

operativos habituales (tanto de PC como móviles)?

¿Le permite ofrecer una selección de métodos de firma a sus

¿Ofrece un diseño plenamente responsivo? ¿Pueden los usuarios

firmantes (para que puedan utilizar el dispositivo que tengan a

firmar también en su smartphone o tableta?

mano)?

¿Tiene una interfaz de programación de aplicaciones (API) flexible?

¿Le permite firmar paquetes de documentos?

¿Es fácil de aplicar la solución?

¿Ofrece la posibilidad de firmar con cualquier dispositivo?

¿Existen conectores disponibles para programas ajenos como MS

¿Permite a cualquier persona, dentro o fuera de la organización,

Dynamics o Salesforce?

validar la firma incluso sin acceder al sistema? ¿Encaja con el flujo para los consumidores? Pruebe el flujo completo de principio a fin para asegurarse de que los usuarios tengan una experiencia fluida. ¿Admite varios idiomas tanto para los iniciadores como para los firmantes?

COSTE ¿Cuál es el modelo de costes de la solución? ¿Se paga por firma o por la solución completa? ¿Es necesario comprar la herramienta o también existe la opción de SAAS (con cuotas mensuales)? Estime sus gastos futuros.

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

EXPERIENCIA DEL USUARIO

38

[email protected] www.connective.eu

G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S

¿Quiere saber más sobre las firmas digitales?