Connective - Whitepaper - Firma Digitale - 2021
1 Guía fundamental sobre las firmas digitales Actualización de 2021 Todo lo que quiere saber sobre las firmas digitale
Views 46 Downloads 0 File size 5MB
Recommend stories
- Author / Uploaded
- car
Citation preview
1
Guía fundamental sobre las firmas digitales Actualización de 2021
Todo lo que quiere saber sobre las firmas digitales. Con una sencilla lista de comprobación que le ayudará a elegir la mejor solución para su empresa.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
INFOR ME T ÉC N ICO
2
01
Introducción
04
05
¿Cómo funcionan las firmas digitales?
24
02
¿Qué es una firma digital?
06
Ejemplos de métodos de firmas electrónicas
26
Diferencia entre una firma electrónica y digital
07
06 07
Integración con sistemas y programas
33
08
Los casos de uso son infinitos
34
09
Lista de comprobación para elegir una
36
03
04
¿Son las firmas digitales jurídicamente
09
informáticos
vinculantes? eIDAS
10
Las leyes UETA y eSIGN
12
ZertES
14
Las ventajas de las firmas electrónicas
16
Eficiencia
16
Experiencia del usuario
17
Cumplimiento normativo
18
Seguridad
19
Incidencia positiva en la sostenibilidad
20
Resumen de las ventajas
22
solución de firma electrónica
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Contenido
Introducción
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
01 3
4
han propuesto abordar los procesos cotidianos de forma electrónica y, por tanto, mucho más eficiente y segura. Sin embargo, vemos una circunstancia curiosa: a la hora de celebrar acuerdos importantes y jurídicamente vinculantes o de compartir información confidencial, muchas empresas han preferido seguir con sus tradicionales soportes de papel. Por eso, el año 2020 fue un auténtico punto de inflexión. La propagación de COVID-19, el distanciamiento social sostenido y el continuo aumento del número de empleados que trabajan desde casa repercutieron inevitablemente en la forma de llevar a cabo los negocios. Obviamente, las operaciones tan esenciales como la firma de acuerdos y contratos no se libraron del impacto. La pandemia de Covid-19 forzó a las empresas, a los consumidores y a los empleados a digitalizarse completa y rápidamente para poder mantener la continuidad de sus negocios.
Los flujos de trabajo con firma electrónica son indispensables.
Tuvieron que cambiar sus hábitos digitales y adoptar otros nuevos a pasos agigantados. La legislación y la normativa que regulan las transacciones y firmas electrónicas se convirtieron en la clave para responder a las necesidades cambiantes de las empresas. Si no lo han hecho ya, empresas de todo el mundo están incorporando la firma electrónica a sus herramientas o ampliando su uso. Es una evolución bastante lógica, ya que los flujos de trabajo con firma electrónica son indispensables para seguir impulsando los negocios en un mundo a distancia. En este informe técnico, repasamos todo lo que necesita saber sobre las firmas electrónicas. Le ayudaremos a evaluar, elegir e implantar la mejor solución de firma electrónica para su negocio.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Desde la era digital, muchas organizaciones se
¿Qué es una firma digital?
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
02 5
6
manuscrita que utilizamos en el mundo offline. Técnicamente, es un código matemático que asegura que el documento no puede ser modificado después de firmarlo. Lo mismo aplica a los elementos relacionados con la identidad de la persona. A nivel jurídico, recoge la intención de una persona de dar su consentimiento al contenido de un documento electrónico, contrato o conjunto de datos.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
La firma digital es el equivalente virtual de la versión
7 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
DIFERENCI A ENTR E UNA F IRM A ELE CTRÓNI CA Y DI GI TAL Seguramente habrá notado que los términos firma electrónica y firma digital se utilizan indistintamente. Sin embargo, hay una diferencia. Una firma digital siempre es electrónica. En cambio, una firma electrónica no siempre es digital. La diferencia es que una firma digital se ampara en
Por lo tanto, la firma digital es la forma más avanzada y
tecnología criptográfica que proporciona un nivel
segura de la firma electrónica. Ambas utilizan el protocolo
adicional de seguridad e integridad al documento. Una
de la infraestructura de clave pública (PKI, por sus siglas
firma electrónica, por otro lado, puede ser simplemente la
en inglés) para firmar datos electrónicos con una clave
imagen de su firma pegada en un documento de Word.
criptográfica. El contenido del mensaje no se puede
Incluso puede ser la firma de su correo electrónico.
modificar ni alterar sin quebrantar la validez de la firma digital. La firma digital puede utilizarse para cumplir los requisitos reglamentarios más exigentes, ya que ofrece los niveles más altos de garantía sobre la identidad de cada firmante y la autenticidad/integridad de los documentos que firmen.
¿Son las firmas digitales jurídicamente vinculantes?
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
03 8
9
La firma digital goza de reconocimiento jurídico y es
Si quiere indagar en este tema, le animamos a que
vinculante en casi todo el mundo.
se descargue nuestro informe técnico legal con la evaluación realizada por DLA Piper. Por ahora, esto
Desde 2016, eIDAS, el marco jurídico europeo para
es lo que debe saber sobre:
las firmas electrónicas, se aplica directamente en todos los Estados miembro de la Unión Europea.
y eIDAS
En Estados Unidos existe una normativa similar
y Las leyes UETA y eSIGN (Estados Unidos)
denominada UETA y eSign Act, que se aplica desde
y FAES suiza (“ZertES” en alemán)
2002. Otros países también han decretado leyes similares. Incluso los países menos desarrollados, los que en el pasado no habían explorado esta vía, están introduciendo leyes que regulan las firmas electrónicas. Actualmente, las firmas electrónicas se están convirtiendo en un elemento clave para responder a las necesidades cambiantes de las empresas.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Sí.
10
El 1 de julio de 2016, el Reglamento europeo
Las diferencias entre estos tipos de firma se basan
para la identificación electrónica, la autenticación
principalmente en 4 elementos clave:
y los servicios de confianza orientados a las transacciones electrónicas (eIDAS) estableció una
y Autenticidad
nuevo marco jurídico para la identificación, las
¿Está la firma vinculada de forma
firmas, los sellos y los documentos electrónicos en
exclusiva al firmante?
toda la UE. Este reglamento de la UE clasifica las firmas electrónicas según el nivel de garantía que ofrecen. En la siguiente tabla explicaremos lo que
y Identidad ¿Es usted capaz de identificar al firmante? y Integridad
significa. Pero antes que nada debe saber que hay
¿Está la firma vinculada a los datos de
tres tipos de firmas electrónicas:
modo que cualquier cambio ulterior de los mismos se pueda detectar?
Firma electrónica básica o simple (SES)
y Autenticación ¿Hasta qué punto está seguro usted de que la
Firma electrónica avanzada o digital (AES) Firma electrónica avanzada cualificada o firma digital cualificada (QES)
firma la ha creado exclusivamente el firmante?
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
e IDAS
11 SIMPL E O BÁSICA (SES)
Definición
AVA N ZA DA (A ES )
CUA L I FI CA DA (Q ES )
Son todas las formas de firma electrónica que constituyen
Esta firma debe cumplir unos requisitos específicos que
La firma digital cualificada o de no repudio es el único tipo
una prueba de aceptación o aprobación por parte del
proporcionan un mayor nivel de verificación de la identidad
de firma electrónica que goza de una condición jurídica
firmante. Puede ser una imagen escaneada de una firma,
del firmante, de seguridad y de sellado inviolable (lo que
especial en la UE. A diferencia de las otras firmas, la carga
una firma trazada a mano en una pantalla de un PC (y
significa que el documento no puede modificarse tras su
de la prueba recae en la parte que impugna la(s) firma(s),
guardada digitalmente), un clic en un botón de “Acepto”, etc.
firma).
y no en la parte que la(s) inició. Esto hace que a nivel legal sea equivalente a una firma manuscrita. Está respaldada por un certificado emitido por un proveedor de servicios de confianza que figura en la lista de confianza de la UE (ETL) y está certificado por un Estado miembro de la UE.
Integridad
El contenido no puede modificarse después de la firma
El contenido no puede modificarse después de la firma
El contenido no puede modificarse después de la firma
Identidad del firmante
La identidad del firmante no está comprobada.
Existe una alta probabilidad de poder identificar al firmante.
El firmante se puede identificar al 100 %. Se requiere una
Autenticidad
No es seguro que la firma esté vinculada de forma exclusiva
Es cierto que la firma está vinculada de forma exclusiva con
Es cierto que la firma está vinculada de forma exclusiva con
con el firmante.
el firmante.
el firmante.
No es seguro que la firma la haya creado exclusivamente el
Es cierto que la firma la ha creado exclusivamente el
Es cierto que la firma la ha creado exclusivamente el
firmante.
firmante. La autenticación multifactor es opcional.
firmante. Se requiere una autenticación multifactor.
No es necesario.
Se necesita un dispositivo de creación de firmas seguras
Se necesita un dispositivo de creación de firmas cualificadas
(SSCD).
(QSCD).
Jurídicamente irrefutable. La carga de la prueba recae en la
Jurídicamente irrefutable. La carga de la prueba recae en la
Jurídicamente irrefutable. La carga de la prueba recae en la
parte que inició la firma.
parte que inició la firma.
parte que impugna la firma.
Los siguientes métodos de firma pueden ser una firma
Los siguientes métodos de firma pueden ser una firma
La firma electrónica cualificada siempre va acompañada de
electrónica básica o avanzada en función del proceso de
electrónica básica o avanzada en función del proceso de
una identidad electrónica y presupone el uso de un lector de
creación: Manual, Biométrico, Con tarjeta bancaria / iDIN,
creación: Manual, Biométrico, Con tarjeta bancaria / iDIN,
tarjetas o token, u otro certificado específico.
Con contraseña de un solo uso (OTP) por SMS o por correo
Con contraseña de un solo uso (OTP) por SMS o por correo
electrónico
electrónico
Autenticación
Hardware
Validez jurídica
Ejemplos
verificación inicial cara a cara u otro proceso equivalente.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
En esta tabla explicaremos cómo se diferencian los tres tipos en estos aspectos:
12
Estados Unidos tiene una estructura de leyes a dos
Esto significa que eSIGN es vigente en todos los
niveles: el federal y el estatal. Las leyes federales se
estados del país, mientras que cada estado por
aplican a toda la nación y a las transacciones entre
separado puede optar por aplicar la normativa
partes de diferentes estados, mientras que las leyes
UETA, en su totalidad o en parte, o en forma
estatales se aplican solo al estado específico y a las
modificada, como ley estatal. Son 47 los estados los
operaciones realizadas dentro de ese estado. Para
que han adoptado UETA de alguna forma.
regular el comercio electrónico, EE. UU. promulgó la Ley de firmas electrónicas en el comercio global y nacional (eSIGN), que se aplica a nivel federal, y la Ley uniforme de transacciones electrónicas (UETA), que rige las operaciones a nivel de los estados.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
LAS L E Y ES UE TA Y ESI GN (ESTAD OS UNI D OS)
13
determinadas normas de cumplimiento normativo.
3
Asociación clara de la firma Para que pueda considerarse una firma electrónica
Existen cuatro requisitos principales para que una
según las leyes eSIGN y UETA, ésta debe estar
firma electrónica sea considerada válida según la
vinculada o asociada lógicamente con el registro y
legislación estadounidense. Son los siguientes:
el firmante.
1
2
Intención de firmar Al igual que las firmas tradicionales manuscritas,
4
Conservación de registros Las leyes estadounidenses sobre firmas y
sus versiones electrónicas solo son válidas si
transacciones electrónicas exigen que cada
cada una de las partes demuestra una clara
registro electrónico refleje con exactitud la
intención de firmar.
información del documento. Además, el registro electrónico debe permanecer accesible a todas las
Consentimiento para hacer negocios de forma
personas con derecho de acceso por ley durante
electrónica
el período de tiempo legalmente requerido y al
Ambas partes de la transacción deben aceptar
mismo tiempo debe estar en un formato que
el uso de registros y firmas electrónicos en
pueda ser reproducido con precisión para su
lugar de versiones en papel y firmas manuscritas.
posterior consulta.
Este acuerdo puede ser expreso o desprenderse
(Fuente https://www.dlapiper.com/en/us/insights/
implícitamente de las circunstancias.
publications/2019/04/ipt-news-q1-2019/so-you-
Una excepción son las transacciones con
want-to-go-digital/)
consumidores, en las que debe seguirse el Proceso de consentimiento del consumidor de eSIGN. Los firmantes también tienen la opción de excluirse. (Fuente: DLA Piper)
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Tanto eSIGN como UETA definen claramente
14 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
FAES S UIZA ( “ Z ERT ES” EN A L EM Á N) El 19 de diciembre de 2003 se legalizó la firma electrónica en Suiza con la entrada en vigor de la Ley federal de firmas electrónicas (también denominada ZertES). La Ley federal relativa a las firmas electrónicas (o FAES, por sus siglas en inglés) regula las condiciones en las que los proveedores de servicios pueden utilizar los servicios de certificación con firma electrónica. Además, la FAES proporciona
La estructura escalonada de la FAES y las normas
un marco que determina las obligaciones y los
de valor jurídico son similares a las del Reglamento
derechos del proveedor a la hora de prestar
eIDAS de la Unión Europea. Además de la noción
servicios de certificación. La ley promueve el uso
y del concepto general de la firma electrónica, la
de servicios seguros de certificación electrónica
normativa FAES estipula tres variantes adicionales,
para facilitar la utilización de las firmas electrónicas
a saber, la firma electrónica simple, avanzada y
cualificadas. Con la FAES, la firma electrónica se
cualificada, al igual que el eIDAS.
equipara a la manuscrita. Significa que las firmas electrónicas cualificadas son plenamente válidas en los tribunales, mientras que las otras versiones requieren más pruebas para ser consideradas auténticas.
Las ventajas de las firmas electrónicas
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
04 15
16
En la oficina ya no necesitará:
muchas ventajas de las que la eficiencia, la experiencia del usuario, el cumplimiento normativo, la seguridad y la incidencia positiva sobre la sostenibilidad son las más destacadas.
y Esperar a que los altos directivos vuelvan a la oficina para obtener su firma; y Firmar, imprimir, escanear o enviar documentos por servicio postal; y Archivar a mano los documentos autorizados; y Verificar manualmente si los documentos han sido firmados por la persona autorizada.
EF IC IENC IA
De cara a sus clientes, podrá acelerar todo el ciclo de vida de su negocio. Con las firmas digitales:
Con demasiada frecuencia, la finalización de un proceso comercial o de cualquier otra índole
y Ahorrará tiempo a la hora de crear contratos;
empresarial se convierte en una pesadilla que
y Todos dentro y fuera de la organización
absorbe mucho tiempo y está plagada de tedioso
podrán firmar en cualquier momento y desde
papeleo. Se dedica tiempo a realizar tareas
cualquier dispositivo;
administrativas repetitivas antes que alcanzar objetivos efectivos. Es la razón por la que todos tratan de optimizar los tiempos de los procesos al
y Agilizará todo el proceso de aprobación y firma, y lo hará a prueba de errores; y Disfrutará del mismo nivel de protección
trabajar digitalmente. La introducción de la firma
y fiabilidad que con los documentos
electrónica puede ser otro paso para acelerar su
convencionales;
negocio.
y Podrá cerrar tratos de forma más rápida.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
El uso de las firmas electrónicas conlleva
17
La experiencia del usuario es la percepción del
Además, se pueden utilizar todo tipo de dispositivos,
cliente sobre la interacción con su organización. Es
lo que hace que la firma digital sea extremadamente
determinada por el trato que le brinda su empresa.
fácil de usar. Las pilas de hojas por rubricar o
Aprovechando las firmas electrónicas puede
el papeleo para archivar son cosas del pasado.
mejorar estas interacciones. Estas firmas ofrecen
Basta con enviar el contrato por correo electrónico
la comodidad de que los documentos pueden ser
(automática o manualmente) para cerrar el trato en
firmados en todas partes: el cliente puede formalizar
cuestión de minutos.
un préstamo mientras está de vacaciones, los tratos pueden cerrarse rápidamente. Piense en una oferta exclusiva en una feria. Incluso en la puerta de su casa puede confirmar fácilmente la entrega de un pedido.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
EXPE RI E NCI A DE L US UA RIO
18
En los últimos años, casi todos los países han aprobado leyes y reglamentos que reconocen la legalidad de las firmas digitales y las han otorgado un efecto vinculante. Gracias al reglamento eIDAS, en Europa disponemos de una plataforma jurídica que permite el uso y la validación transfronterizos de las firmas electrónicas. En virtud de este reglamento, todos los tipos de firma se tratan por igual en los tribunales. Las firmas digitales proporcionan autenticidad y aseguran que se verifique la identidad del firmante. Esto tiene validez en todos los tribunales de justicia, al igual que cualquier otro documento de papel firmado. Al elegir una solución que se ajuste a la normativa correspondiente, se asegurará de cumplir con estos requisitos legales.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
C UM PLI M I ENTO NOR M AT IVO
19
Cuando se trata de firmas, la autenticidad y la
Además, con la firma digital siempre estará firmando
seguridad son prioritarias. Todos los tipos de
todo el juego de documentos. No hay riesgo de
firma electrónica ya son más seguros que la firma
que algunas páginas se hayan añadido o quitado
manuscrita sobre el papel. Ciertamente es el caso
posteriormente.
de la firma digital. Gracias a la encriptación del documento, tiene la garantía de que el documento
Las firmas digitales también son eficientes en el
no se alteró después de la firma.
sentido de que son menos propensas a errores. Los controles manuales acarrean un riesgo mayor que los procesos automatizados. Otra ventaja respecto a la seguridad es que las firmas electrónicas permiten establecer una administración de los consentimientos, lo cual es obligatorio según el RGPD.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
S E G URIDAD
20
La firma electrónica también contribuye en gran medida a la protección del medio ambiente y a la sostenibilidad en general.
1
Firmar a distancia: los desplazamientos se vuelven obsoletos La opción de firmar documentos electrónicamente elimina la necesidad de desplazarse. Basta con utilizar el ordenador o el teléfono móvil para firmar a distancia, desde cualquier lugar del mundo. Además de ser beneficioso para nuestro entorno, conduce a un ahorro de tiempo y gastos. En resumidas cuentas, es una forma mucho más práctica de abordar los negocios en general.
2
La firma electrónica: olvídese de los documentos en papel No solo evitará los desplazamientos para rubricar documentos a mano, con la firma electrónica también contribuirá a una oficina sin papel. Olvídese de imprimir, copiar, escanear o archivar físicamente sus contratos firmados, ya que todo el proceso está digitalizado. En cuanto cambie a la firma electrónica, reducirá la huella ecológica de su empresa desde el primer día. Gastará menos papel, ayudando a preservar nuestros bosques. Además, disminuirá la emisión de CO2 de su empresa desde la primera firma electrónica.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
INC IDENC IA PO S I T I VA E N LA S O ST E N I B I L I DA D
21
La firma electrónica: el archivo físico se convierte en cosa del pasado En muchos casos, la herramienta de firma electrónica le permite subir los documentos por firmar y almacenarlos en el sistema de gestión documental de su empresa una vez firmados. Todos los pasos están automatizados, lo que reduce considerablemente el riesgo del error humano a lo largo del proceso de firma. Algunas herramientas de firma incluso incorporan una extensión especial de archivo, que le permite almacenar y archivar esos documentos de forma segura. Al no tener que imprimir los documentos (a menudo en varias copias), se reduce drásticamente la cantidad de papel que circula por la oficina. Además, los documentos están disponibles en línea en todo momento y son accesibles desde cualquier lugar.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
3
22
E F IC IE N C IA
ME J OR TRATO CON LO S CLIE N TES
Las firmas electrónicas simplifican los procesos y
firmas tendrán validez jurídica más allá de las fronteras europeas. En el marco del eIDAS, existen tres tipos
automatizarse, eliminando todas las tareas manuales
de firmas. Los tres pueden tener validez jurídica. La
como la obtención de la firma, la impresión, el escaneo, el
diferencia entre ellos radica en las pruebas que hay que
envío, el archivo y la verificación.
aportar para demostrar a un tribunal que la firma es auténtica y que se ha aplicado intencionalmente a un
Hoy día, los clientes esperan de las empresas que
documento en particular.
ofrezcan servicios en línea. Si introduce la opción de la A PRUEBA DE FUTURO
documento de identidad digital. Es lógico, porque desde
se vayan a otros proveedores.
el 29 de septiembre de 2018, todos los ciudadanos y las empresas de la UE pueden iniciar sesión con su DNI
Las firmas electrónicas se pueden incorporar a cualquier
en los portales de las instituciones públicas de otros Estados miembro. Esto ha potenciado el uso de las
serán más productivos y se ahorrarán muchas horas
firmas digitales, ya que su DNI sirve como identificación
de trabajo, las que podrán dedicar a otras tareas que
digital que respalda estas firmas más allá de las
aportan un mayor valor. Al mismo tiempo, reducen drásticamente los costes administrativos. Reducirá el consumo de papel, no necesitará sellos ni tinta,
fronteras. ESCALABILIDAD
a más clientes.
escaneo. Ya no tendrá que perder tiempo persiguiendo firmas.
A medida que las tareas manuales disminuyen, se pueden procesar más documentos y es posible atender
ni instalaciones físicas de archivo o dispositivos de
MOV IL IDAD
Muchos países han implantado el sistema del
para deleitar y satisfacer a sus clientes. Esto evitará que
proceso de la empresa. La ventaja es que sus empleados
SE GU IM IE N TO DE SUS AVA N C ES
Si elige una solución que cumpla con el eIDAS, las
gestionar los documentos. El proceso de firma puede
firma electrónica, dispondrá de todas las herramientas
REDU CC IÓ N DE COST ES
CUMPLIMIENTO NORMATI VO
reducen considerablemente el tiempo necesario para
SE GURIDAD
Con las firmas digitales, puede salvaguardar sus
Puede ser frustrante y tedioso si no para de preguntarse:
documentos con un alto nivel de seguridad y peso de
“¿Ha firmado ya?” o “¿En qué fase está mi documento?”.
prueba. Cada firma está protegida con un sello inviolable,
El software de firma electrónica facilita el seguimiento
que le avisa si se modifica alguna parte del documento
de los documentos con un panel de control online. Es
tras su firma. El nivel de protección puede ajustarse en
más, algunas soluciones informáticas ofrecen incluso
función del grado de confidencialidad. Para obtener el
la posibilidad de enviar a los firmantes un correo
máximo nivel de confidencialidad, se pueden utilizar
electrónico a modo de recordatorio.
tipos de autenticación más estrictos. De este modo,
Los documentos se pueden firmar en cualquier lugar y en todos los dispositivos. Es muy útil para los directivos que viajan, pero también para firmar en el momento.
los documentos con firma digital incluyen una prueba fehaciente de la identidad del firmante, lo que le ofrece una sólida garantía de la integridad del documento y de la identidad de la persona que lo ha firmado.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
R ESU MEN DE LAS VENTA JAS
¿Cómo funcionan las firmas digitales?
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
05 23
24
Antes de firmar, se utiliza una función criptográfica para crear
denominado infraestructura de clave pública (PKI, por sus siglas
un compendio de mensajes (comparable con algunos datos),
en inglés). Este protocolo utiliza algoritmos criptográficos para
llamado huella digital única o hash. A continuación, el hash se
crear dos números largos o claves. Una es pública, mientras
cifra (se firma) con la clave privada del firmante y se incluye en
que la otra es privada.
la firma digital.
La firma digital es exclusiva de un firmante. Cada vez que
Cuando el documento llega al destinatario, se crea otro hash.
éste firma un documento, la firma se crea utilizando su clave
El hash incluido en la firma se descifra para compararlo con
privada. Esta clave privada siempre es guardada de forma
el hash generado para el documento. Si no coinciden, el
segura por el firmante y se incluye en la firma cuando la aplica.
destinatario verá que el documento se ha manipulado, por lo
Básicamente, la firma digital asocia al firmante de forma segura
que la firma digital habrá quedado invalidada.
con un documento mediante un mensaje codificado. Además de esta clave, la firma también contiene el certificado del firmante, incluidas la clave pública y otra información, como la fecha y la hora en que se firmó el documento.
001011011001010
ORIGIN AL D OC UMEN T
H ASH CALC ULAT ION
EN CRY PTIO N
PRIVATE 110100101101101 PUBLIC
SIGN ED DOC UMEN T
H ASH CALC ULAT ION
001011011001010
D E CRY PTIO N
=
001011011001010
WHOSE PUB L IC K E Y IS TH IS?
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Las firmas digitales se basan en un protocolo específico,
Ejemplos de métodos de firmas electrónicas
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
06 25
26 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Existen muchos métodos de firma diferentes. Varían desde métodos sencillos, como un botón de aprobación o una firma manuscrita, hasta formas de firma más avanzadas o incluso cualificadas y, por tanto, muy seguras, como la firma con un DNI electrónico. Lo que necesita saber es que, dependiendo del método de firma, el proceso de firmar suele ir precedido de la autenticación del usuario. Se trata de la verificación de las credenciales de una persona como paso previo para concederle acceso a un sistema, en este caso, el de la firma electrónica. La autenticación contribuye a la validez de los documentos
Aunque la autenticación no implica necesariamente una
firmados, ya que certifica con quién una empresa, organización
experiencia más engorrosa para el usuario, el proceso sigue
o institución está realizando la transacción. El hecho de que
siendo más complejo y requiere más del usuario que un simple
una empresa decida pedir una autenticación durante el proceso
garabato con el dedo en un smartphone o un ordenador de
de firma dependerá del valor de la transacción y del peso que
sobremesa.
tiene la experiencia del usuario. Queremos darle más información sobre los métodos de firma que existen actualmente.
DESCARGO DE RESPONSABILIDAD: La información contenida en esta sección tiene únicamente fines informativos generales y no pretende constituir un asesoramiento jurídico. Connective no garantiza que la información aquí contenida esté actualizada o sea precisa, ni hace declaraciones sobre la validez legal de los métodos de firma. Tenga en cuenta que la legislación que regula la firma electrónica está cambiando rápidamente y puede diferir en cada jurisdicción. Si tiene preguntas sobre el contenido o las afirmaciones realizadas en esta sección, o sobre si las soluciones de Connective se ajustan a las necesidades de su organización, póngase en contacto con un profesional del derecho de su región.
27
Firma trazada en pantalla Una firma básica y manual se puede trazar en la pantalla simplemente utilizando el ratón o el panel táctil o usando los dedos o un lápiz óptico en una pantalla táctil. Esto también se considera una firma electrónica.
Aa
Firma manuscrita Con este método de firma usted introduce su nombre utilizando el teclado. A continuación, podrá elegir entre diferentes fuentes preconfiguradas y manuscritas para plasmar su firma. Botón de aprobación Se trata de un simple clic con el ratón en un botón de aprobación. Esto generará una firma de aprobación.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
SIN AUTENTI CACI ÓN
28
Firma biométrica
Firma con tarjeta inteligente o token (USB)
Para poner una firma biométrica se necesita una tableta
El tipo de tarjeta inteligente más conocido para firmar
de firma biométrica o un lápiz biométrico. La tableta
electrónicamente es el documento (nacional) de
de firma y el lápiz biométrico permiten capturar las
identidad electrónico de un país, como por ejemplo LuxID,
características biométricas de una firma, como la posición
Estonian ID, .beID, DNIe, etc. Otros ejemplos de tarjetas
del lápiz, el momento en el que se presiona con la punta y
inteligentes son la tarjeta para abogados en Bélgica, la
la fuerza aplicada. Estos datos biométricos se vinculan a la
tarjeta de acceso común (CAC) o la tarjeta personal para
firma, creando un perfil de firma biométrico exclusivo, que
la verificación de la identidad (PIV) en Estados Unidos, y
permite al fabricante de la tableta verificar la autenticidad
muchos más.
de la firma cuando sea necesario. Estas tarjetas inteligentes contienen un certificado personal con una clave privada emitida por un proveedor cualificado. Con este sistema, el firmante introduce su tarjeta inteligente en el lector de tarjetas o inserta el token en el puerto USB y teclea su código PIN personal para autenticarse a la hora de firmar documentos.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
CO N AUTENTI CACI ÓN
29
y El principio de SSO (inicio de sesión único) también es un
(incluyendo SSO)
ejemplo de firma que utiliza el nombre de usuario y una
y En algunos procesos de incorporación, el usuario se
contraseña. De este modo, una persona puede utilizar sus
identifica eligiendo su nombre de usuario (que suele
credenciales de inicio de sesión en la plataforma de una
ser su dirección de correo electrónico) y contraseña.
empresa para firmar documentos. Este método suele ir
A veces, también rellena alguna información adicional.
acompañado de una autenticación multifactor.
A continuación, puede utilizar estas credenciales para autenticarse cuando firme documentos de forma
Con contraseña de un solo uso (OTP) por SMS o correo
electrónica.
electrónico Para la firma con una OTP por SMS, es necesario disponer
y Si desea implantar una solución más segura para el inicio
del número de teléfono móvil del firmante. Durante el proceso
de sesión con nombre de usuario y contraseña como
de firma, la persona tendrá que introducir los cuatro últimos
paso previo a la firma, puede optar por herramientas
dígitos de su número de teléfono. A continuación, recibirá una
como la de Swisscom. Esta solución funciona con una
contraseña de un solo uso por SMS para autenticarse.
identificación única a través de Face2Face o por vídeo para verificar la identidad del firmante. A continuación, el
En el caso de una OTP por correo electrónico, se necesita
firmante puede elegir su nombre de usuario y contraseña
la dirección de correo electrónico del firmante. El firmante
para autenticaciones posteriores o autenticarse mediante
deberá completar la dirección de correo electrónico para que
aplicación móvil. Gracias a la identificación previa, se
el sistema le envíe una contraseña de autenticación a esa
genera un certificado personal que queda vinculado a la
dirección.
identidad. Esto aumenta considerablemente el nivel de seguridad y da lugar a firmas electrónicas avanzadas y cualificadas.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Inicio de sesión con nombre de usuario y contraseña
30
Autenticación bancaria (a veces en combinación con los
La identidad móvil se refiere a la identidad digital de una
operadores de redes móviles)
persona y a la tecnología empleada para gestionarla, es
También existen iniciativas de la banca que crean su DNI
decir, un teléfono inteligente, una tableta u otro dispositivo
electrónico personal y le permiten identificarse de forma
móvil.
segura. Su identidad bancaria puede ser móvil, en cuyo caso queda almacenada en la tarjeta SIM de su teléfono,
Un caso de uso muy común consiste en que el usuario
pero también hay bancos que verifican su identidad con un
empiece por crear su identidad móvil a través de un proceso
dispositivo de autenticación como los lectores de tarjetas
de incorporación. Para ello, puede identificarse con su DNI
bancarias o autenticadores de un botón, etc. Las identidades
electrónico o utilizar las credenciales con las que inicia
bancarias también son un método perfecto para firmar
sesión en su banca online. A continuación, el usuario crea
documentos de forma electrónica.
una contraseña que quedará vinculada a su identidad móvil.
Algunos ejemplos son iDIN, Bank ID Norway, Bank ID Sweden,
Una vez creada la identidad móvil, ésta servirá para la
Finnish Trust Network, etc.
autenticación en un proceso de firma electrónica, por ejemplo. Un ejemplo de la identidad móvil es itsme® en
Autenticación biométrica
Bélgica.
Con este método, se realiza un proceso de autenticación seguro antes de la firma. Se basa en los rasgos biológicos
Iniciativas públicas
únicos de las personas para comprobar que son quienes dicen
Algunos gobiernos han creado servicios de autenticación
ser. Estos rasgos biológicos pueden ser la voz, los rasgos
para proteger el acceso a sus aplicaciones virtuales seguras.
faciales y las huellas dactilares, por ejemplo. A continuación,
En algunos casos, estos sistemas de autenticación también
el documento puede ser firmado electrónicamente. La
sirven para firmar documentos de forma electrónica y
autenticación biométrica quedará grabada en los registros de
segura.
auditoría de los documentos, lo que cuenta como prueba de
Algunos ejemplos son FranceConnect, FAS Belgium, MitID
una firma electrónica segura y jurídicamente vinculante.
(anteriormente NemID), etc.
Algunos ejemplos son SmileID de Electronic ID, FaceID de Apple, etc.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Identidades móviles
Integración con sistemas y programas informáticos
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
07 31
32 G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Si decide implementar la herramienta de firma electrónica, se hará la vida más fácil si la integra en las aplicaciones que su empresa ya tiene instaladas. Asegúrese también de que la solución de firma electrónica elegida se adapte a los sistemas de sus clientes. La mayoría de las soluciones están construidas para integrarse con los últimos sistemas operativos y navegadores, pero aun así debería comprobar si la suya funciona sin problemas en las últimas versiones antes de elegir y verificar si tiene una interfaz (API) flexible. Por ejemplo, Google Chrome ya no ejecuta los applets de
También existen herramientas independientes en el
Java y es posible que otros navegadores sigan sus pasos.
mercado. Funcionan mediante inicio de sesión en un
Algunas herramientas de firma electrónica utilizan Java.
portal central para firmas digitales. Es mejor que en este
Por lo tanto, compruebe el rendimiento de la solución
caso también compruebe la interfaz. De este modo,
en todos los navegadores más utilizados. Al fin y al
podrá integrar perfectamente una funcionalidad de firma
cabo, querrá facilitarles las cosas a su clientes antes que
electrónica en sus propias aplicaciones web.
complicarlas. Además, piense en el diseño responsivo. Resulta que los teléfonos inteligentes y las tabletas están a punto de superar a los ordenadores para operar en línea. Cumpla las expectativas de sus clientes en este aspecto y compruebe cómo se ve la solución en móviles y tabletas. Obviamente, debería ser compatible con iOS y Android.
Los casos de uso son infinitos
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
08 33
34
recomendamos que se ponga en contacto con su
de una firma puede ser firmado electrónicamente.
departamento jurídico si tiene alguna duda sobre la
Y como ya hemos dicho, las firmas digitales no
validez legal de las firmas electrónicas.
solo son válidas y vinculantes, sino que también surten los mismos efectos legales que sus
Sin embargo, los casos de uso son infinitos. He aquí
versiones manuscritas. Obviamente, para ello se
algunos ejemplos interesantes de documentos que
tienen que cumplir los requisitos estipulados por la
pueden firmarse de forma electrónica.
normativa y las leyes aplicables. Además, según el país y la legislación, determinados documentos siguen precisando de una firma manuscrita para que tengan validez jurídica. Por lo tanto, siempre
V E N TAS
Ofertas Confirmaciones de pedidos
RE C URS O S H UM A NO S
Políticas de empresas
COMPRAS
Declaraciones de trabajo
Contratos temporales e indefinidos
Contratos marco de servicios
Contratos con socios
Normas internas
Acuerdos de confidencialidad - Contratos
Acuerdos de confidencialidad
Documentos de seguros de salud
y acuerdos con proveedores
Cotizacione
Evaluaciones anuales del desempeño
Órdenes de compra
Propuestas
Movilidad interna
Condiciones contractuales
Términos y condiciones
Solicitudes de crédito Acuerdos de financiación
F IN AN ZAS
Hipotecas online
O PE RAC IO NES
Ofertas
D E PARTAMENTO JURÍDICO
Términos y condiciones
Aperturas de cuentas
Confirmaciones de pedidos
Incorporaciones de clientes
Contratos con socios
Confirmaciones de pedidos Acuerdos
Convenios de crédito
Acuerdos de confidencialidad
Acuerdos de confidencialidad
Solicitudes de tarjetas de débito/crédito
Términos y condiciones
Contratos de venta
Solicitudes de cambio
Poderes de representación
Aprobaciones de requisitos
Gestión de políticas Documentos de cumplimiento normativo
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Técnicamente, cualquier documento que precise
Lista de comprobación para elegir una solución de firma electrónica
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
09 35
36
adecuada, hemos elaborado una lista de comprobación. Si comprueba todos estos puntos, se asegurará de adquirir una
DEPARTAMENTO JURÍDICO ¿Cumple con la normativa aplicable a su organización (eIDAS, RGPD, etc.)?
solución fácil de usar que satisfaga a todos los implicados,
¿Se puede utilizar de forma transfronteriza? ¿Cumple con la última
tanto dentro como fuera de la empresa.
normativa eIDAS para Europa? ¿Abarca las identidades electrónicas u otros métodos de identidad
EFICIENCIA
relevantes en los países en los que quiera operar (.beID, itsme, iDIN, SwissID, etc.)?
¿Permite firmar los tipos de archivos que suele utilizar (como por
¿Es compatible con la firma electrónica avanzada y cualificada (AES
ejemplo, PDF, DOC, DOCX, TXT, XML, etc.)?
y QES) para documentos con múltiples firmantes?
¿Funciona con sus aplicaciones actuales?
¿Permite a cualquiera validar la firma, incluso sin acceso al sistema?
¿Permite el seguimiento de los documentos con un panel de control
En otras palabras, ¿son autónomos los documentos? Si no es así,
intuitivo? ¿Incorpora flujos de firma automatizados? ¿Se integra con sus aplicaciones actuales o con las que podría utilizar en el futuro para la gestión de contratos o los servicios de RR. HH., por ejemplo? ¿Conoce y entiende su negocio el proveedor? ¿Permite incorporar su imagen corporativa?
puede que tenga que recurrir al proveedor de la herramienta de firmas más adelante si surge alguna disputa. La solución, ¿ofrece WYSIWYS (lo que ves es lo que firmas)? Si quiere asegurarse de que se lee todo el documento antes de que se firme, esta función es imprescindible. Garantizará que el documento solo se pueda firmar cuando se haya leído por completo.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
Para ayudarle a elegir la herramienta de firma electrónica
37
RE QUISITOS T É CNICOS
¿Es fácil preparar los documentos para su firma?
¿Desea utilizar una solución en la nube o alojarla usted mismo?
¿Es autoexplicativa e intuitiva la solución? Asegúrese de que sus
¿Está la solución disponible en la forma que usted prefiere? ¿Ofrece
usuarios no necesitan seguir ninguna formación o leer un manual
el software el nivel de seguridad requerido?
para utilizarla.
¿Crea una firma digital y un hash para cada firmante de la
¿Le permite establecer el orden de los firmantes?
transacción? Es decir, ¿sella de modo inviolable el documento entre
¿Incorpora un amplio surtido de métodos de firma (código SMS,
los firmantes con arreglo a los requisitos del eIDAS?
código de correo electrónico, desafío-respuesta, DNIe, otros
¿Es compatible con las últimas versiones de todos los sistemas
certificados digitales, etc.)?
operativos habituales (tanto de PC como móviles)?
¿Le permite ofrecer una selección de métodos de firma a sus
¿Ofrece un diseño plenamente responsivo? ¿Pueden los usuarios
firmantes (para que puedan utilizar el dispositivo que tengan a
firmar también en su smartphone o tableta?
mano)?
¿Tiene una interfaz de programación de aplicaciones (API) flexible?
¿Le permite firmar paquetes de documentos?
¿Es fácil de aplicar la solución?
¿Ofrece la posibilidad de firmar con cualquier dispositivo?
¿Existen conectores disponibles para programas ajenos como MS
¿Permite a cualquier persona, dentro o fuera de la organización,
Dynamics o Salesforce?
validar la firma incluso sin acceder al sistema? ¿Encaja con el flujo para los consumidores? Pruebe el flujo completo de principio a fin para asegurarse de que los usuarios tengan una experiencia fluida. ¿Admite varios idiomas tanto para los iniciadores como para los firmantes?
COSTE ¿Cuál es el modelo de costes de la solución? ¿Se paga por firma o por la solución completa? ¿Es necesario comprar la herramienta o también existe la opción de SAAS (con cuotas mensuales)? Estime sus gastos futuros.
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
EXPERIENCIA DEL USUARIO
38
[email protected] www.connective.eu
G U Í A F U N D A M E N TA L S O B R E L A S F I R M A S D I G I TA L E S
¿Quiere saber más sobre las firmas digitales?