Subscríbase al boletin de noticias de OpenKM para estar informado

Firma digital

Escrito por Ana Canteli en octubre 27, 2017

En un mundo 100% digital no habría necesidad de impresoras, o escáneres o servicios de mensajería. No necesitaríamos imprimir documentos, y los procesos funcionarían con fluidez desde todos los dispositivos de entrada hasta todos los dispositivos de salida.

Esto, que ya es una realidad para las empresas líderes del mercado, no lo es tanto para la mayoría de las empresas; ni para sus formularios, contratos, acuerdos o programas, que se encuentran atrapados en el siglo pasado. Esperando a que se seque la tinta en papel procedente de un árbol talado.

Hoy hablamos de la importancia de la firma para las organizaciones; en particular el proceso de firma o autorización, para los cuales se utilizan certificados digitales convencionales o de sellado de tiempo. Y todos los elementos a tener en cuenta a la hora de elegir el tipo de firma y la tecnología más adecuada para nuestros objetivos.

¿Cuánto papel es impreso y archivado como resultado del proceso de autorización profesional? ¿ Cuánto tiempo invierte el personal en la recolección de firmas a lo largo de la compañía o fuera de ella ? ¿ Están utilizando firma electrónica? Y si lo hacen ¿ De qué tipo?

El documento firmado electrónicamente es la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico y susceptible de identificación y tratamiento diferenciado; que será soporte de documentos, que estén firmados por personas que tengan la facultad de dar fe de los hechos o información que contienen.

Los documentos actúan como evidencias de la actividad diaria de las organizaciones. Estos documentos requieren estar dotados de una serie de características, como la autenticidad y la integridad. Estas características se conservan mediante una serie de actuaciones. Una de ellas la firma. Y la utilización de herramientas y tecnologías, concebidas para el mantenimiento de los efectos jurídicos y garantías que se esperan de un documento firmado.

La importancia de la firma digital no ha hecho más que crecer; en tanto es un elemento fundamental en entornos regularizados. Para las administraciones públicas, el sector sanitario, farmacéutico y para la banca y las finanzas; la firma electrónica es utilizada como medio de identificación tanto de los miembros de la empresa, como de los clientes de los productos y servicios que ofrecen. Permite la prestación de los mismos, consignados en forma electrónica, a través de sus oficinas virtuales que superan la barrera horaria y del lugar geográfico en el que se encuentre el cliente.

Tipos de firmas digitales

En función del uso y el alcance que se pretenda obtener del evento de firma en formato digital, las personas y las organizaciones pueden elegir entre diferentes opciones:

• Firma electrónica: según la LFE ( Ley de Firma Electrónica ) la firma electrónica es el conjunto de datos en formato electrónico, consignados junto a otros - asociados con ellos - que pueden ser utilizados como medio de identificación del firmante. Es decir; es el documento electrónico que nos identifica electrónicamente.
• Firma electrónica avanzada: es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados; que está vinculada al firmante de manera única y a los datos que se refiere. Y que ha sido creado por medios que el firmante puede mantener bajo su exclusivo control.
• Firma electrónica reconocida: es la firma electrónica avanzada, basada en un certificado reconocido y que ha sido producida mediante un dispositivo seguro de creación de firma electrónica. Categoría cuyo reconocimiento se refiere a una presunción de idoneidad ,que la califica especialmente como equivalente a la firma manuscrita; y sin que ello implique la discriminación de los restantes tipos de firma electrónica.

La diferencia entre una simple firma electrónica, una firma electrónica avanzada o una firma reconocida reside en el conjunto de requisitos necesarios para lograr dichos efectos. La eficacia de la firma electrónica está apoyada en el principio de no discriminación que significa que la parte interesada en la eficacia de la misma, puede solicitar una prueba que determine, si la firma es fiable y si puede imputar el acto al firmante. Y el principio de equivalencia funcional, que no elimina la necesidad de esta prueba - pero la reduce considerablemente - mediante la presunción de especial idoneidad, de la tecnología para actuar como firma de la persona.

Los dispositivos de firma electrónica

Como hemos visto en el apartado anterior, la firma en formato digital o electrónico es válida y equivalente a nivel legal a la firma manuscrita. En caso de rechazo o repudio, se procedería a realizar el tratamiento probatorio, a través de una prueba pericial; en base a los requisitos y condiciones recogidos en la LFE en función del tipo de firma utilizado.

En todo caso, los dispositivos de firma electrónica son un elemento fundamental en el proceso de generación de una firma electrónica segura; puesto que éstas se generan mediante herramientas tecnológicas específicas, que deben basarse en unos criterios de calidad y estándares.

Esta definición vincula la creación de la firma electrónica con el uso de los datos de activación para la creación de firma, de forma que se garantiza que el poseedor del dispositivo es la persona que puede crear la firma. Por este motivo, la firma será imputable al suscriptor en la medida en que una persona no autorizada no pueda aplicar los datos de creación de firma.

Un dispositivo de creación de firma electrónica es un programa o sistema informático (es decir, un producto) que sirve para aplicar los datos de creación de firma.

Los dispositivos seguros de creación de firma electrónica

Según la Ley de Firma Electrónica un dispositivo seguro de firma electrónica debe cumplir las siguientes características:

1. Los datos utilizados para la generación de la firma electrónica pueden producirse sólo una vez y aseguran razonablemente su confidencialidad.
2. Existe una seguridad razonable de que los datos utilizados para la generación de la firma electrónica no se pueden inferir de los datos de verificación de firma, o de la propia firma; y de que la firma está amparada contra la falsificación, por la tecnología existente en ese momento.
3. Los datos de creación de la firma electrónica pueden ser protegidos de forma fiable por el firmante frente a su utilización por terceros - datos de activación de la creación de firma -.
4. El dispositivo no altera los datos o el documento objeto de firma digital y muestra al firmante el documento antes del proceso de firma.

El dispositivo seguro es uno de los elementos requeridos para obtener una firma electrónica reconocida, directamente equivalente a la firma escrita.

Los certificados electrónicos

La firma electrónica se basa, en general, en el empleo de certificados electrónicos. Un certificado electrónico es un documento electrónico firmado, que garantiza una serie de manifestaciones contenidas en el mismo. Tiene como finalidad garantizar la identificación y la firma electrónica de las personas físicas y jurídicas; y de las administraciones públicas.

En el ámbito de la administración electrónica, la admisión de los sistemas de firma electrónica se ha previsto en relación a aquellos sistemas que se basan en certificados electrónicos. La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (en adelante, LAE ) o la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de justicia (en adelante, LUTICAJ), son las leyes especiales en materia de firma electrónica con respecto a la LFE ( Ley de Firma Electrónica ). Dicha ley regula, además, la actividad de las entidades que ofrecen los servicios necesarios para la existencia de la firma electrónica, y en concreto, los requisitos de los denominados certificados y de los prestadores de servicios de certificación.- Una entidad prestadora de servicios de certificación expide certificados de firma electrónica, o presta otros servicios con relación a la firma electrónica-. Pueden obtener más información sobre prestadores en CERES, proyecto de certificación española.

La infraestructura de claves públicas¹ ( Public Key Infrastructure) es el sistema técnico, jurídico, de seguridad y de organización que ofrece soporte a los servicios de certificación y de firma electrónica. Ha de existir previamente para trabajar con la firma electrónica. Los miembros de esta infraestructura pueden ser elementos técnicos o entidades que cumplen un rol o prestan diferentes servicios; incluyendo las llamadas autoridades o entidades de certificación, de registro, de sellos de tiempo y de validación.

^{1 La firma electrónica, para su seguridad, precisa estar encriptada para su producción y comprobación. Para ello se utilizan algoritmos de firma, basados en una cifra asimétrica; es decir, formada por una clave privada y una clave pública, que permite firmar documentos - con la clave privada - y verificar la firma -con la clave pública-.}  

Tipos de certificados electrónicos

• Certificado de firma electrónica: es un certificado de clave pública de usuario final que sirve para generar o para verificar firmas electrónicas. El certificado de cifrado es un certificado de clave pública de usuario final, pero sirve para cifrar y descifrar documentos.
• Certificado de firma electrónica ordinario: es un documento firmado electrónicamente por un prestador de servicios de certificación, que vincula unos datos de verificación de firma a un firmante y confirma su identidad.  Al ser el certificado ordinario de menor importancia, su regulación es menor.
• Certificado de firma electrónica cifrado: igual que el anterior, pero sirve para cifrar y descifrar documentos.
• Certificados de firma electrónica reconocidos: son los emitidos por un prestador de servicios de certificación que cumple con los requisitos establecidos en la Ley de Firma Electrónica. Es fundamental para la firma electrónica reconocida, ya que son los únicos que garantizan una calidad en identificación del firmante. A su vez las Administraciones Públicas están obligadas a admitirlos.

Todos los certificados ordinarios y reconocidos son certificados de clave pública y de usuario final.

El certificado de firma puede servir para actuar en nombre propio o en representación de una persona:

• El certificado de sello electrónico para la actuación administrativa automatizada es un certificado concebido para uso de las Administraciones Públicas. Debe cumplir los requisitos exigidos por la legislación de firma electrónica
• El certificado personal puede ser individual, para uso en nombre de un 3º o uso corporativo.

La Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda ( FNMT-RCM ) como Prestador de Servicios de Certificación pone a su disposición diferentes tipos de certificados electrónicos mediante los cuales podrá identificarse y realizar trámites de forma segura a través de Internet.

En función del destinatario de los mismos, la FNMT-RCM emite los siguientes tipos de certificados digitales que podrá solicitar a través de la sede Electrónica:
- Persona Física
- Certificado de Representante ( Representante para Administradores únicos y solidarios, Representante de Persona Jurídica, Representante de Entidad sin Personalidad Jurídica )
- Administración Pública
- Certificados de Componente

El cliente de firma digital de OpenKM

El sistema de gestión documental OpenKM permite aplicar la firma digital o electrónica a la documentación contenida en el gestor.

El cliente de firma digital de OpenKM está concebido para albergar el certificado electrónico o certificado digital del usuario, de forma que éste pueda introducir documentos en OpenKM a la vez que los firma. O seleccionarlos desde la aplicación de firma electrónica de OpenKM. En todo caso a través del panel de Propiedades del documento podremos identificar el autor y la fecha completa de la última versión y en la pestaña Historial, las versiones (incluida la versión firmada ) por las que ha pasado el documento.

La firma de documentos electrónicos puede aplicarse de forma manual, o gestionarla como parte de un proceso automatizado. Por ejemplo; cada vez que un usuario rellena un formulario y lo sube a determinada carpeta, el usuario de mayor rango que está suscrito a esa carpeta, recibe una notificación automática que le avisa de que tiene documentación pendiente de firma. O incluso como parte de un flujo de trabajo o workflow: después de que el personal haya llegado a la etapa final de elaboración de documentos, dichos archivos –como elemento integrante de un workflow – son asignados al usuario firmante, que ha de corroborar la autenticidad e integridad de la documentación y firmarla; para así dar fe de los información que contienen.

Como se puede comprobar, el acto de firmar ya puede ser totalmente incorporado y aplicado con total garantía, a todos los escenarios tanto en relación con las administraciones públicas a - través de sede electrónica -; como con organizaciones privadas -a través de las oficinas virtuales ubicadas en páginas web-.

A nivel profesional, los softwares de gestión documental provistos de aplicación de firma electrónica, facilitan este requisito ( muchas veces obligatorio ) en nuestro trabajo diario, contribuye al ahorro de pape a la vez que significa un paso más, hacia la oficina sin papeles. Y disminuye las interrupciones y retrasos en los procesos de negocio, más propios de la época de la tinta y el papel, que de la era digital.