OneSpan Blog

Aplicabilidad de la solución OneSpan Sign para firmado electrónico en Perú

Conformidad - E-Signature
Erick Rincón,
Peru flag

El propósito de la información aquí contenida es únicamente informativo, está proporcionada tal cual en la fecha de su publicación, y no se debería recurrir a la misma como asesoría legal o para determinar el modo en que las leyes aplican a su negocio u organización. Se recomienda que obtenga orientación de su asesor legal en lo referente a las leyes de aplicación específica para su negocio y a cómo asegurar su conformidad.

Índice:

(i) Marco jurídico.

En el año 2000, el Congreso de la República aprobó la ley N° 27269 Ley de Firmas y Certificados Digitales, que expresa explícitamente lo siguiente: “La presente ley tiene por objeto regular la utilización de la firma electrónica otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad”1 .

La Ley 27269, Ley de Firma y Certificados Digitales, y la Ley 27310, que regulan la utilización de la firma digital, le otorgan la misma validez y eficacia jurídica que la firma manuscrita u otra análoga, estableciéndose los lineamientos generales respecto de los Prestadores de Servicios de Certificación Digital y la necesidad de contar con una Autoridad Administrativa Competente encargada de regular de manera más específica esta materia. En el contexto de la Ley 27269, son varios los aspectos relevantes en torno al uso de la firma electrónica en Perú. Entre éstos, destaca la generación de un elemento de vinculación con el propio mensaje de datos enviado por el firmante, a través del cual acredita su identidad en el mundo digital.

  1. • Ley N° 27269 – Ley de Firmas y Certificados Digitales.
  2. • Ley N° 27310 – Ley que modifica el artículo 11 de la Ley N° 27269, en virtud de la cual se asigna la misma validez y efecto legal a los certificados de firmas digitales emitidos por entidades extranjeras, siempre y cuando dichos certificados estén reconocidos por la autoridad administrativa competente.
  3. • Ley N°27291 – Ley que permite el uso de medios electrónicos para la manifestación de voluntad y la utilización de la firma electrónica.
  4. • Decreto Supremo N°052-2008-PCM – Reglamento de la Ley de Firmas y Certificados Digitales.
  5. • Decreto Supremo N° 070-2011-PCM – Decreto Supremo que modifica el Reglamento de la Ley N°27269, Ley de Firmas Certificados Digitales, y establece normas aplicables al procedimientos registral en virtud del Decreto Legislativo N°681 y ampliatorias.
  6. • Decreto Supremo N°105-2012-PCM- Establece disposiciones para facilitar la puesta en marcha de la firma digital y modifica el Decreto Supremo N°052-2008- PCM – Reglamento de la Ley de Firmas y Certificados Digitales.

(ii) Firmas electrónicas y la manifestación de voluntad por medios electrónicos.

Es aquella firma electrónica que cumple con todas las funciones de la firma manuscrita. En particular se trata de aquella firma electrónica basada en la tecnología de criptografía asimétrica. La firma digital permite la identificación del firmante, asegura la integridad del contenido y tiene la misma validez que el uso de una firma manuscrita. La firma digital está vinculada únicamente al firmante. A pesar de que el proceso de firma digital varía según el software que se use, se han considerado los pasos generales que se siguen para este proceso. La Ley 27291 amplió el concepto de firma manuscrita, aplicable al mundo físico, para incluir el ámbito electrónico a través del uso de diferentes tecnologías y métodos que permiten expresar la intención de forma electrónica, de modo que el marco jurídico peruano permite el uso de tecnologías tales como huellas digitales y biométrica óptica generada con el uso de un láser. Por otra parte, la ley deja a la elección de las partes implicadas el uso de cualquier otro medio similar derivado de una tecnología electrónica, en virtud del principio de neutralidad tecnológica postulado por la ley. Con ello, se aprecia que en la normatividad peruana se tiene una configuración de firma electrónica bastante amplia.

El artículo 2 de la Ley 27269, establece respecto a su ámbito de aplicación, señalando: “se aplica a aquellas firmas electrónicas que, puestas sobre un mensaje de datos o añadidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, así como garantizar la autenticación e integridad de los documentos electrónicos”. En ese orden de ideas, la norma acota puntualmente el concepto de firma electrónica para efectos de la ley de firmas digitales, al elemento de vinculación e identificación, a un contexto técnico. Además, indica que se debe garantizar la autenticación e integridad de todos los documentos electrónicos trabajados con dicha tecnología.

Posteriormente, en el artículo 3 de la Ley de firmas y certificados digitales, Ley 27269, se define la firma digital como un tipo de firma electrónica “Aquella firma electrónica que utiliza una técnica de criptografía asimétrica, basada en el uso de un par de claves único; asociadas una clave privada y una clave pública relacionadas matemáticamente entre sí, de tal forma que las personas que conocen la clave pública no puedan derivar de ella la clave privada”.

Respecto a la manifestación de voluntad se plantea que: “Artículo 141º.- La manifestación de voluntad puede ser expresa o tácita. Es expresa cuando se formula oralmente, por escrito o por cualquier otro medio directo. Es tácita, cuando la voluntad se infiere indubitablemente de una actitud o de circunstancias de comportamiento que revelan su existencia. No puede considerarse que existe manifestación tácita cuando la ley exige declaración expresa o cuando el agente formula reserva o declaración en contrario.” 2

Mediante el artículo 2 de la Ley 27291 se modificó el artículo 141, y se adicionó: “Artículo 141º.- Manifestación de voluntad: La manifestación de voluntad puede ser expresa o tácita. Es expresa cuando se realiza en forma oral o escrita, a través de cualquier medio directo, manual, mecánico, electrónico u otro análogo. Es tácita cuando la voluntad se infiere indubitablemente de una actitud o de circunstancias de comportamiento que revelan su existencia”.

Así, para efectos de la manifestación de voluntad por medios electrónicos, se puede utilizar la firma electrónica, es decir, aquella generada en entornos electrónicos, dejando a la elección de las partes la decisión del medio por el cual se firma electrónicamente, esto basándose en el principio de neutralidad tecnológica, que permite la decisión de optar por la tecnología que requiera, de acuerdo a sus necesidades en el mundo electrónico. Tanto en la Ley 27269 como en la Ley 27291 se puede deducir que la firma electrónica, bajo la ley peruana, representa un conjunto universal, tecnológicamente hablando. En dicho conjunto, destacan las tecnologías electrónicas que permiten generar firmas digitalizadas, firmas con lapiceros electrónicos y lectoras de rasgos biométricos, entre otras.

En cuanto a la titularidad de la firma digital, el artículo 4 de la ley señalada establece que “la persona a la que se le atribuye de manera exclusiva un certificado digital que contiene una firma digital, identificándolo objetivamente en relación con el mensaje de datos”. Dicho artículo guarda estrecha relación con el siguiente, puesto que el artículo 5 establece la exigencia legal que tiene el titular de la firma digital de “brindar a las entidades de certificación y a los terceros con quienes se relacione (…) declaraciones o manifestaciones materiales exactas y completas.”

Por lo anterior, se concluye que la normatividad peruana define un marco regulatorio de firma electrónica y firma digital que permite el uso de diversas tecnologías que pueden ser aplicadas por los interesados en sus operaciones electrónicas.

(iii) Aplicabilidad de Onespan Sign como método de firmado electrónico

OneSpan Sign es compatible con ambos enfoques de firmas electrónicas. El primer enfoque descrito anteriormente se aborda mejor con una Firma Electrónica Avanzada (Advanced Electronic Signature, AES), mientras que el segundo enfoque se aborda con el uso de certificados digitales emitidos a usuarios por una tercera parte. Esto se denomina a menudo una Firma Electrónica Cualificada (Qualified Electronic Signature, QES). Para organizaciones que estén evaluando soluciones de firma electrónica, las siguientes páginas explican el modo en que OneSpan Sign respalda la Firma Electrónica Avanzada (AES) tal y como lo estipulan las leyes peruanas.3

Firmas Electrónicas Avanzadas (AES). Una Firma Electrónica Avanzada cumple con los requisitos de fiabilidad peruanos respecto a firmas electrónicas. El tipo AES de firma electrónica se utiliza en numerosos países en todo el mundo y tiene cuatro requisitos típicos. Debe:

  1. 1. Estar vinculada exclusivamente al signatario/a:
  2. Para crear su firma electrónica, el/la usuario/a debe ser autenticado/a por OneSpan Sign (o por la organización que use el servicio, tal como un banco, en calidad de Autoridad de Registro) para acceder a y aplicar sus datos de creación de firma electrónica para firmar un documento. La firma electrónica resultante está vinculada exclusivamente al/la signatario/a.
  3. 2. Ser capaz de identificar al/la signatario/a:
  4. Una firma electrónica de OneSpan Sign contiene los datos de la firma del/ la signatario/a, que se añaden únicamente tras haber identificado al/la signatario/a. En este caso, todos los datos sobre la identidad y la transacción se almacenan en un archivo de evidencias (registro auditable) que es accesible a todos los participantes.
  5. 3. Crearse utilizando datos de la firma electrónica que el/la signatario/a puede mantener bajo su exclusivo control:
  6. Con OneSpan Sign, los datos que representan la autenticación exitosa gracias al control exclusivo por parte del signatario/a de la cuenta, credencial o servicio de autenticación seleccionado, se almacenan como parte de la firma electrónica. Dado que OneSpan Sign es compatible con numerosos métodos de autenticación, se pueden seleccionar uno o más para establecer un nivel de seguridad proporcional al riesgo involucrado en el proceso de firma.
  7. 4. Estar vinculada a los datos firmados de tal modo que cualquier cambio posterior sea detectable:
  8. Cada firma electrónica y los datos firmados asociados a la misma están asegurados por una firma digital del sistema OneSpan Sign basado en un certificado digital confiable, de modo que se pueda detectar cualquier cambio en los datos. La legislación peruana reconoce plena validez jurídica y probatoria a la Firma Electrónica Avanzada, tanto así, que se permite a las partes establecer los mecanismos y criterios de homologación que fomenten la interoperabilidad de la autenticación electrónica entre ellas, de conformidad con los estándares internacionales para AES. Con este propósito, los certificados de firma electrónica avanzada o digital emitidos por prestadores de servicios de certificación autorizados en el territorio del Perú son plenamente válidos. La Ley 27269 (Ley de Firmas y Certificados Digitales), reconoce las diferentes modalidades de firmas electrónicas, la diversidad de garantías que ofrecen, los diversos niveles de seguridad y la heterogeneidad de las necesidades de sus usuarios. La Infraestructura Oficial de Firma Electrónica4 no excluye ninguna modalidad, ni combinación de modalidades de firmas electrónicas, siempre que cumplan los requisitos establecidos en el artículo 2º de la Ley 27269.

Autenticación del/la signatario/a

OneSpan Sign brinda diferentes opciones de autenticación con una Firma Electrónica Avanzada:

  1. 1. Iniciar sesión en la cuenta de OneSpan Sign a través de Internet o cliente móvil, o a través de un sistema integrado de cuenta de inicio de sesión único.
  2. 2. Entrar a OneSpan Sign desde un correo electrónico al que se acceda desde la cuenta de correo del/la signatario/a.
  3. 3. Puede magnificarse la autenticación de la cuenta de OneSpan Sign agregando un secreto compartido.
  4. 4. Código de un solo uso enviado por SMS.
  5. 5. Otra opción disponible es el servicio de autenticación basado en conocimiento (KBA).
  6. 6. Los conectores de aplicaciones de terceras partes son compatibles con la autenticación a través de claves SAML, OAuth y API.

Se puede añadir autenticación de dos factores con los productos OneSpan Digipass® y otros autenticadores, así como las opciones FIDO de OneSpan. OneSpan Sign es compatible asimismo con el uso de certificados digitales basados en normas en tarjetas inteligentes y dispositivos USB para firmar electrónicamente.

Integridad de los documentos

OneSpan Sign garantiza la integridad del documento aplicando una firma digital tras cada firma. La firma digital crea una especie de huella dactilar del documento (conocida como algoritmo hash) que puede utilizarse posteriormente para verificar la integridad del registro electrónico. Esto protege al documento de posibles manipulaciones posteriores tras cada firma, y permite a OneSpan Sign detectar automáticamente si ha habido algún cambio. Si el documento se manipula en lo más mínimo, la firma electrónica quedará visiblemente invalidada. Este seguridad incorporada garantiza la integridad del documento firmado electrónicamente y ayuda a protegerlo de acciones fraudulentas.

Registros auditables

OneSpan Sign suplementa sus firmas electrónicas con evidencia electrónica en forma de registros auditables para garantizar aún más la ejecutabilidad de los contratos y acuerdos firmados electrónicamente. Esto incluye:

  • El registro auditable estático (documenta lo que se firmó y en lo que se convino): OneSpan Sign ofrece dos tipos de registros auditables estáticos. El primero es el registro auditable integrado, en el que la información auditable clave se integra de forma segura en el documento firmado electrónicamente, lo que permite a un(a) empleado/a o signatario/a verificarlo de forma instantánea con tan solo un clic. El segundo es el Informe de resumen de evidencia. Esto es un registro auditable detallado de la transacción de firma en su totalidad que está disponible como documento PDF completo asociado a la transacción.
  • El registro auditable visual (documenta cómo se desarrolló el proceso de firma): OneSpan Sign es el único proveedor del mercado que captura un registro auditable visual de cómo se desarrolló el proceso de firma, tal y como lo experimentó la parte firmante. A lo largo del proceso de firma, se registran todas las páginas presentadas a cada parte firmante. Se registra la fecha y hora de cada acción, así como la dirección IP de cada participante en la transacción. Esto proporciona un conjunto de pruebas que puede utilizarse para hacer un seguimiento de la transacción en su totalidad, y así definir el modo en que se presentó, revisó y firmó un registro electrónico.
  • La organización puede extraer el registro auditable visual y reproducirlo pantalla por pantalla en cualquier momento para probar qué ocurrió, como lo haría una cámara de seguridad. Y un enlace criptográfico que corresponde exclusivamente al documento firmado electrónicamente asegura que no se ha manipulado el registro auditable visual.

Cómo funciona

OneSpan Sign puede utilizarse como aplicación web, aplicación para celulares, o a través de conectores de terceros para aplicaciones empresariales populares, tales como Salesforce, SharePoint y Dynamic CRM.

OneSpan Sign autentica a los firmantes, presenta los documentos que deben firmarse, captura datos adicionales según sea necesario y solicita a las personas que firmen e inicialicen en todos los lugares requeridos. Los documentos firmados se pasan a su sistema de flujo descendente. Su sistema de gestión de contenido o registros recibe los documentos firmados electrónicamente, los transfiere a otros sistemas para su procesamiento posterior y los almacena junto con su registro de auditoría.

(iv) Conclusión

Luego de analizar cuidadosamente las leyes peruanas referentes a la firma electrónica y firma digital, se puede concluir como primera medida la existencia de un marco normativo abundante para efectos de la aplicación de la firma electrónica, en los diversos ámbitos de la sociedad peruana, donde la firma electrónica se configura como el conjunto universal que contiene una serie de firmas, entre las cuales destacan, por su seguridad y robustez, las firmas digitales asimétricas en el marco de la infraestructura de clave pública (pki). Así, para efectos de la manifestación de voluntad por medios electrónicos, se puede utilizar la firma electrónica, es decir aquella generada en entornos electrónicos, dejando en libertad de las partes, la decisión del medio por el cual se firma electrónicamente, esto basándose en el principio de neutralidad tecnológica, que permite la decisión de optar por la tecnología que requiera, de acuerdo a sus necesidades en el mundo electrónico.

También se concluye que para que la firma electrónica otorgue validez a los documentos en los que aparezca, deberá cumplir con una serie de requisitos tecnológicos y técnicos que den certeza sobre el iniciador del mensaje y, lo más importante, sobre la integridad del mismo. En este caso, la solución Onespan Sign como método de firma electrónica es un método válido siempre y cuando esta plataforma garantice que sus métodos o técnicas son confiables. Respecto a la garantía de seguridad, Onespan Sign, cumple con los más altos estándares de seguridad. La integridad del documento también está asegurada, para garantizar que el documento permanezca intacto y libre de manipulaciones.

Teniendo en cuenta que tanto la Ley 27269 como la Ley 27291 otorgan plena validez a los mensajes de datos, reconociéndoles pleno valor jurídico, reconocen igualmente el principio de la neutralidad tecnológica con base en el cual no se está atado a una tecnología en particular, sino que es perfectamente posible implementar cualquier tecnología que garantice la confidencialidad e integridad de la información, así como su conservación y no manipulación. Por lo tanto, se concluye que es perfectamente válida la implementación de la solución de firma electrónica ofrecida por Onespan Sign en Perú.

1 Congreso De La República Del Perú, 2001
2 Artículo 141 del Código Civil peruano.
3 Para obtener información sobre el modo en que OneSpan Sign es compatible con las Firmas Electrónicas Cualificadas (QES), consulte este libro blanco: https://bit.ly/2yDK2U0
3 La Infraestructura Oficial de Firma Electrónica es el sistema confiable, acreditado, regulado y supervisado por la autoridad administrativa competente. Se compone de un conjunto de leyes, bases de datos, redes, normas tecnológicas, procesos y procedimientos de seguridad que permiten a las diferentes entidades e individuos identificarse entre sí de un modo seguro.
La legalidad de las firmas electrónicas en Peru
Guía de legalidad

La legalidad de las firmas electrónicas en Peru

¿Las firmas electrónicas son legales, admisibles y ejecutables en Peru? Sí.
 

Aprenda más
Firma electrónica conformidad
Erick Rincón
Erick Rincón

Erick Rincón Cárdenas es Abogado de la Universidad del Rosario (Colombia); con postgrados en Derecho Financiero y Derecho Contractual de la Universidad del Rosario; diplomado en Comercio Electrónico Internacional de la Universidad Externado de Colombia; Maestría en Derecho Mercantil de la Universidad Alfonso X de España; Doctor en Derecho de la Universidad Europea de Madrid.

Volver arriba