eIDAS: lograr un equilibrio entre seguridad y experiencia del cliente

Rahim Kaba, 11 de Agosto de 2016
Thumbnail

Como las organizaciones europeas buscan entregar negocios a través de canales en línea y móviles , la necesidad de equilibrar la seguridad con las mejoras en la experiencia del cliente es clave. Una de las tecnologías que hace ambas cosas, las firmas electrónicas, está apuntalando la revolución digital tanto que hay una nueva regulación llamada eIDAS destinado a facilitar la realización de transacciones electrónicas a través de las fronteras de los estados miembros de la UE.

eIDAS proporciona una guía clara para el uso de firmas electrónicas, junto con tres categorías de firmas electrónicas para satisfacer los diferentes niveles de riesgo asociados con las transacciones digitales. Estas categorías están destinadas a hacer cumplir las medidas de seguridad para proteger los datos de la empresa y los clientes al tiempo que se garantiza el cumplimiento de las normas. El desafío radica en permitir que una experiencia de usuario perfecta atraiga a más clientes, pero que lo haga de una manera que garantice que las transacciones digitales sean legales y seguras en todo momento.

No todas las firmas electrónicas son iguales

El Reglamento eIDAS define tres categorías de firma electrónica: básica, avanzada y calificada, que pueden ser legalmente efectivas. Antes de eIDAS, muchos creían que las leyes nacionales exigían el uso de la firma electrónica calificada para que una firma electrónica fuera legalmente efectiva, lo cual simplemente no era el caso. Todavía hoy, sin embargo, el Firma electrónica calificada se percibe como la mejor opción porque ofrece los más altos niveles de seguridad y garantía.

El proceso de firma de firma electrónica calificada se basa en el uso de un certificado digital personal, conocido como certificado calificado bajo eIDAS, que se asigna a una persona individual y se obtiene de un proveedor de servicios de confianza (TSP). El certificado generalmente se almacena en un dispositivo como una tarjeta inteligente o un token USB y se utiliza con un sistema informático para firmar documentos, lo que hace que el proceso sea altamente seguro. En la práctica, esta podría ser una tarjeta de identidad electrónica (eID) emitida por el gobierno, como la eID nacional de Bélgica, o una tarjeta inteligente emitida por un TSP calificado para firmar documentos.

Hoy, vemos el uso de la firma electrónica calificada en sectores tales como servicios gubernamentales, militares y financieros para transacciones digitales asociadas con alto valor y alto riesgo porque impone un paso de seguridad adicional antes de que la firma electrónica se aplique al documento. En este escenario, sin embargo, la experiencia del usuario tiende a ser engorrosa porque el proceso requiere un lector de tarjetas inteligentes que lo mantenga atado a una computadora. Esto puede crear un obstáculo importante en la implementación de firmas electrónicas en los procesos de empresa a empleado, de empresa a empresa y de empresa a consumidor y, en algunos casos, impactar negativamente las tasas de adopción debido al hardware adicional y los pasos necesarios para completar proceso de firma electrónica.

eIDAS y firmas electrónicas: una perspectiva legal

Lorna Brazell de Osbourne Clarke LLP navega por el nuevo Reglamento eIDAS

Descargar el documento técnico

eIDAS: equilibrio de la seguridad y la experiencia del cliente para la adopción

Un informe de diciembre de 2014 de Forrester Research, "Firmas electrónicas: algunas prácticas recomendadas simples impulsan la adopción", explica que los procesos complejos reducen significativamente la adopción y defiende que el diseño de la experiencia de firma sea tan fácil o tan detallado como sea necesario para gestionar el riesgo. para garantizar una alta adopción de la tecnología.

Si bien muchas organizaciones en Europa están preparadas para aprovechar la tecnología de firma electrónica ahora que eIDAS está en pleno efecto, pueden verse tentadas a utilizar la firma electrónica calificada. Esto se debe a que ofrece la máxima seguridad y requiere la menor cantidad de evidencia para asegurarle a un tribunal que la firma es genuina y se aplica intencionalmente al documento en particular. Sin embargo, el desafío es que el costo y el esfuerzo de implementar la firma electrónica calificada pueden superar los beneficios potenciales si el proceso es engorroso y nadie está interesado en usarlo.

Firma electrónica avanzada vs. Firma electrónica calificada y qué buscar

Al evaluar una solución de firma electrónica y elegir el tipo óptimo de firma electrónica, es importante tomarse el tiempo para analizar sus procesos comerciales y determinar el nivel de riesgo.

Para algunas transacciones de alto riesgo y alto valor, como las transferencias de dinero, puede tener sentido implementar la firma electrónica calificada. Busque una solución que use firmas digitales basadas en estándares y que pueda admitir certificados X.509 emitidos por cualquier TSP calificado; no todas las soluciones pueden hacerlo y, de lo contrario, no se pueden usar de inmediato sin alguna codificación rígida (lea: retrasos y Costos de TI). La preparación inmediata es uno de los "elementos imprescindibles" que garantizará que pueda implementar las firmas electrónicas hoy en lugar de esperar a que el proveedor cumpla con los planes de desarrollo futuros.

Para casos de uso de firma más rutinarios y comunes, como contratos, acuerdos y documentos de incorporación, la firma electrónica avanzada puede ser la opción adecuada. Si decide ir con este último, asegúrese de evaluar si la solución del proveedor proporciona pistas de auditoría detalladas para ayudarlo en caso de una disputa legal. Algunas soluciones en el mercado escatiman en los detalles, así que haga su diligencia debida y asegúrese de que sus equipos legales y de cumplimiento formen parte del proceso de evaluación y selección.

Cualquiera sea la opción de firma electrónica que elija, es importante lograr un buen equilibrio entre la experiencia del cliente y la seguridad, y determinar si se pueden cumplir sus objetivos originales para implementar las firmas electrónicas.

  Este artículo fue publicado originalmente en Empresa de innovación .