La regla de divulgación del odómetro de NHTSA podría allanar el camino para la autenticación de firma electrónica

Michael Magrath, 9 de Enero de 2020
NHTSA Odometer Disclosure Rule Might Pave Way for E-Signature Authentication

El 2 de octubre de 2019, el Departamento de Transporte (DOT) Administración Nacional de Seguridad del Tráfico en Carreteras (NHTSA) , publicó su Regla final para el requisito de divulgación del odómetro , lo que permitiría a los estados permitir las declaraciones de divulgación del odómetro electrónico junto con los sistemas de titulación electrónica. Esta regla, si es adoptada ampliamente por los estados, podría acelerar la aceptación de las firmas electrónicas como un medio de autenticación.

Como parte de una transformación digital general y un alejamiento de los sistemas basados en papel, el nuevo requisito modifica las regulaciones para permitir que las revelaciones del odómetro se realicen 100% electrónicamente o mediante el uso de documentos en papel. Esos documentos se firman, escanean y convierten en formato electrónico. A partir de ahí, se almacenan en un sistema de datos de estado.

Además, NHTSA ahora permite poderes notariales electrónicos y en papel cuando un título no está disponible para una transferencia o debido a una pérdida o posesión de un acreedor.

La oportunidad de reducir costos, salvar árboles y agilizar los procesos es importante ya que NHTSA estima que cada año se realizan más de 40 millones de revelaciones de odómetro en los EE. UU. Al permitir que los estados pasen a un proceso electrónico, es fundamental que se implementen políticas y procesos para no introducir fraude. No es sorprendente que NHTSA sugiera un enfoque tecnológico neutral para abordar el problema. 

Firmas electrónicas

La regla de NHTSA establece que las identidades de todas las partes deben ser verificadas. Esto allana el camino para firmas electrónicas . Las firmas electrónicas son legalmente vinculantes y exigibles en países que han promulgado leyes de firma electrónica. Muchas soluciones de firma electrónica disponibles comercialmente cumplen con la Ley de ESIGN de EE. UU. Y la Ley Uniforme de Transacciones Electrónicas (UETA).

La regla final define una firma electrónica como "un sonido electrónico, símbolo o proceso". Su objetivo es abarcar la gama completa de métodos y tecnologías que pueden emplearse para firmar electrónicamente una divulgación. Una firma ejecutada escribiendo en un bloc de notas o usando un biométrico como una huella digital o un escaneo de retina se encuentra dentro de un "proceso electrónico" como se describe en la definición.

Firmas electrónicas ofrecen un valor tremendo y, debido a que se han convertido en la corriente principal en los últimos años, la adopción del consumidor para la divulgación del odómetro no debería ser un problema. Desde el punto de vista de la seguridad, proporcionan evidencia segura y a prueba de manipulaciones del evento de firma con soluciones avanzadas de firma electrónica que tienen la capacidad de grabar y reproducir el evento de firma, lo que podría ser importante en casos de divulgación fraudulenta del odómetro.  

Tecnología de verificación de identidad ordenada por la NHTSA

De todos los beneficios que ofrece la tecnología de firma electrónica, la tecnología no puede verificar la identidad de la persona que firma sin la inscripción previa y el proceso de verificación de identidad.  NHTSA se dio cuenta de eso y ha ordenado que Verificación de identidad debe realizarse en el Nivel 2 de aseguramiento de identidad de NIST (IAL2), que requiere evidencia para respaldar la existencia en el mundo real de la identidad reclamada, ya sea remota o físicamente presente.

Para la prueba de identidad remota, un enfoque conforme a la verificación de identidad sería seguir lo que se ha convertido en un proceso bien adoptado por la industria bancaria. El proceso incorpora digitalmente a los clientes que usan una tarjeta de identidad emitida por el gobierno, como una licencia de conducir, verificada con la foto que coincide con el usuario a través de una "selfie" utilizando la última tecnología biométrica de reconocimiento facial "partido en el dispositivo". 

Evitar procedimientos onerosos

En 2017, el NIST publicó las Pautas de identidad digital actualizadas ( Publicación especial 800-63-3 ) Un cambio clave realizado fue desacoplar la prueba de identidad y la autenticación en componentes separados, el Nivel de garantía de identidad (IAL) y el Nivel de garantía de autenticación (AAL). La guía anterior combinó los dos para determinar un Nivel de Aseguramiento (LoA). 

El desafío es equilibrar adecuadamente la seguridad y la usabilidad para evitar la introducción de procedimientos onerosos para las transacciones electrónicas que impedirían la adopción. NHTSA propuso originalmente los requisitos IAL3 y AAL3, los más altos definidos por NIST. Sin embargo, NHTSA recibió un fuerte retroceso de la industria y los estados durante el período de comentarios públicos, señalando que esto sería costoso y oneroso. Se decidió por IAL2 y AAL2, que parecen estar obteniendo el apoyo de otras industrias, ya que muchos bancos están apoyando a IAL2 y AAL2 y la atención médica se ha dirigido en esta dirección para acceder a los registros electrónicos de salud.

Las soluciones AAL2 son de costo relativamente bajo y están disponibles comercialmente. Esto, junto con FIDO2 , el nuevo conjunto de especificaciones de Fast Identity Online (FIDO), significa que la autenticación fuerte está integrada y disponible en todos los sistemas operativos y la mayoría de los teléfonos móviles que se venden hoy en día.

Aunque la mayoría de las divulgaciones de odómetro se firman en un concesionario, espero que muchas más se firmen de forma remota como una conveniencia adicional para el vendedor. La prueba de identidad efectiva de Nivel 2 (IAL2) combinada con la autenticación de Nivel 2 (AAL2) mejorará la seguridad y debería mantener o elevar la confianza del consumidor en el sistema.

Tecnologías emergentes y 2020

NHTSA tiene la intención de que esta regla final se adapte a las tecnologías emergentes, como blockchain, en caso de que los estados deseen utilizarlas para grabar títulos electrónicos, hacer revelaciones de odómetros y autenticar firmas electrónicas. NHTSA señala que "no puede prever todas las futuras aplicaciones de seguridad y autenticación que los estados deseen utilizar para facilitar la divulgación electrónica del odómetro y las transacciones de títulos".

La regla entra en vigencia el 31 de diciembre de 2019, y queda por ver cuántos estados la aceptan. A medida que los consumidores se han acostumbrado a los documentos de firma electrónica, pueden obligar a los estados a acelerar la adopción.

firma electronica

La guía para principiantes de firmas electrónicas

Esta completa guía para principiantes de 31 páginas para firmas electrónicas presenta conceptos legales importantes y consideraciones clave al crear procesos comerciales digitales con firmas electrónicas.  

Descargar ahora

El siguiente artículo, escrito por Michael Magrath, Director, Normas y Estándares Globales, apareció por primera vez el 18 de diciembre de 2019 en CSO en línea . Reimpreso con permiso. © IDG Communications, Inc., 2020. Todos los derechos reservados.

Michael Magrath es responsable de alinear la hoja de ruta de soluciones de OneSpan con los estándares y los requisitos reglamentarios a nivel mundial. Es Presidente del Grupo de Trabajo de Implementación del Gobierno de la Alianza FIDO y está en la Junta de Directores de la Asociación de Firmas y