La lista de verificación de seguridad definitiva para las firmas electrónicas

Jeannine Mulliner, 20 de Mayo de 2022

Ninguna organización quiere ser conocida por haber tenido problemas con la seguridad de los datos. Es por eso que los departamentos de informática y seguridad de la información generalmente realizan evaluaciones exhaustivas de sus proveedores de software y alojamiento en la nube para protegerse contra las violaciones de datos, pérdida de datos, malwarevirussuplantación de identidad, y otras amenazas a la seguridad. Para ayudar a proteger su organización, flujos de trabajo y aplicaciones, hemos compilado una lista de verificación de seguridad de las firmas electrónicas diseñada específicamente para evaluar diferentes servicios de firma electrónica. Esta lista de tiene adopta un enfoque holístico a la hora de evaluar los niveles de seguridad. Recomendamos no considerar solo la seguridad del servicio, sino también cómo se autentican los firmantes, el enfoque del proveedor para la seguridad de las firmas y documentos digitales, y las huellas de auditoría asociadas con la transacción digital.

Autenticación de los usuarios

Las leyes de firma electrónica, como la Ley ESIGN en los Estados Unidos o el reglamento eIDAS en la Unión Europea, describen los tipos de firmas electrónicas que se pueden usar en la firma digital de documentos electrónicos. Por ejemplo, una firma electrónica calificada se diferencia de una firma manuscrita porque requiere la certificación de un proveedor de servicios de confianza. Sin embargo, las regulaciones de firma electrónica no entran en mucho detalle cuando se trata de técnicas y tecnología de seguridad, y la definición legal de una firma electrónica siempre incluye lenguaje sobre la identidad del firmante. Esto significa que debe considerar la autenticación del firmante, la identidad digital y la identificación electrónica:

  • Autenticar a los usuarios antes de la firma electrónica
  • Conectar esa autenticación a la firma electrónica y al registro firmado electrónicamente

Qué buscar:

1. Una solución que respalde múltiples métodos de autenticación, como:

  • Autenticación remota de usuarios a través de identificación de usuario/contraseña
  • Verificación de dirección de correo electrónico a través de la invitación de sesión de firma electrónica
  • Autenticación remota de usuarios a través de preguntas y respuestas secretas (también conocido como desafío-respuesta)
  • Capacidad para utilizar las credenciales existentes
  • Respuestas dinámicas a través de bases de datos de terceros (p. ej. Equifax)
  • Soporte para certificados digitales 
  • Capacidad para cargar imágenes como parte de una transacción de firma electrónica, por ejemplo, una foto de una licencia de conducir  

2. La capacidad de configurar diferentes métodos de autenticación dentro de la misma transacción;

3. Flexibilidad para adaptar los métodos de autenticación al perfil de riesgo de su organización y para automatizar cada proceso (por ejemplo, personalizar las preguntas de desafío-respuesta y la cantidad de preguntas según sus requisitos);

4. Opciones flexibles para la atribución de firmas en persona, incluidas las declaraciones juradas de entrega y el envío de contraseñas (PIN) por SMS a un dispositivo móvil personal (verifique si la autenticación de usuario por SMS está incluida de forma gratuita).

Después de evaluar las capacidades de autenticación del usuario, el siguiente paso será verificar que el servicio de firma electrónica capture la autenticación como parte del registro de auditoría del documento e incorpore el registro de auditoría en el documento firmado electrónicamente.

Obtenga más información sobre la autenticación de usuarios con verificación de identidad en OneSpan Sign

Huellas de auditoría incorporadas

Los documentos firmados electrónicamente que se pueden verificar y archivar independientemente del proveedor de la firma electrónica proporcionan una capa adicional de seguridad. Ya sea que mantenga o no una cuenta con el mismo servicio de firma electrónica en el futuro, sus documentos no se verán afectados ya que usted, sus clientes y otras partes interesadas no tienen que conectarse en línea para acceder al documento firmado electrónicamente o verificarlo.

La única forma de lograr la independencia del proveedor es tener una solución que integre las firmas electrónicas, el sellado de tiempo y los registros de auditoría directamente en el documento. Esto crea un registro portátil autónomo.

Qué buscar:

  • Capacidad para verificar la autenticidad del documento independientemente del servicio de firma electrónica. De esta manera, no deberá preocuparse de si un enlace de verificación a un servidor será válido dentro de unos años ni de encontrarse con un mensaje de error 404 de "página no encontrada".
  • Capacidad para indexar, almacenar y recuperar el documento firmado electrónicamente en el sistema de registro que usted elija, no en el almacenamiento en la nube del proveedor de servicios. Esto le ayuda a cumplir con los requisitos de retención a largo plazo de su organización.
e-signature-250px_241

OneSpan Sign: firmas electrónicas compatibles y seguras

Benefíciese de los estándares de seguridad más rigurosos del mundo en la nube

Más información

Seguridad de documentos y firmas

Busque una solución de firma electrónica que cree un paquete y asegure el documento final firmado electrónicamente mediante una tecnología de firma digital. La firma digital debe crearse utilizando una infraestructura de clave privada (ICP) en lugar de una infraestructura de clave pública o criptografía de clave pública. La solución de firma electrónica debe aplicar la firma digital en dos niveles:

  1. En el nivel de la firma para evitar la manipulación de la propia firma.
  2. En el nivel de documento para evitar la manipulación del contenido del documento.

El uso de características de seguridad para las la firma digitales relaciona la intención de firmar con la información acordada en el momento de la firma. También bloquea y protege el documento firmado electrónicamente de manera que los cambios no autorizados no puedan pasar desapercibidos.

Si bien los proveedores como DocuSign y Adobe Sign aplican una firma digital como un sobre a un documento (una vez que se han capturado todas las firmas), esta no es una práctica recomendada para la firma de documentos. Este enfoque deja el documento y las firmas desprotegidos mientras se completa el proceso y como resultado se coloca un sello de fecha y hora incorrecto en las firmas individuales. Si un firmante y un co-firmante firman electrónicamente un registro en dos días separados, querrá que ese historial se refleje en el registro de auditoría. La mejor práctica es aplicar el cifrado de firma digital a medida que se agrega cada firma electrónica al documento. Esto crea una huella de auditoría integral con la fecha y la hora en que se aplicó cada firma.

Qué buscar:

  • El documento debe estar protegido con una firma digital
  • Cada firma debe estar asegurada con una firma digital
  • Una huella de auditoría integral debe incluir la fecha y la hora de cada firma
  • La huella de auditoría debe estar incrustada de forma segura en el documento
  • La huella de auditoría debe estar vinculada a cada firma
  • Capacidad para verificar la validez del registro firmado fuera de línea, sin ir a un sitio web
  • Firma con un clic y verificación de documentos
  • Posibilidad de descargar una copia verificable del registro firmado con la huella de auditoría
  • El documento debe ser accesible para todas las partes

Huella de auditoría del proceso de firma

Cuando las empresas reguladas se someten a una auditoría de cumplimiento, a menudo se les pide que demuestren el proceso comercial exacto que siguieron. Como parte de este proceso, los auditores también quieren ver un registro de cada vez que los documentos relevantes fueron tocados, cuándo y por quién.

Recomendamos capturar una huella de auditoría completa del proceso de firma, ya que eso le permite demostrar cómo un cliente completó una transacción en la web o a través de un dispositivo móvil o una aplicación móvil. La mayoría de las soluciones de firma electrónica en el mercado son insuficientes a la hora de probar el cumplimiento, porque no tienen la capacidad de capturar un registro completo de las acciones del firmante.

Qué buscar: 

Una solución que capture información sobre el proceso de firma, incluyendo:

  • Dirección IP
  • Sello de fecha y hora de todos los eventos
  • Todas las páginas web, documentos, divulgaciones y otra información presentada
  • El tiempo dedicado a revisar cada documento
  • Lo que cada parte reconoció, acordó y firmó
  • Todas las demás acciones realizadas durante la transacción

Como parte de esto, verifique si tiene la capacidad de buscar, encontrar y reproducir el registro de auditoría del proceso de una transacción específica para auditores u otras partes interesadas con solo unos pocos clics.

Seguridad en la nube

Además de los criterios enumerados anteriormente, fíjese en los protocolos que un proveedor de firma electrónica para identificar y prevenir incidentes de violaciones de datos. Es importante comprender las prácticas de seguridad, las certificaciones, el historial y la frecuencia de las auditorías de seguridad del proveedor. Comprender bien las prácticas de seguridad y la infraestructura de un proveedor podría revelar un historial de violaciones de privacidad pasadas, incidentes de pérdida/fuga de datos y otros riesgos, por ejemplo, si no tienen suficiente experiencia en seguridad en la nube.  

Qué buscar:

  • Verifique que la plataforma de firma electrónica utilice un cifrado de datos sólido en tránsito y en reposo y almacene los datos en una base de datos cifrada para garantizar un canal cifrado para todas las comunicaciones.
  • Un proveedor que se asocie con proveedores de servicios de infraestructura en la nube de clase mundial como Amazon Web Services, IBM Cloud o Microsoft Azure. Estos proveedores están diseñados y se administran de acuerdo con las mejores prácticas de seguridad y cumplen con una variedad de estándares regulatorios, de la industria e informáticos en relación con la seguridad y la protección de datos, incluyendo: ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA, y muchos más.
  • Además de utilizar proveedores de servicios en la nube que sigan programas y marcos de cumplimiento para la seguridad y la protección de datos en el centro de datos, asóciese con un proveedor que cumpla con los requisitos adicionales de control de seguridad y cumplimiento en el nivel de la aplicación. Esto asegura que la solución de firma electrónica sea segura y que los datos del cliente estén protegidos.
  • Centros de datos globales para satisfacer los requisitos de residencia de datos en el país.

Para obtener más información sobre nuestras certificaciones y medidas de seguridad, visite nuestro Centro de confianza o descargue nuestro documento informativo (white paper) que lo ayudará a identificar requerimientos de seguridad al evaluar las soluciones de firma electrónica.

¿Qué hay en la lista definitiva de verificación de seguridad de las firmas electrónicas?
  1. Autenticación de los usuarios
  2. Huellas de auditoría incorporadas
  3. Seguridad de documentos y firmas
  4. Huella de auditoría del proceso de firma
  5. Seguridad en la nube

[1] Gartner, Inc., SOC Attestation Might Be Assurance of Security … or It Might Not

Durante 20 años, Jeannine ha escrito sobre tecnología y cómo aplicarla para resolver los desafíos cotidianos. En su rol de Directora de Contenido en OneSpan, Jeannine lidera un equipo de escritores y desarrolladores de contenido enfocados en ayudar a las instituciones financieras y otras organizaciones a obtener valor de las soluciones de seguridad y firma electrónica. Jeannine tiene una licenciatura en escritura profesional de l'Université de Sherbrooke.