FAQ sobre la firma digital

¿Son legales las firmas electrónicas en los Estados Unidos?

Si. Hoy, más de 15 años después de la aprobación de la Ley ESIGN, ya no hay dudas sobre si las firmas electrónicas son legales. Las leyes federales y estatales otorgan a las firmas electrónicas el mismo estatus legal que las firmas manuscritas. Cuarenta y siete estados, el Distrito de Columbia, Puerto Rico y las Islas Vírgenes han adoptado la Ley Uniforme de Transacciones Electrónicas (UETA). Además, la Ley de Firmas Electrónicas en el Comercio Global y Nacional (ESIGN), una ley federal, establece que las firmas electrónicas son legalmente exigibles para el comercio intraestatal y dentro de los estados que no han adoptado UETA.


Para obtener más información sobre la jurisprudencia de la firma electrónica y las mejores prácticas legales, vea este webcast: Más allá de E-SIGN - Consideraciones de evidencia para firmas y transacciones electrónicas

¿Son legales las firmas electrónicas en Canadá?

Si. Según Stikeman Elliott LLP, “todas las provincias y territorios tienen estatutos de comercio electrónico independientes de aplicación general basados en leyes modelo promulgadas por la ONU y la Conferencia de Derecho Uniforme de Canadá. Por ejemplo, en Ontario, la Ley de Comercio Electrónico de 2000 aborda el uso de documentos electrónicos en transacciones comerciales.

Si bien existen algunas variaciones, los estatutos provinciales de comercio electrónico generalmente estipulan que las firmas, los documentos y los originales no son inválidos o inaplicables por el solo hecho de estar en forma electrónica ". Para obtener más información, lea el documento completo de Stikeman Elliott titulado, Firmas electrónicas en derecho canadiense .
 

¿Son legales las firmas electrónicas en Europa?

Directiva 1999/93 / CE del Parlamento Europeo y del Consejo de 1999 sobre un marco comunitario para las firmas electrónicas (también conocida como la Directiva Europea de 1999) establece los criterios para la legalidad de las firmas electrónicas. Establece tres niveles de firma electrónica (simple, avanzado, calificado). De acuerdo con la Directiva , una firma electrónica avanzada basada en un certificado calificado cumple los requisitos legales de una firma en relación con los datos en forma electrónica; de la misma manera, una firma manuscrita cumple esos requisitos en relación con los datos en papel.

Para obtener más información, lea el documento completo de Lorna Brazell de Osborne Clarke LLP titulado, eIDAS y firma electrónica: una perspectiva legal .

Para obtener una opinión legal sobre la aplicabilidad de las firmas electrónicas en cualquier país de la UE y los requisitos de residencia de datos locales, consulte a su asesor legal.

 

¿Qué es la Ley ESIGN?

La Ley de Firmas Electrónicas en el Comercio Global y Nacional (ESIGN) es una ley federal de los EE. UU. Aprobada en 2000 que permitió el uso de registros y firmas electrónicas para transacciones comerciales. La Ley esencialmente permite a las organizaciones adoptar un proceso uniforme de firma electrónica en los 50 estados con la garantía de que los registros no pueden ser rechazados por un tribunal de justicia únicamente sobre la base de que se firmaron electrónicamente.

Debido a que la ley es neutral desde el punto de vista tecnológico y no favorece ningún tipo de solución sobre otra, es responsabilidad de la organización determinar cómo planea cumplir con los requisitos de la Ley ESIGN para capturar la intención de firma y autenticar datos y firmantes.
 

En los Estados Unidos, ¿los requisitos legales difieren de un estado a otro?

Si y no. La Ley Federal de Firmas Electrónicas en el Comercio Global y Nacional (ESIGN) y las Leyes Uniformes de Transacciones Electrónicas (UETA) del estado son similares en sustancia y juntas permiten el uso de firmas electrónicas en el comercio en todo Estados Unidos.

Dicho esto, puede haber regulaciones adicionales o requisitos de cumplimiento que se aplican a ciertos procesos, como revelaciones de veracidad en los préstamos o protección de la privacidad de los registros médicos. Pero estos requisitos existen tanto para los procesos en papel como para los electrónicos.

¿Han sido impugnados los documentos firmados en la corte?

Sí, hay un creciente cuerpo de jurisprudencia que establece la precedencia de los registros electrónicos y las firmas. Ejemplos incluyen:

  • Lorena v. Marke l
  • Barwick v. GEICO
  • Vinhnee v. American Express
  • Labajo v. Tiendas Best Buy
  • Largo v. Compañía de seguros de tiempo
  • Shattuck v. Klotzback
  • Hotmail Corporation v. Van $ Money Pie Inc.

Si bien ha habido varios casos de disputas contractuales que involucran firmas electrónicas y registros electrónicos, la mayoría de estos casos no cuestionan la firma electrónica en sí. En cambio, la mayoría cuestiona las circunstancias que rodean el proceso de firma, como si la intención se estableció adecuadamente o si se siguieron el proceso correcto y las reglas probatorias. En algunos casos, los registros electrónicos se aceptaron como evidencia y se confirmó la transacción en cuestión.

En otros casos, el tribunal no admitió, o al menos criticó, los registros electrónicos como evidencia. Para obtener más información sobre muchos de los ejemplos de jurisprudencia citados aquí, descargue ESIGN no es suficiente: cómo reducir el riesgo legal y de cumplimiento con el documento técnico de evidencia electrónica.

¿Requiere la ley un nivel mínimo de autenticación de usuario?

En una palabra, no. La ley federal de ESIGN no especifica el tipo de autenticación de usuario que se utilizará con las firmas electrónicas. La definición de una firma electrónica bajo ESIGN se refiere a la autenticación del usuario en la frase "un contrato u otro registro. . . adoptado por una persona "; sin embargo, no especifica cómo el firmante debe "adoptar" el contrato o registro.

Idealmente, la elección de un método de autenticación de usuario debería depender del perfil de riesgo de la organización y del proceso que está automatizando. Por ejemplo, las tarjetas inteligentes con certificados digitales pueden tener sentido al firmar solicitudes militares altamente sensibles, pero no son necesarias para los consumidores que solicitan un préstamo en línea.
 

¿Cuáles son algunas de las conclusiones clave de las recientes sentencias judiciales?

En un fallo histórico sobre la admisibilidad de la información almacenada electrónicamente (ESI), Juez Magistrado de los Estados Unidos Paul W. Grimm Se discutieron ejemplos de los elementos esenciales de un proceso eficaz de contratación electrónica, en particular “crear y archivar y recuperar de forma segura una pista de auditoría de todo el proceso de gestión de ESI, desde los pasos para verificar la identidad de las personas que firman el registro hasta sellar electrónicamente el documento y luego archivar y recuperar de forma segura el contrato electrónico ". De hecho, el juez Grimm escribió una opinión de 100 páginas que proporciona orientación sobre la autenticación y la admisibilidad de las pruebas almacenadas electrónicamente.
 

¿Cómo podemos asegurar que nuestros registros electrónicos y registros de auditoría sean fáciles de revisar para los auditores internos y externos?

Cuando las compañías reguladas se someten a una auditoría de cumplimiento, a menudo se les pide que prueben el proceso comercial exacto que siguieron. Esto se aplica tanto a las transacciones orientadas al cliente como a los controles internos. Como parte de esto, los auditores también buscan un registro de cada vez que se tocan documentos clave, cuándo y por quién.

OneSpan Sign proporciona pistas de auditoría de documentos y procesos con el fin de demostrar el cumplimiento a los auditores. Para facilitar el intercambio con partes internas y externas, se puede exportar un paquete de seguimiento de auditoría independiente de la base de datos de OneSpan Sign como un archivo independiente e importarlo a un ECM o sistema de gestión de registros. Además, las pantallas de la pista de auditoría visual pueden imprimirse de forma segura en PDF o en papel y enviarse a los auditores, para que puedan revisarlas sin conexión.

¿Son legales las firmas electrónicas en todo el mundo?

Docenas de países en todo el mundo han adoptado leyes de firma electrónica, firma digital y comercio electrónico, que incluyen:

  • China (Ley de firma electrónica 2004)
  • India (Ley de Tecnología de la Información de 2000)
  • La Federación Rusa (Ley de Firma Electrónica 2011)
  • Australia (sección 10 de la Ley de transacciones electrónicas de 1999)
  • Japón (Ley sobre firmas electrónicas y servicios de certificación)
  • México (Ley de comercio electrónico de 2000)

Para informacion adicional:

Para obtener una opinión legal sobre la exigibilidad de las firmas electrónicas en un país determinado y los requisitos de residencia de datos locales, consulte a su asesor legal.
 

¿Existen requisitos especiales para presentar divulgaciones legales en la web?

Al igual que con las transacciones en papel, una organización aún debe demostrar que presentó a los consumidores las divulgaciones exigidas por el gobierno en el formato requerido y dentro del plazo requerido. Además, la organización debe ser capaz de demostrar que el consumidor ha dado su consentimiento para recibir divulgaciones electrónicamente y que puede acceder a la información en el formato electrónico provisto.

La entrega de divulgaciones a través de su sitio web requiere más que simplemente publicar divulgaciones en una página web. La evidencia de todo el proceso de entrega de la divulgación, incluida la forma en que la divulgación se realizó al navegador del consumidor y las acciones que el consumidor tomó, debe almacenarse de forma segura en una pista de auditoría. Para obtener más información, lea nuestro documento técnico sobre Entrega electrónica segura de divulgaciones del consumidor .
 

 

¿Dónde está el mejor lugar para obtener ayuda con mi integración?

Nuestra comunidad de desarrolladores es el mejor lugar para que los desarrolladores se pongan en marcha rápidamente con la API y los SDK de OneSpan Sign.

¿Hay alguna guía de inicio rápido con un ejemplo básico sobre el que pueda construir?

Si. Hay cuatro formas de comenzar con OneSpan Sign:

  • La interfaz de usuario proporcionada
  • El SDK de Java
  • El SDK de .NET
  • La API REST

Lee nuestro blog de inicio rápido para obtener una descripción general de cómo comenzar con cada uno.
 

¿Cómo traigo automáticamente los campos del formulario a OneSpan Sign?

Para obtener más información sobre cómo usar la extracción de documentos para incorporar automáticamente campos de formulario en OneSpan Sign, lea este blog: 
OneSpan Sign Cómo: Extracción de documentos (.NET SDK)
 

¿Cómo funciona OneSpan Sign?

OneSpan Sign Professional es un servicio de firma electrónica basado en la web. Utiliza un navegador web para enviar y firmar documentos. Es así de simple. 

Así es como funciona:

  1. Sube tus documentos
  2. Agrega tus destinatarios
  3. Defina dónde firmarán los destinatarios simplemente arrastrando un bloque de firma a las ubicaciones correctas en el documento
  4. Seleccione el método de autenticación (nombre de usuario / contraseña, pregunta / respuesta secreta, código de acceso único (OTP), servicios de autenticación de terceros)
  5. Haga clic en "ENVIAR"

Se enviará un correo electrónico a cada firmante, invitándolos a firmar electrónicamente los documentos. Si está cara a cara con el firmante, tiene la opción de usar su propia computadora o dispositivo móvil para capturar su firma. Cada firmante es guiado paso a paso a través del proceso de firma. Una vez que los documentos están firmados, se pueden descargar. Los documentos firmados electrónicamente pueden almacenarse en OneSpan Sign o descargarse para su retención en su propio sistema de registro y eliminarse de OneSpan Sign.

Los documentos firmados electrónicamente son archivos PDF estándar que se pueden ver en Adobe Reader y otros lectores de PDF.

¿Necesito Adobe Reader?

No se requiere Adobe Reader para preparar o firmar documentos. Solo es necesario abrir y ver documentos firmados electrónicamente y ver todas las firmas electrónicas. Al ver un documento con Adobe Reader, puede verificar que un documento y sus firmas no hayan sido alterados.

Otros visores de PDF no mostrarán necesariamente el sello de la firma. Necesitará Adobe Reader versión 5 y superior para ver los documentos firmados electrónicamente.

¿Necesito algún hardware o software especial para firmar electrónicamente?

No. Los firmantes no necesitan nada más que un navegador web. Al solicitar a los clientes que firmen a través de Internet, la mejor solución es firmar documentos electrónicos a través de un navegador web, sin pedirle al cliente que descargue ningún software. Esto elimina el riesgo de que el cliente pueda abandonar el proceso debido a la frustración y las demoras causadas por incompatibilidades de software.

Firmar con OneSpan Sign es fácil. De hecho, los firmantes ni siquiera necesitan crear una cuenta. Simplemente reciben un correo electrónico con un enlace a un sitio seguro, ingresan su nombre de usuario y contraseña, y obtienen acceso al proceso de firma electrónica a través del navegador.

Además, el Captura de firma móvil La función OneSpan Sign transforma cualquier dispositivo con pantalla táctil habilitado para la web en una plataforma de captura de firma, eliminando la necesidad de hardware para la firma. Esta característica es ideal para la apertura remota de cuentas y los procesos de incorporación de clientes, si existe la necesidad de una firma escrita a mano y el proceso de revisión de documentos se lleva a cabo en una computadora de escritorio / portátil.

¿Qué navegadores son compatibles con OneSpan Sign?

  • Internet Explorer 11
  • Borde
  • Safari
  • Firefox
  • Google Chrome
  • Ópera

¿Qué dispositivos móviles pueden usar mis clientes para firmar electrónicamente? ¿Qué dispositivos son compatibles?

OneSpan Sign le ofrece la posibilidad de firmar documentos electrónicos en cualquier lugar, en cualquier momento desde cualquier dispositivo habilitado para la web, incluido un teléfono inteligente, tableta y computadora portátil.

¿Qué opción de implementación es adecuada para mí?

OneSpan Sign se puede implementar:

  • En una nube pública en cualquier parte del mundo (la opción más popular debido a la velocidad de comercialización y al bajo costo)
  • En una nube privada en cualquier parte del mundo (a menudo seleccionada debido a mayores requisitos de seguridad y para un mayor control sobre dónde y cómo se almacenan los datos)
  • En las instalaciones detrás del firewall de su empresa (seleccionado por organizaciones que requieren un control total sobre los servidores y los datos)

Independientemente de cómo se implemente, ofrecemos exactamente el mismo producto, la misma base de código y la misma experiencia de usuario sin comprometer la seguridad o la funcionalidad.

Nuestra plataforma SaaS única significa que puede comenzar a desarrollar usando un común API REST y SDK e implemente como y donde quiera. Si sus necesidades cambian con el tiempo, tiene la flexibilidad de migrar de una implementación a otra, así como implementar OneSpan Sign como un servicio compartido para entregar firmas electrónicas en toda la empresa.

¿Dónde puedo encontrar información sobre precios?

Para obtener más información sobre precios, visite nuestra página de precios .

¿Son seguras las firmas electrónicas?

Si. La seguridad siempre es una prioridad cuando las organizaciones comienzan a firmar en línea con clientes, socios y proveedores. OneSpan Sign ofrece tres niveles de seguridad:

  • Autenticacion de usuario: OneSpan Sign ofrece múltiples formas de verificar la identidad del firmante, incluyendo inicio de sesión / contraseña tradicional, pregunta / respuesta secreta, código de acceso único (OTP), servicios de autenticación de terceros (por ejemplo, Equifax), soporte para tarjetas inteligentes CAC / PIV y más. Para obtener más información, lea el autenticacion de usuario papel blanco.
  • Autenticación de documentos: Una vez que un documento se firma con OneSpan Sign, se bloquea con una firma digital (esencialmente un sello a prueba de manipulaciones). A diferencia de los contratos en papel y las firmas que requieren atención cuidadosa a los detalles y que dependen del ojo humano para la verificación, los contratos firmados electrónicamente basados en firmas digitales pueden marcar automáticamente cualquier error o alteración. Por lo tanto, cualquier intento de alterar el contenido del documento lo invalidará. Además, no es posible copiar y pegar una firma, ya que OneSpan Sign también asegura los bloques de firma con un firma digital . Incluso con toda esta seguridad, le facilitamos la verificación de la autenticidad del documento y las firmas, con solo un clic.
  • Pistas de auditoría: OneSpan Sign captura todas las huellas digitales que las personas dejan al pasar por un proceso de firma. Estos se capturan en dos tipos de pistas de auditoría: una pista de auditoría estática (lo que firmó el firmante) y una pista de auditoría visual patentada (cómo firmó el firmante). OneSpan Sign resuena con los equipos legales y de cumplimiento, porque estas pistas de auditoría proporcionan visibilidad sobre cuándo y cómo se realizó la transacción, algo que simplemente no es posible en el mundo del papel.
     

¿Cuáles son las principales características de seguridad para buscar en una solución de firma electrónica?

Una seguridad sólida requiere la combinación adecuada de personas, procesos y tecnología. Adoptar un enfoque múltiple para la seguridad de la firma electrónica en la nube garantizará que sus registros (y los registros de sus clientes) se manejen y administren adecuadamente. También fomentará la confianza del cliente y protegerá la reputación de su organización. Es por eso que recomendamos tener una visión amplia de la seguridad de la firma electrónica que incluye:

  • La capacidad de elegir el nivel de autenticación apropiado para cada uno de sus procesos (los procesos internos requieren menos autenticación, mientras que los procesos externos con clientes generalmente requieren una autenticación más fuerte).
  • Protección de firmas electrónicas y documentos contra la manipulación.
  • Facilitar la verificación de los registros firmados electrónicamente, independientemente del proveedor, para garantizar que no se hayan realizado cambios en el documento desde que se firmó.
  • Garantizar la fiabilidad a largo plazo de sus registros electrónicos, independientemente de su proveedor.
  • Elegir un proveedor con un historial consistente para proteger los datos del cliente.

Para obtener más información, consulte el Lista de verificación de seguridad de firma electrónica definitiva .
 

¿Cuál es la mejor manera de autenticar a los firmantes en línea?

Realmente depende del tipo de transacción y el riesgo asociado con ella. Por ejemplo, una renovación de hipoteca en línea con un cliente existente es una transacción con alguien que probablemente ya tenga credenciales bancarias en línea. En ese caso, el cliente podría iniciar sesión en el portal bancario utilizando sus credenciales existentes, acceder al documento de renovación y firmarlo directamente directamente dentro del portal bancario en línea.

Sin embargo, si el participante es un "cliente desconocido", el banco debe tener un método para verificar los documentos de identidad del cliente. Esto puede incluir una prueba de residencia, pasaporte, licencia de conducir, identificación emitida por el estado u otros documentos de identificación únicos.

Hay dos métodos de verificación de ID:

  • Verificación en persona: esto requiere que el cliente muestre a un asociado bancario una copia física de su identificación con foto emitida por el gobierno. El asociado debe confirmar que la identificación es genuina y aprobar la transacción.
     
  • Verificación de identificación digital: con nuevas tecnologías y regulaciones, como la Ley de MÓVIL de EE. UU., Las organizaciones ahora pueden digitalizar el proceso de verificación de identificación. Aprovechando el poder de los dispositivos móviles, los bancos pueden aceptar una copia escaneada de la identificación con foto del cliente para verificar su autenticidad, y pedirle al cliente que cargue una selfie para que coincida con la identificación escaneada.

Para obtener más información, lea el autenticacion de usuario papel blanco.
 

¿Puedo elegir dónde residen mis datos?

Si. La residencia de datos es lo más importante para las organizaciones de hoy. Además de las implementaciones existentes en los EE. UU. Y Canadá, ofrecemos a los clientes de todo el mundo acceso a instancias en la nube públicas y privadas de OneSpan Sign en Australia, el Reino Unido, Alemania, Japón, Singapur y Brasil. Por ejemplo, muchos de nuestros clientes canadienses ya están procesando sus documentos firmados electrónicamente a través de centros de datos en Toronto y Montreal.

Lo mismo se aplica a nuestros conectores. Por ejemplo, nuestra aplicación de firma electrónica para Salesforce brinda a las organizaciones la flexibilidad de conectarse a cualquier instancia global de OneSpan Sign, ya sea en los EE. UU., Canadá o cualquiera de los seis países mencionados anteriormente. Por lo tanto, los contratos, los NDA y los documentos que se entregan a sus clientes y socios para su firma a través de Salesforce residen donde sus políticas de TI internas lo exijan. OneSpan Sign es la única solución de firma electrónica en el mercado que proporciona este nivel de flexibilidad global. Para saber más, lee esto blog de residencia de datos .
 

¿Qué certificaciones de seguridad tiene OneSpan Sign?

Las organizaciones conscientes de la seguridad buscan asegurarse de que los proveedores con los que trabajan cumplan con los requisitos de seguridad necesarios. Si bien existen varios programas de cumplimiento en el nivel del centro de datos (por ejemplo, HIPAA, SOC 1 / SSAE 16, SOC 2, SOC 3, PCI DSS Nivel 1, ISO 27001, etc.), así como de grado militar controles físicos, queríamos ir más allá para nuestros clientes. OneSpan Sign cumple con los requisitos adicionales de control de seguridad y cumplimiento, que incluyen:

  • ISO / IEC 27001: 2013 : ISO / IEC 27001 es un estándar de gestión de seguridad que especifica las mejores prácticas de gestión de seguridad y controles de seguridad integrales siguiendo la guía de mejores prácticas ISO / IEC 27002. La base de esta certificación es el desarrollo e implementación de un riguroso programa de seguridad, que incluye el desarrollo y la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) que define cómo OneSpan Sign gestiona continuamente la seguridad de manera integral y holística.

    Obtener más información

  • ISO / IEC 27017: 2015 : OneSpan adopta un enfoque estructurado para la seguridad en la nube mediante la implementación de una serie de mejores prácticas para cumplir con el estándar ISO / IEC 27017 para requisitos específicos para servicios de seguridad en la nube y controles de seguridad en la nube. ISO / IEC 27017 está diseñado para ayudar en la recomendación e implementación de controles para organizaciones basadas en la nube. Esto no solo es relevante para las organizaciones que almacenan información en la nube, sino también para los proveedores que ofrecen servicios basados en la nube a otras compañías que pueden tener información confidencial.

    Obtener más información

  • ISO / IEC 27018: 2019 : OneSpan cumple con el estándar para proteger los datos del cliente en la nube como una organización certificada ISO / IEC 27018. ISO / IEC 27018 es un código de práctica que se centra en la protección de datos personales en la nube. ISO / IEC 27018 es un código de práctica que se centra en la protección y privacidad de los datos personales en la nube. Se basa en el estándar de seguridad de información ISO / IEC 27002 y proporciona una guía de implementación aplicable al almacenamiento de información de identificación personal (PII) en una nube pública. También proporciona un conjunto de controles adicionales y orientación asociada destinada a abordar los requisitos de protección de PII en la nube pública no abordados por el conjunto de control ISO / IEC 27002 existente.

    Obtener más información

  • SOC 2 Tipo II: En una auditoría de seguridad realizada por KPMG, las tecnologías y procesos de protección de datos de OneSpan Sign se verificaron como compatibles con SOC 2. 
  • FedRAMP: OneSpan Sign permite a las agencias gubernamentales aprovechar de manera segura las firmas electrónicas en la nube y aprovechar los ahorros de costos e impulsar la participación de los empleados y los ciudadanos.

    Obtener más información

  • Skyhigh: Los servicios en la nube Skyhigh Enterprise-Ready satisfacen completamente los requisitos más estrictos para la protección de datos, la verificación de identidad, la seguridad del servicio, las prácticas comerciales y la protección legal.

    Obtener más información

  • Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 (HIPAA): Para los Estados Unidos de atención médica de EE. UU., OneSpan Sign cumple la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). HIPAA describe los requisitos para la gestión, el almacenamiento y la transmisión de información de salud protegida en forma física y digital.

    Obtener más información

También nos encontramos con el estándares de certificación de seguridad del gobierno emitido por:

  • El Instituto Nacional de Estándares y Tecnología (NIST).
     
  • El Comando de Prueba de Interoperabilidad Conjunta (JITC). OneSpan Sign tiene 13 certificaciones JITC, más que cualquier proveedor de soluciones de firma electrónica.
     
  • La National Information Assurance Partnership (NIAP) de la Agencia de Seguridad Nacional, a través de nuestro soporte para FIPS PUB 140-2, un estándar de seguridad informática utilizado para acreditar módulos criptográficos.
     
  • OneSpan Sign también es compatible con los últimos estándares de cifrado SHA.

Para más información, vea nuestro Centro de confianza .
 

Aproveche nuestra experiencia

Mejore drásticamente la experiencia digital del cliente y la productividad y seguridad de su organización.