Guía de legalidad de las firmas electrónicas

La perspectiva de OneSpan

La información proporcionada en esta sección es preparada por OneSpan. Resume las mejores prácticas para el cumplimiento legal relacionado con firmas electrónicas y explica cómo OneSpan Sign está diseñado para cumplir con los requisitos de firma electrónica en países que han implementado leyes relacionadas con las firmas electrónicas.

OneSpan ha trabajado activamente con varias autoridades para ayudar a promover la adopción de las firmas electrónicas en todo el mundo. OneSpan también participa en actividades de divulgación, lo que incluye talleres y conferencias, para ayudar a organizaciones que están en proceso de adaptarse a las leyes y regulaciones globales relacionadas con las firmas electrónicas.

Cumplimiento en relación con las firmas electrónicas

La capacidad de implementar acuerdos vinculantes en línea ofrece beneficios significativos, los cuales incluyen una mejor experiencia del cliente, una posición legal y de cumplimiento más sólidos, una mayor productividad del personal y una mayor eficiencia operativa. Aunque se ha demostrado que las firmas electrónicas son superiores a las firmas de tinta por muchas razones, siguen surgiendo preguntas con respecto al cumplimiento legal relacionado con las firmas electrónicas.

En general, existen tres formas de firma electrónica reconocidas en todo el mundo: Simple, avanzada y calificada.

 

Firma electrónica simple - (SES, por sus siglas en inglés)

Firma electrónica avanzada - (AES, por sus siglas en inglés)

Firma electrónica calificada (QES, por sus siglas en inglés)

Una firma SES puede ser cualquier forma de mensaje electrónico asociado con una persona física (esto puede incluir firmas mecanografiadas, bloques de correo electrónico, etc.).

AES es una firma electrónica asociada de forma única a un individuo y vinculada a los datos, de manera que cualquier cambio posterior en los datos sea identificable de forma fácil.

Una QES se genera a través de un dispositivo de creación de firma electrónica calificada (respaldada por un certificado emitido por un proveedor de servicios confiable y calificado) y tiene la misma validez que una firma hecha a mano.

Las firmas electrónicas simples tienen los requisitos mínimos de prueba de identificación del firmante, mientras que las firmas electrónicas calificadas tienen los estándares más altos y son el equivalente legal de una firma hecha a mano. Los diferentes tipos de uso y transacciones requieren diferentes tipos de firmas electrónicas, con base a lo determinen las regulaciones locales. 

OneSpan Sign está diseñado para cumplir con los requisitos de las tres formas de firma electrónica y es compatible con una amplia gama de casos en el ámbito empresarial. Esto va desde simples procesos de firma internos y de compañía a compañía (B2B) hasta transacciones más complejas con los clientes.

 

OneSpan Sign:

  • Captura un acto o proceso y almacena la información como el bloque de datos de firma electrónica y en la huella de auditoría que aparece en el archivo del documento firmado;
  • Usa una firma digital para asociar de forma segura el bloque/datos de firma electrónica al documento firmado electrónicamente. Esta asociación no se puede romper ni copiar a otro documento;
  • Ofrece varios enfoques de autenticación para identificar y atribuir la firma electrónica al individuo firmante; 
  • Captura una firma pidiendo al firmante que haga clic para firmar o que dibuje su firma en un dispositivo. Ambos enfoques se activan haciendo clic en un botón en el documento, en el lugar donde normalmente aparecería la firma. Esto asegura que la intención del firmante se establezca de la misma manera en que sucedería con una firma de tinta húmeda.

Proveedores de servicios de confianza (TSP, por sus siglas en inglés) 

OneSpan Sign ofrece una selección de servicios de administración de identidad nativos y de terceros a través de integraciones con proveedores de servicios de confianza (TSP) en todo el mundo. Los TSP se especializan en la identificación electrónica y en servicios de confianza para proporcionar firmas electrónicas avanzadas y calificadas a través de OneSpan Sign. Nuestros socios TSP están en la Lista de confianza de la UE, lo que permite el reconocimiento transfronterizo de firmas electrónicas en todos los estados miembros de la UE.

Nuestros socios globales de TSP incluyen:

Asseco Firmaprofesional aruba it Uanataca logo
TrustPro Itsme logo Swisscom logo  

Acreditado por Indecopi

Indecopi maneja un directorio de proveedores de firmas y certificados digitales aprobados en Perú (el Registro Oficial de Prestadores de Servicio de Certificación Digital). La organización lleva a cabo un riguroso proceso de verificación antes de agregar nuevos proveedores a su lista oficial. 

OneSpan Sign es la primera y única Plataforma Global de Servicio Completo de Firmas Electrónicas y Digitales para Compañías y está reconocida en la Guía de Mercado de Firmas Electrónicas 2020 de Gartner, acreditada por Indecopi. Esta acreditación significa que las firmas digitales generadas por OneSpan Sign tienen la misma validez y eficacia legal que una firma manuscrita.

Indecopi Logo

Certificados digitales locales y remotos

Un certificado digital es un documento electrónico emitido por un proveedor de servicios de confianza (TSP) o una autoridad en certificación (CA, por sus siglas en inglés). Contiene la clave pública para una firma digital y especifica la identidad asociada con esa clave, por ejemplo, el nombre de una persona u organización. El certificado se utiliza para confirmar que la clave pública pertenece a la persona u organización en cuestión.

OneSpan Sign es compatible con una amplia gama de certificados digitales locales y de servidores que cumplen con los estándares globales. Esto incluye interoperabilidad instantánea con PKI X.509 (certificados digitales y tecnología de firma) emitidos por TSP y CA, y certificados digitales almacenados en Tarjetas de Acceso Común (CAC, por sus siglas en inglés) del gobierno de Estados Unidos, así como tarjetas de Verificación de Identidad personal (PIV, por sus siglas en inglés). El resultado es un PDF firmado electrónicamente, el cual es seguro y a prueba de manipulaciones, con una huella de auditoría detallada incorporada directamente en el documento.

Certificados digitales locales

  • Las firmas electrónicas con certificados de firma local se pueden completar siguiendo estos sencillos pasos:
  • Inserte su tarjeta inteligente local en su computadora portátil, dispositivo celular o lector de tarjetas inteligentes.
  • Abra el documento que requiere su firma electrónica.
  • Cuando aparezca el documento y esté listo para ser firmado, haga clic en el bloque de firma y luego confirme su firma.
  • Seleccione el certificado apropiado de la lista. Si se le solicita, ingrese el código PIN asociado al certificado seleccionado. Una vez que se haya confirmado el PIN, OneSpan Sign genera un hash con su información en el momento de firmar (lo que incluye, por ejemplo, el nombre, fecha, hora, dirección IP y certificado utilizado para firmar el documento), además de un hash único para el documento en sí. 

Puede ver este video para obtener más información sobre cómo firmar documentos electrónicamente con un certificado de firma local.

Certificados digitales remotos

Firmar electrónicamente con certificados basados en la nube emitidos por nuestros socios de TSP se puede llevar a cabo siguiendo estos sencillos pasos:

  • Cree una transacción de firma electrónica en OneSpan Sign y seleccione TSP como método de firma.
  • Los firmantes acceden al documento a través de una experiencia web o celular integrada o mediante un enlace de correo electrónico.
  • Tras la identificación exitosa del firmante, se solicita un consentimiento para firmar y OneSpan Sign envía un mensaje de texto al firmante con un Código de Acceso de un Solo Uso (OTP, por sus siglas en inglés).
  • Una vez firmado, OneSpan Sign genera un hash de la información del firmante en el momento de firmar (lo que incluye, por ejemplo, el nombre, fecha, hora, dirección IP y certificado utilizado para firmar el documento), además de un hash único para el documento en sí. 

Aquí le mostramos un flujo de trabajo de muestra para firmantes conocidos (por ejemplo, clientes existentes a quienes su organización ya ha proporcionado credenciales) y firmantes desconocidos (por ejemplo, nuevos solicitantes cuya identidad no ha sido verificada y que aún no tienen credenciales) en OneSpan Sign:

Sample workflow

Sellado de tiempo calificado

Los documentos firmados electrónicamente incluyen detalles como el certificado digital del firmante (es decir, un certificado de firma local o de un servidor), la marca de tiempo y la información del firmante (por ejemplo, su dirección de correo electrónico y dirección IP). Si bien la mayoría de las soluciones de firma electrónica aplican una marca de tiempo estándar para indicar la fecha y la hora asociadas con el proceso de firma, puede haber casos (por ejemplo, transacciones de alto riesgo y de alto valor) en las que las organizaciones quieran utilizar una "marca de tiempo calificada", es decir, una marca de tiempo generada por un tercero de confianza para cada evento de firma. 

OneSpan Sign respalda la marca de tiempo al conectarse a un servidor de marca de tiempo calificado, vinculando los datos de la firma electrónica con una marca de tiempo confiable. Esto permite probar de forma independiente cuándo se realizó una transacción concreta. La marca de tiempo que se crea de esta manera fortalece aún más la integridad de la firma electrónica.

Seguridad de la identidad

La seguridad de la identidad es una medida de certeza (o un grado de confianza) de que una persona es quien dice ser. La garantía de identidad se utiliza para responder a la pregunta: "¿Qué tan seguro está de que la persona es quien dice ser en una transacción de firma electrónica?" Los diferentes niveles de garantía de identidad permiten que las compañías y los servicios de gobierno realicen transacciones alineadas con el nivel de riesgo. Para algunos servicios, el nivel de riesgo es bajo (LoA1 o Nivel de seguridad 1); para otros, es más alto (LoA4 o Nivel de seguridad 4). 

NIST ha establecido un marco cómo orientación para determinar cómo cumplir con estos niveles de seguridad de identidad. Consulte las pautas de identidad digital del NIST para obtener más información. 

Un componente crítico de una transacción de firma electrónica es la forma en que las compañías identifican a los firmantes. OneSpan Sign ofrece una serie de métodos de autenticación y verificación de identidad del firmante, tanto si la compañía lo conoce como si no. Nosotros no dictaminamos la opción utilizada; nos adaptamos al modelo que mejor funcione para nuestros clientes y para el tipo de casos con los que trabajen. 

Las opciones incluyen:

  • Las capacidades de verificación de identidad de OneSpan Sign permiten a las compañías verificar la autenticidad de la identificación oficial de un firmante automáticamente. Cuando se combina con la comparación biométrica facial y la detección de que se trata de una imagen en vivo, las compañías pueden establecer que el firmante es la persona que dicen ser con un alto grado de seguridad. Visite nuestro mapa de cobertura de verificación de identidad para ver los tipos de documentos de identidad que admitimos según el país.
  • Certificados de firma local y remota (ver más arriba)
  • Código de acceso de un solo uso (SMS)
  • Secreto compartido (preguntas y respuestas)
  • Autenticación basada en conocimientos (KBA, por sus siglas en inglés)
  • Tarjetas de acceso común (CAC) y tarjetas de verificación de identidad personal (PIV) emitidas por el gobierno de Estados Unidos
  • Adjuntos del firmante, lo que requiere que el firmante cargue una pieza de identificación oficial para su verificación antes de firmar (por ejemplo, licencia de conducir o pasaporte)
  • API de OneSpan Sign, lo que permite la integración personalizada de verificación de identificación

Retención y validez

Con OneSpan Sign, en las transacciones que utilizan firmas electrónicas, los documentos PDF firmados electrónicamente están disponibles para su descarga para todos los participantes. Las compañías no tienen que almacenar el registro firmado electrónicamente en OneSpan Sign. El registro puede viajar de forma segura a través de cualquier correo electrónico, almacenamiento o sistema de archivo (por ejemplo,  SharePoint, eOriginal, CDC Arkhineo, Box, Laserfiche, etc.) sin verse comprometido ni requerir programación adicional. Los documentos firmados electrónicamente se pueden organizar, almacenar y recuperar en el sistema de registro que usted elija. Nuestros clientes determinan las políticas de retención de sus cuentas, incluida la opción de eliminar las transacciones de firma electrónica. Esto proporciona el nivel de flexibilidad necesario para gestionar registros firmados electrónicamente de una manera que cumpla con las políticas de almacenamiento de registros a largo plazo. 

La validez de los documentos PDF firmados electrónicamente queda asegurada a través de la aplicación de una firma digital al documento con cada firma electrónica. Las firmas digitales son una forma de tecnología de cifrado que asegura la integridad de los datos almacenados en el archivo del documento, de modo que cualquier cambio en estos datos invalida las firmas electrónicas. Los datos de las firmas electrónicas y digitales se almacenan en el archivo del documento PDF para que se pueda verificar la precisión del documento en todo momento y desde cualquier lugar.

Para verificar la integridad de los documentos, OneSpan Sign ofrece verificación de los documentos y firmas con un solo clic. Si el proceso de verificación es demasiado complicado, los participantes pueden asumir erróneamente que el documento y las firmas son válidos, sin que exista una verificación adecuada. Para verificar un documento que ha sido firmado electrónicamente con OneSpan Sign, los participantes hacen clic en el bloque de firma. Esto abre la huella de auditoría y verifica automáticamente tanto la autenticación del firmante como la validez del documento. Si un documento firmado con OneSpan Sign se modifica o manipula de alguna manera, la tecnología de firma digital que lo respalda lo detectará y el lector de PDF invalidará el documento de forma visible. El PDF firmado electrónicamente mostrará una "X" roja que indica que el documento no es confiable. Hay huellas de auditoría detalladas que acompañan cada transacción de firma electrónica.

OneSpan eSignature

Un proceso de un solo clic simplifica la experiencia del usuario, lo que genera una mayor confianza en el proceso de firma electrónica y ofrece tranquilidad al saber que se detectarán los errores o acciones fraudulentas.

Huellas de auditoría

Las huellas de auditoría de firma electrónica son registros digitales que identifican cuándo se ha enviado, abierto y firmado un documento, junto con los nombres, direcciones de correo electrónico, direcciones IP e identificadores de firma únicos de los firmantes. Las huellas de auditoría han demostrado ser muy efectivas para autenticar un registro electrónico y así demostrar que la firma electrónica corresponde al firmante.

Las huellas de auditoría ayudan a responder preguntas como:

  • ¿Completó exitosamente el firmante los pasos de autenticación y/o verificación de identidad requeridos?
  • ¿Se le presentaron al firmante las divulgaciones requeridas? 
  • ¿Firmaron en todas las ubicaciones requeridas en el (los) documento(s) para indicar la intención correctamente?
  • ¿Se siguieron los procedimientos adecuados en cada etapa del proceso?

OneSpan Sign ofrece una huella de auditoría única de todo el proceso del acuerdo. Esta huella captura todas las acciones de firma electrónica (es decir, lo que se firmó, cuándo y dónde), además de la verificación de identidad y los eventos de autenticación que prueban cómo se identificó al firmante. La huella de auditoría está incorporada en el documento firmado electrónicamente y está disponible en un Reporte de resumen de evidencia detallado. Este se puede descargar y ver en cualquier momento. Está disponible para todos los participantes de la transacción, como descarga individual o como parte de la transacción completada.

Residencia de datos

A medida que la adopción de la nube sigue creciendo, es necesario garantizar que los datos estén protegidos y cumplan con las leyes de protección y de residencia de datos locales de la organización. Las industrias reguladas e impulsadas por el cumplimiento, como la banca, los seguros, el gobierno y la atención médica, a menudo requieren transparencia y control sobre dónde la residencia de los datos personales.

En este momento, OneSpan tiene cuatro centros de servicio de firma electrónica: en Estados Unidos, Canadá, la UE (Irlanda, Alemania) y Australia. Cuando OneSpan crea la cuenta de un cliente, el cliente puede seleccionar la región que prefiera. Esto determina dónde se procesarán y almacenarán sus documentos firmados electrónicamente. 

Aprovechando las redes globales de los centros de datos de nuestros socios tecnológicos (Amazon Web Services, IBM Cloud y Microsoft Azure), OneSpan Sign ofrece opciones de implementación de SaaS y de nube privada para OneSpan Sign. La capacidad de OneSpan Sign para cumplir con los requisitos de residencia de datos se extiende a las aplicaciones de terceros que integramos. Por ejemplo, OneSpan Sign para Salesforce (departamento comercial) ofrece a las organizaciones la flexibilidad de conectarse a cualquier instancia global de OneSpan Sign. 


OneSpan Sign también se convirtió en la primera solución de firma electrónica Autorizada Para Operar (ATO, por sus siglas en inglés) bajo el Programa Federal de Gestión de Autorizaciones y Riesgos de Estados Unidos (FedRAMP, por sus siglas en inglés) en 2016. Las organizaciones del gobierno de Estados Unidos que quieren implementar firmas electrónicas ahora tienen acceso inmediato a una nube segura compatible con FedRAMP, alojada en la infraestructura de nube Azure de clase mundial de Microsoft.

Visite el Trust Center (Centro de Confianza) de OneSpan Sign para obtener más información sobre las medidas de seguridad que tenemos para cumplir y superar los requisitos de cumplimiento de normativas y control de seguridad de nuestros clientes en todo el mundo.

Para las compañías que quieren tener el máximo control, OneSpan Sign puede implementarse y gestionarse de forma local, detrás de la infraestructura y firewall propias de una organización.

Empiece a utilizar firmas electrónicas

Pruebe nuestra demostración rápida para ver cómo es la experiencia de firmar de manera electrónica.