La crisis sanitaria ha acelerado el proceso de digitalización de las empresas. Con la generalización del teletrabajo y la reducción de los desplazamientos, la posibilidad de firmar documentos a distancia ha revelado todo su potencial, permitiendo a las organizaciones seguir funcionando a pesar de las circunstancias. Por ejemplo, el 70 % de las empresas ha acelerado la adopción de la firma electrónica a causa de la crisis (Archimag). ¿Se plantea crear su propia empresa? ¿Su empresa ha implantado una solución de firma a distancia y usted quiere dominar el tema? Le ofrecemos un glosario de términos esenciales para conocer la firma electrónica.
Firma electrónica
Empecemos por el principio. La firma electrónica designaun proceso de firma de un documento digital mediante cifrado. Por tanto, no se trata de una simple digitalización de la firma manuscrita. El reglamento eIDAS define este tipo de firma como «datos en forma electrónica, que se adjuntan o se asocian lógicamente a otros datos en forma electrónica, y que el firmante utiliza para firmar».
Certificado electrónico
Asociado al uso de la firma remota para determinados niveles de seguridad, el certificado electrónico es un archivo que contiene información sobre la identidad de su titular, así como todos los datos que permiten garantizar la autenticidad e integridad de las firmas realizadas. En resumen, es el vínculo entre la firma electrónica y el firmante. Este certificado, generalmente entregado a una persona física que actúa en nombre de la empresa, es emitido por un tercero de confianza, por ejemplo, una Autoridad de Certificación, a su vez supervisada en Francia por la Agencia Nacional de Seguridad de Sistemas de Información francesa (ANSSI).
Autenticación
La autenticación se refiere al proceso por el cual un usuario demuestra su identidad para acceder a un servicio. Puede hacerse de diferentes maneras: contraseña, código único recibido por SMS o correo electrónico, sistema de reconocimiento facial o de voz, preguntas personales, etc. Cuantos más niveles de autenticación haya, más segura es la firma electrónica y menos probable es que se ponga en duda. Por eso utilizamos la autenticación de dos factores (2FA) en relación con los niveles de firma más avanzados.
Reglamento eIDAS
El reglamento eIDAS es una ley europea que se aplica a la identificación electrónica, los servicios de confianza y los documentos digitales. Establece un marco común para los Estados miembros de la Unión Europea con el objetivo de fomentar la aparición de un «mercado de confianza digital». Este reglamento es el que prevé, entre otras cosas, los diferentes niveles de firma electrónica disponibles, así como los medios que deben utilizarse para emplearlos.
Niveles de firma
El reglamento eIDAS reconoce tres niveles de firma electrónica:
- La firma simple.
- La firma avanzada.
- La firma cualificada.
Estos niveles se refieren a procesos distintos para verificar la identidad del firmante, que son más avanzados a medida que aumenta el nivel de seguridad. Así, una firma electrónica cualificada requiere un certificado digital con verificación cara a cara de la identidad del solicitante. En cuanto a la firma «simple», en realidad se refiere a todos los procedimientos de firma que no son ni avanzados ni cualificados.
Cara a cara
En algunos casos (firma cualificada o avanzada con certificado cualificado), la obtención de un certificado previo a la firma electrónica requiere una comprobación exhaustiva de la identidad, conocida como «cara a cara». Esta verificación puede hacerse físicamente o a distancia, con consecuencias en las modalidades de control. Durante un encuentro físico, el tercero de confianza entrega al firmante un token para que se autentique. Durante una verificación a distancia, el firmante debe realizar uno o varios vídeos para mostrar su rostro y su identificación.
Diálogo SMS
El diálogo SMS es un proceso que permite al firmante de un documento confirmar su consentimiento. Este proceso se basa en el envío de dos mensajes SMS. El primero, para solicitar la aprobación, y el segundo, para la autenticación (mediante un código de uso único de seis dígitos).
Cifrado
El cifrado, o encriptación, esel proceso por el cual se transforman los datos en un criptograma, con el objetivo de protegerlos haciéndolos ininteligibles para personas no autorizadas. Para cifrar los datos, se utiliza un algoritmo asimétrico y dos códigos de desencriptación, llamados «claves», uno de los cuales es público (accesible a todos) y el otro privado (solo lo tiene el usuario). La criptografía se utiliza para garantizar la integridad, autenticidad y confidencialidad de un documento.
Token
Un token es un dispositivo de hardware (llave USB, tarjeta inteligente, etc.) utilizado para cifrar o descifrar contenidos, respectivamente, a través de una clave pública o privada. Utilizado en el contexto de una firma electrónica cualificada, este dispositivo se entrega a una persona física tras la verificación cara a cara de su identidad, y le permite autenticarse cuando utiliza la herramienta de firma.
API
Una API de firma electrónica permite crear una pasarela entre la herramienta de firma y el software empresarial, para acceder a los servicios directamente desde este último y construir flujos de trabajo de validación adaptados a la empresa. El uso de una API ayuda a agilizar el proceso de firma electrónica, acortar el ciclo de ventas y mejorar la experiencia del usuario y, por tanto, la satisfacción del cliente.
