Redirecting you to
Entrada de blog sept. 09, 2021

Firmas digitales: requisitos legales y cumplimiento global

Las firmas digitales, una forma segura de firmas electrónicas, usan PKI para autenticar firmantes y garantizar la integridad de los documentos. Son legalmente válidas según leyes de EE. UU. (ESIGN Act) y estándares globales como eIDAS en la UE. Ofrecen mayor seguridad que otras firmas electrónicas, asegurando autenticidad, integridad de datos y no repudio.

Tabla de Contenidos

¿Qué constituye una firma digital?

Las firmas digitales son un tipo especial de firmas electrónicas seguras. Aprovechan la infraestructura de clave pública (PKI) para autenticar e identificar al autor de diversos elementos, como documentos, aplicaciones, programas u otros tipos de archivos electrónicos.

Un certificado de firma digital es un certificado basado en PKI que autentica la identidad del firmante y garantiza que los documentos transmitidos electrónicamente y los mensajes digitales no han sido falsificados ni manipulados. El uso de la criptografía de clave pública se aplica para autenticar correctamente un registro. Las firmas digitales son simplemente códigos incrustados en los archivos, que pueden visualizarse si el caso de uso lo requiere.

Son similares a las firmas físicas en documentos en papel en el sentido de que ambas son exclusivas del firmante, excepto que en el caso de los documentos firmados digitalmente, la firma ofrece en realidad mucha más seguridad y la garantía del origen, la identidad y la integridad del documento. Basadas en los más altos estándares de seguridad, son legalmente vinculantes en los Estados Unidos y en muchos otros países.

Con sus métodos criptográficos seguros, las firmas digitales cumplen con las regulaciones más estrictas, incluyendo la Ley de Firmas Electrónicas en el Comercio Global y Nacional de los Estados Unidos (ESIGN Act), la Ley Uniforme de Transacciones Electrónicas (UETA) y otras leyes internacionales.

La diferencia entre una firma digital y una firma electrónica

Aunque muchas personas suelen utilizar los términos indistintamente, las firmas electrónicas y las firmas digitales no son, de hecho, lo mismo. La distinción es increíblemente importante desde una perspectiva legal.

Las firmas electrónicas son el conjunto más amplio de soluciones que utilizan un proceso electrónico para añadir una firma a un documento o transacción. El uso de este tipo de firma ha crecido increíblemente con el tiempo a medida que los documentos y la comunicación se trasladan cada vez más al ámbito digital, y las empresas y los consumidores de todo el mundo adoptan la rapidez y la comodidad de esta solución. Pero hay muchos tipos diferentes de firmas electrónicas, cada una de las cuales permite a los usuarios firmar documentos digitalmente y ofrece cierto grado de autenticación de identidad.

Las firmas digitales son un tipo de firma electrónica y son las más seguras. Los certificados digitales aprovechan los certificados PKI digitales emitidos por una autoridad de certificación de confianza (CA) como Sectigo, que autentica correctamente la identidad del solicitante. Este tipo de autenticación es necesaria para garantizar la integridad de los documentos electrónicos, y vincular la identidad del firmante al documento directamente es la mejor manera de garantizar su legitimidad.

Otros tipos de firmas electrónicas utilizan tipos de autenticación electrónica diferentes y menos seguros. Estos pueden incluir direcciones de correo electrónico, números de teléfono u otros tipos de información de contacto.

Para que se considere una firma digital legítima, hay algunos requisitos. El requisito más básico es que la identidad del firmante esté vinculada a un certificado u otro tipo de credencial de identificación que pueda ser encriptada y autenticada. Un certificado digital basado en PKI cumple este propósito. Con esta opción, se genera un par de claves públicas/privadas a través de un algoritmo para autenticar la identidad del firmante y mantener la validación del certificado. Cuando esto se hace, la firma se considera no repudiable y está vinculada a la identidad del firmante.

El proceso de firma digital es mucho más complicado que las firmas electrónicas más simples y dependerá en gran medida del caso de uso.

¿Cuál es el propósito de una firma digital?

Una firma digital utiliza una clave digital segura que certifica la identidad del autor de un mensaje digital, formulario electrónico o documento. Esto da a los clientes la confianza de que los documentos firmados proceden de la fuente reconocida y que sus registros electrónicos no han sido falsificados ni manipulados.

Varios proveedores de servicios diferentes ofrecen firmas digitales para hacer frente a una variedad de situaciones. DocuSign es uno de los más populares, al igual que Adobe. Los certificados de firma de documentos de Adobe ofrecidos por Sectigo permiten a las organizaciones proteger los documentos de Adobe Acrobat con firmas digitales. La certificación proviene de los Servicios de documentos certificados (CDS) de Adobe o de las autoridades de certificación que son miembros de la Lista de confianza aprobada de Adobe (AATL). La certificación atestigua que el firmante ha sido verificado por Adobe para cumplir con sus requisitos y que el certificado reside en hardware protegido.

Estas firmas y, por extensión, sus certificados, se desarrollaron para ayudar a resolver el problema de la identidad y la confianza. Son una modernización de la firma notarial de confianza en documentos físicos. Un tercero de confianza que ha sido examinado por un organismo rector valida y verifica la identidad de un firmante. En el caso de las firmas digitales, el tercero de confianza, que podría ser una autoridad de certificación (CA) como Sectigo, asume esta responsabilidad.

Casos de uso

Las firmas digitales se utilizan de muchas maneras en Internet. Estos casos de uso pueden clasificarse en gran medida en tres amplias categorías:

  • Atribución: si la firma está adjunta a un archivo, mensaje o documento, se puede confiar legalmente en que el propietario de la firma estuvo involucrado. No hay duda ni riesgo de repudio, y también habrá retención de registros que dejen un rastro de auditoría.
  • Autenticidad: el uso de una firma significa que la identidad del firmante ha sido validada por una CA de terceros, como Sectigo. Este nivel de validación y autenticación respalda la atribución de la firma.
  • Integridad: adjuntar una firma a un archivo, especialmente a un mensaje o correo electrónico, informa al destinatario (ya sea humano o sistema) de que los datos no han sido alterados ni manipulados durante el transporte. Es importante señalar que la firma en sí misma no tiene ninguna medida de protección, sino que indica al destinatario si se ha detectado alguna interferencia. Esto permite al destinatario y al remitente tomar una decisión informada sobre cómo responder, al tiempo que comprenden mejor los posibles vectores de ataque.

¿Es una firma digital legalmente vinculante?

Las diferentes jurisdicciones suelen tener normas y reglamentos ligeramente diferentes con respecto a este tipo de firma. Muchas leyes interpretan las firmas digitales como firmas electrónicas cualificadas (QES) o certificados electrónicos seguros. Por esta razón, en la mayoría de los casos en los que se aceptan firmas electrónicas simples, también se aceptan las firmas digitales. Un PDF firmado digitalmente es legal en la mayoría de las jurisdicciones. Sin embargo, hay situaciones en las que una firma digital, y el proceso asociado a ella, puede considerarse excesivo.

Antes de tomar cualquier decisión sobre el tipo de firma que es mejor para usted o su organización, consulte la normativa local y las mejores prácticas del sector. En esta sección, analizaremos a alto nivel la legalidad en Estados Unidos (EE. UU.) y la Unión Europea (UE).

Estados Unidos

Las firmas digitales, y las firmas electrónicas en general, son legalmente vinculantes en los Estados Unidos. Esto se debe en gran medida a dos normativas, la UETA (Ley Uniforme de Transacciones Electrónicas) redactada en 1999 y la ESIGN (Ley de Firmas Electrónicas en el Comercio Global y Nacional) aprobada en 2000.

Cuando la Uniform Laws Commission creó la UETA, su intención era crear un marco legal que los estados pudieran utilizar para promulgar leyes similares relativas a las firmas electrónicas a todos los niveles. Estableció una base de normas mínimas para todo, desde la forma en que se pueden crear, transferir y finalmente conservar los registros, hasta los registros de auditoría necesarios a lo largo del proceso.

Antes de que se promulgaran estas leyes federales, solo existían leyes estatales y marcos heterogéneos sobre la legalidad de las firmas digitales y electrónicas. Esto complicaba cualquier tipo de esfuerzo de estandarización nacional para las organizaciones en los EE. UU.

Hasta la fecha, la UETA ha sido promulgada por 48 de los 50 estados de EE. UU. Nueva York e Illinois no han promulgado el marco directamente, pero tienen sus propias leyes que abordan los requisitos de firma de manera análoga.

Mientras que la UETA intentaba estandarizar los requisitos mínimos de las leyes estatales en materia de firmas electrónicas, la Ley ESIGN intentaba facilitar su adopción y aceptación. Esta ley garantizaba que las firmas electrónicas cualificadas pudieran utilizarse en casi cualquier situación en la que pudiera utilizarse una firma manuscrita. Esto incluye situaciones tan importantes como las pruebas en casos civiles o penales. Esta ley codificó esencialmente la validez de las firmas electrónicas y las estableció como declaraciones de identidad exigibles.

La legalidad de las firmas electrónicas y digitales en EE. UU. gira en torno a cuatro pilares principales:

  1. La intención - No es diferente a una firma manuscrita. Debe quedar claro que el firmante tiene la intención de estampar su nombre/identidad en el documento electrónico. En este caso, no se puede obligar a alguien a renunciar y considerarlo una firma legal.
  2. Consentimiento: cuando se firma un documento o contrato electrónico, cada una de las partes que lo firma debe consentir específicamente que se utilice una firma electrónica. Sin esto, el uso de firmas electrónicas no puede considerarse válido a menos que el firmante haya optado por ello en una fecha anterior y nunca haya retirado su consentimiento.
  3. Exactitud: el método específico utilizado para estampar la firma electrónica no solo debe mantener un registro, sino que también debe ser un registro demostrablemente exacto. Este registro también debe explicar completamente el método que se utilizó para crear y estampar la firma electrónica.
  4. Conservación de datos: el registro de una firma electrónica debe reproducirse con precisión y estar disponible para los archivos de cualquier parte con derecho a dichos datos. Esto deja un registro de auditoría y permite el acceso a cualquier registro necesario.

Unión Europea

La Unión Europea (UE) promulgó el reglamento de identificación electrónica, autenticación y servicios de confianza (eIDAS) en 2014 para regular las firmas electrónicas, los diversos procesos implicados y los organismos reguladores que se encargan de su aplicación. eIDAS ha creado normas mínimas para el uso de varias áreas, incluidas las firmas digitales, denominadas certificaciones de firma cualificadas en la legislación.

Las firmas digitales bajo eIDAS proporcionan un mayor grado de seguridad, y algunas tienen el mismo efecto legal que una firma manuscrita. El cumplimiento de los requisitos de eIDAS requiere un certificado cualificado almacenado en una de las diversas soluciones de firma cualificada que deben ser emitidas y gestionadas por un proveedor de servicios de confianza cualificado (QTSP) como Sectigo.

Los certificados cualificados de Sectigo permiten a las personas y organizaciones firmar o sellar documentos y cumplir con los requisitos de eIDAS.

Los requisitos de firma digital eIDAS incluyen:

  1. Identidad: el firmante está identificado y validado.
  2. Intención: registro de la comprensión del firmante del contenido y la intención de firmar.
  3. Fiabilidad: es fiable y seguro para el caso de uso específico. Esto puede significar:
  • Se detecta y registra la manipulación o modificación del contenido o la firma.
  • El proceso o la solución utilizados para crear la firma digital son gestionados únicamente por el firmante y están vinculados únicamente a su identidad.

Asegúrese de cumplir los requisitos legales de su país en materia de firmas digitales. Infórmese sobre las diferentes ofertas de certificados de firma de Sectigo, entre las que se incluyen: S/MIME de cifrado de correo electrónico, firma de código y firma de documentos. Explore también nuestros certificados eIDAS.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

Explicación de los 7 tipos de certificados SSL

Qué ocurre cuando caduca su certificado SSL y cómo renovarlo

¿Qué es un certificado autofirmado y cómo crearlo?