Comprender las firmas digitales

¿Qué son las firmas digitales?

Las firmas digitales son como “huellas digitales” electrónicas. En forma de mensaje codificado, la firma digital asocia de forma segura a un firmante con un documento en una transacción registrada. Las firmas digitales utilizan un formato estándar aceptado, denominado Infraestructura de clave pública (PKI) , para proporcionar los niveles más altos de seguridad y aceptación universal. Son una implementación de tecnología de firma específica de firma electrónica (eSignature).

¿Cuál es la diferencia entre una firma digital y una firma electrónica?

La amplia categoría de firmas electrónicas (eSignatures) abarca muchos tipos de firmas electrónicas. La categoría incluye firmas digitales, que son una implementación de tecnología específica de firmas electrónicas. Tanto las firmas digitales como otras soluciones de firma electrónica le permiten firmar documentos y autenticar al firmante. Sin embargo, existen diferencias en el propósito, la implementación técnica, el uso geográfico y la aceptación legal y cultural de las firmas digitales frente a otros tipos de firmas electrónicas.

En particular, el uso de la tecnología de firma digital para las firmas electrónicas varía significativamente entre los países que siguen leyes de firma electrónica abiertas y tecnológicamente neutrales, incluidos los Estados Unidos, el Reino Unido, Canadá y Australia, y aquellos que siguen modelos de firma electrónica por niveles que prefieren estándares definidos localmente. que se basan en tecnología de firma digital, incluidos muchos países de la Unión Europea, América del Sur y Asia. Además, algunas industrias también admiten estándares específicos que se basan en la tecnología de firma digital.

¿Cómo funcionan las firmas digitales?

Las firmas digitales, como las firmas escritas a mano, son únicas para cada firmante. Los proveedores de soluciones de firma digital, como DocuSign, siguen un protocolo específico, llamado PKI . PKI requiere que el proveedor utilice un algoritmo matemático para generar dos números largos, llamados claves. Una clave es pública y una clave es privada.

Cuando un firmante firma electrónicamente un documento, la firma se crea utilizando la clave privada del firmante, que el firmante siempre guarda de forma segura. El algoritmo matemático actúa como un cifrado, creando datos que coinciden con el documento firmado, llamado hash, y encriptando esos datos. Los datos cifrados resultantes son la firma digital. La firma también está marcada con la hora en que se firmó el documento. Si el documento cambia después de la firma, la firma digital queda invalidada.

Por ejemplo, Jane firma un acuerdo para vender un tiempo compartido con su clave privada. El comprador recibe el documento. El comprador que recibe el documento también recibe una copia de la clave pública de Jane. Si la clave pública no puede descifrar la firma (a través del cifrado a partir del cual se crearon las claves), significa que la firma no es de Jane o se ha cambiado desde que se firmó. Entonces, la firma se considera inválida.

Para proteger la integridad de la firma, PKI requiere que las claves se creen, realicen y guarden de manera segura y, a menudo, requiere los servicios de una Autoridad de Certificación (CA) confiable . Los proveedores de firmas digitales, como DocuSign, cumplen con los requisitos de PKI para una firma digital segura.

Preguntas frecuentes sobre la firma digital

¿Cómo creo una firma digital ?

Los proveedores de firmas electrónicas, como DocuSign, que ofrecen soluciones basadas en tecnología de firma digital, facilitan la firma digital de documentos. Proporcionan una interfaz para enviar y firmar documentos en línea y trabajan con las Autoridades de certificación correspondientes para proporcionar certificados digitales confiables.

Dependiendo de la Autoridad de Certificación que esté utilizando, es posible que deba proporcionar información específica. También puede haber restricciones y limitaciones sobre a quién envía los documentos para su firma y el orden en que los envía. La interfaz de DocuSign lo guía a través del proceso y garantiza que cumpla con todos estos requisitos. Cuando reciba un documento para firmar por correo electrónico, debe autenticarse según los requisitos de la Autoridad de Certificación y luego “firmar” el documento llenando un formulario en línea.

¿Qué es la infraestructura de clave pública (PKI)?

La infraestructura de clave pública (PKI) es un conjunto de requisitos que permiten (entre otras cosas) la creación de firmas digitales. A través de PKI, cada transacción de firma digital incluye un par de claves: una clave privada y una clave pública. La clave privada, como su nombre lo indica, no se comparte y solo la utiliza el firmante para firmar documentos electrónicamente. La clave pública está abiertamente disponible y es utilizada por quienes necesitan validar la firma electrónica del firmante. PKI impone requisitos adicionales, como la autoridad de certificación (CA), un certificado digital, software de inscripción de usuarios finales y herramientas para administrar, renovar y revocar claves y certificados.

¿Qué es una autoridad de certificación (CA)?

Las firmas digitales se basan en claves públicas y privadas. Esas claves deben estar protegidas para garantizar la seguridad y evitar la falsificación o el uso malintencionado. Cuando envía o firma un documento, necesita estar seguro de que los documentos y las claves se crean de forma segura y que utilizan claves válidas. Las CA, un tipo de proveedor de servicios de confianza, son organizaciones de terceros que han sido ampliamente aceptadas como confiables para garantizar la seguridad de las claves y que pueden proporcionar los certificados digitales necesarios. Tanto la entidad que envía el documento como el destinatario que lo firma deben aceptar utilizar una CA determinada.

DocuSign también es una CA cuando los firmantes firman con la firma digital DocuSign Express. Eso significa que siempre puede enviar un documento con una firma digital utilizando DocuSign como autoridad de certificación. Alternativamente, puede establecer de forma segura su propia CA utilizando DocuSign Signature Appliance y seguir accediendo a las completas funciones de los servicios en la nube de DocuSign para la gestión de transacciones. Algunas organizaciones o regiones dependen de otras CA destacadas, y la plataforma DocuSign también las admite. Estos incluyen OpenTrust, que se usa ampliamente en los países de la Unión Europea, y SAFE-BioPharma, que es una credencial de identidad que las organizaciones de ciencias de la vida pueden optar por usar.

¿Por qué debería utilizar una firma digital?

Muchas industrias y regiones geográficas han establecido estándares de firma electrónica que se basan en tecnología de firma digital, así como CA certificadas específicas, para documentos comerciales. Seguir estos estándares locales basados ​​en la tecnología PKI y trabajar con una autoridad certificadora confiable puede garantizar la aplicabilidad y aceptación de una solución de firma electrónica en cada mercado local. Al utilizar la metodología PKI, las firmas digitales utilizan una tecnología internacional, bien entendida y basada en estándares que también ayuda a prevenir la falsificación o cambios en el documento después de la firma.

¿Qué soluciones de firma digital ofrece DocuSign?

Las firmas basadas en estándares de DocuSign le permiten automatizar y administrar flujos de trabajo digitales completos utilizando las poderosas capacidades comerciales de DocuSign mientras cumple con los estándares de firma electrónica locales y de la industria, incluidos CFR Parte 11 y la regulación eIDAS de la UE. En la UE, DocuSign ofrece todos los tipos de firma definidos en eIDAS, incluidas las firmas electrónicas avanzadas de la UE (AdES) y las firmas electrónicas calificadas de la UE (QES).

¿Son las firmas electrónicas, basadas en tecnología de firma digital, legalmente exigibles?

Si. La UE aprobó la Directiva de la UE para Firmas Electrónicas en 1999, y los Estados Unidos aprobaron la Ley de Firmas Electrónicas en el Comercio Global y Nacional (ESIGN) en 2000. Ambas leyes hicieron contratos firmados electrónicamente y documentos legalmente vinculantes, como los contratos en papel. Desde entonces, la legalidad de las firmas electrónicas se ha mantenido muchas veces.

A estas alturas, la mayoría de los países han adoptado leyes y reglamentos inspirados en los Estados Unidos o la Unión Europea, con una preferencia en muchas regiones por el modelo de la UE de firmas electrónicas basadas en tecnología de firma digital administradas localmente. Además, muchas empresas han mejorado el cumplimiento de las regulaciones establecidas por sus industrias (por ejemplo, FDA 21 CFR Part 11 en la industria de las ciencias biológicas), lo que se ha logrado mediante el uso de tecnología de firma digital. Estas regulaciones específicas del país y de la industria están en continua evolución, un ejemplo clave es la regulación de los servicios de identificación electrónica y de confianza (eIDAS) que se adoptó recientemente en la Unión Europea.

¿Qué es un certificado digital?

Un certificado digital es un documento electrónico emitido por una autoridad certificadora (CA). Contiene la clave pública para una firma digital y especifica la identidad asociada con la clave, como el nombre de una organización. El certificado se utiliza para confirmar que la clave pública pertenece a la organización específica. La CA actúa como garante. Los certificados digitales deben ser emitidos por una autoridad confiable y solo son válidos por un tiempo específico. Son necesarios para crear una firma digital.