¿Son seguras las firmas electrónicas?
Explicaremos por qué una firma electrónica es más segura que una firma manuscrita, cómo funcionan y las características que ayudan a mantenerlas seguras.
¡Claro que sí! Las firmas electrónicas son seguras. En esta publicación, explicaremos por qué una firma electrónica es más segura que una firma manuscrita, cómo funcionan y las características que ayudan a mantenerlas seguras.
¿Por qué una firma electrónica es más segura que una firma manuscrita?
Una pregunta común que tienen las personas es "¿Se puede falsificar, utilizar incorrectamente o copiar mi firma digital?" La realidad es que las firmas manuscritas se pueden falsificar y alterar fácilmente, mientras que las firmas electrónicas tienen muchas capas de seguridad y autenticación integradas, junto con una prueba de transacción admisible por el tribunal.
Registro electrónico
A diferencia de las firmas manuscritas, las firmas electrónicas tienen un registro electrónico que sirve como pista de auditoría y prueba de la transacción. La pista de auditoría incluye el historial de las acciones tomadas con el documento, incluidos los detalles de cuándo se abrió, se vio y se firmó. Dependiendo del proveedor, y si el firmante aceptó permitir el acceso a su ubicación, el registro también mostrará la geolocalización donde se firmó. Si uno de los firmantes disputa su firma, o si hay alguna pregunta sobre la transacción, esta pista de auditoría está disponible para todos los participantes en la transacción y puede resolver tales objeciones.
Certificados de finalización
Los modelos más detallados pueden incluir informaciones específicas sobre cada firmante en el documento, incluida la divulgación para el consumidor indicando que el firmante acordó utilizar la firma electrónica, la imagen de la firma, las marcas de tiempo de los eventos clave y la dirección IP del firmante y otra información de identificación.
Sello a prueba de manipulaciones
Una vez que se completa el proceso de firma, todos los documentos se sellan digitalmente mediante la infraestructura de clave pública (PKI), una tecnología estándar de la industria. Este sello indica que la firma electrónica es válida y que el documento no ha sido manipulado o alterado desde la fecha de la firma.
Cómo funcionan las firmas electrónicas
El proceso de firma varía según el proveedor de firma electrónica que utilice, pero los flujos de trabajo subyacentes de las soluciones más sólidas son similares.
Envío:
Carga el documento que necesita firma, como un documento de Word o un archivo PDF.
Etiqueta las secciones que requieren iniciales, firmas, números de teléfono, etc.
Selecciona los métodos de autenticación del firmante que desea usar.
Envía el archivo a través del servicio a su correo electrónico del destinatario designado.
Firma:
Recibe una notificación por correo electrónico para revisar y firmar un documento.
Verifica tu identidad antes de firmar (si el remitente selecciona esa opción).
Lee los documentos de divulgación y acepta utilizar el proceso electrónico
Revisa el documento y completa los campos necesarios, incluido adjuntar cualquier documento requerido.
Adopta el estilo de firma que deseas usar (la primera vez que use un servicio).
Firma el documento.
Una vez que todos los destinatarios hayan firmado un documento, se les notificará y el documento se almacenará electrónicamente donde se puede ver y descargar. Todo esto se realiza de forma segura gracias a las funciones de seguridad integradas y los procesos que siguen los proveedores de firma electrónica.
Métodos para verificar la identidad del firmante
La tecnología de firma electrónica ofrece múltiples opciones para verificar la identidad de un firmante antes de que pueda acceder al documento y firmar, que incluyen:
Dirección de correo electrónico: los firmantes ingresan su propia dirección de correo electrónico, que se compara con la dirección de correo electrónico utilizada en la invitación.
Código de acceso: el remitente proporciona un código de acceso único que los firmantes deben ingresar.
Llamada telefónica: los firmantes deben llamar a un número de teléfono e ingresar su nombre y código de acceso.
SMS: los firmantes deben ingresar una contraseña única enviada por mensaje de texto SMS.
Informaciones: se les hacen preguntas a los firmantes, como direcciones pasadas o vehículos que poseen.
Verificación de identidad: los firmantes son verificados usando sus identificaciones con foto emitidas por el gobierno
Hay situaciones en las que se necesitan niveles adicionales de validez de firma, como el uso de un certificado digital. En este caso, es posible agregar niveles adicionales de autenticación que cumplen con requisitos de cada región.
En México, en dichos casos, se le requieren a los firmantes que tengan certificados de un de los Prestadores de Servicios de Certificación acreditados por la Secretaría de Economía de México. Sus certificados pueden ser agregados a una plataforma de firma electrónica.
Seguridad en primer lugar para las firmas electrónicas
El nivel de seguridad de las firmas electrónicas varía según el proveedor, por lo que es importante elegir un proveedor de firmas electrónicas que tenga una seguridad y protección sólidas integradas en cada área de su negocio. Esas medidas de seguridad deben incluir:
Seguridad física: protege los sistemas y edificios donde residen los sistemas.
Seguridad de la plataforma: protege los datos y procesos que se almacenan en los sistemas.
Certificaciones/procesos de seguridad: ayudan a garantizar que los empleados y socios del proveedor sigan las mejores prácticas de seguridad y privacidad.
Seguridad física
Centros de datos geográficamente dispersos con sistemas activos y redundantes y redes físicas y lógicamente separadas.
Cortafuegos de calidad comercial y enrutadores fronterizos para detectar ataques basados en IP y de denegación de servicio.
Protección contra malware.
Replicación de datos segura, casi en tiempo real.
Seguridad ininterrumpida, en tiempo real.
Control de acceso físico estricto con videovigilancia monitoreada.
Seguridad de la plataforma
Cifrado de datos en tránsito y en reposo con conexiones TLS y cifrado AES de 256 bits
Acceso y transferencia de datos a través de HTTPS
Uso de Security Assertion Markup Language (SAML), brindando a los usuarios lo último capacidades para autenticación y autorización basadas en web
PKI a prueba de manipulaciones
Certificado de finalización
Verificación de firma y captura inalterable de acciones de firma y estado de finalización
Múltiples opciones de autenticación para firmantes
Certificaciones / procesos de seguridad
Cumplimiento de las leyes, regulaciones y estándares industriales aplicables, que rigen las transacciones digitales y las firmas electrónicas, incluyendo:
ISO 27001: 2013: el nivel más alto de garantía de seguridad de la información global disponible en la actualidad.
SOC 1 Tipo 2 y SOC 2 Tipo 2: ambos informes evalúan los controles internos, las políticas y los procedimientos, y el informe SOC 2 se centra en aquellos directamente relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad en una organización de servicios.
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): garantiza el manejo seguro de la información del titular de la tarjeta de crédito.
Programa Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR): comprende principios clave de transparencia, auditoría rigurosa y armonización de normas.
Capacidad de cumplimiento con regulaciones de la industria especializadas, como HIPAA, 21 CFR Parte 11 y reglas específicas de la FTC, FHA, IRS y FINRA
Procesos de gestión de seguridad y prácticas de desarrollo, incluida la continuidad del negocio y la planificación de recuperación de desastres, capacitación de empleados, prácticas de codificación segura, revisiones formales de códigos y auditorías periódicas de seguridad basadas en códigos.
Entonces, para responder a la pregunta, ¿son seguras las firmas electrónicas? Sí lo son. Para obtener más información sobre la seguridad y protección de Docusign eSignature específicamente, visite el Centro de confianza de Docusign.
Publicaciones relacionadas