La aceptación de
Hay una serie de preguntas que nos tenemos que hacer y a las cuales debemos dar respuesta para considerar un mensaje de datos o documento, firmado electrónicamente, como válido:
- ¿Qué se Firmó?
- ¿Quiénes lo Firmaron?
- ¿Cuándo lo Firmaron?
El contestar cada una de estas preguntas involucra diferentes entidades, algoritmos, protocolos y elementos tecnológicos que detallaremos a continuación:
¿Qué se Firmó? : Tiene que ver con el contenido del mensaje de datos que será firmado electrónicamente, son el conjunto de bits que forman el mensaje. Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden al acto de firmarlo electrónicamente. Tomando en cuenta las características y la creación de
1) Que el Certificado Digital haya sido emitido por una Autoridad Certificadora confiable o aceptada por el receptor del mensaje
2) Que el Certificado Digital este en su período de validez
3) Que el Certificado Digital no este revocado
¿Cuando lo Firmaron? : Es sumamente importante poder ubicar con exactitud el momento en que se firmó el documento ya que esto ayuda a determinar si el certificado era válido al momento de la firma y si el contenido en su ámbito aplicativo tenía validez en ese momento. Para aclarar este punto, veamos dos ejemplos:
1) Si se recibe un documento firmado electrónicamente y al consultar el estatus del certificado del firmante, se encuentra que este está revocado, es necesario validar la fecha de revocación para determinar si el documento fue firmado antes de que el certificado fuera revocado o después de ser revocado. Si el documento se firmó después de revocado el certificado, entonces debe rechazarse.
2) Si se recibe por ejemplo una orden de compra firmada electrónicamente y todo el proceso de validación de firma electrónica y certificado de firmante son correctos, existe la posibilidad que esa orden de compra no sea valida por haberse recibido fuera de un límite de tiempo preestablecido por las partes, es decir, se pudo haber establecido la condición de que los precios cotizados eran válidos hasta el 1ero de Agosto del 2006, por lo que si se recibe la orden después de esta fecha, esta puede ser rechazada. Este tipo de ejemplo tiene mas impacto en subastas o concursos donde existe una fecha y hora límite para entregar una propuesta y donde es sumamente importante probar que esta llego antes de que la subasta o concurso cerrara la aceptación de propuestas, de lo contrario los participantes se pueden inconformar.
Se recomienda que para ubicar el momento en que ocurren ciertos eventos como la recepción de un documento firmado, se involucre a una Autoridad de Tiempo Confiable también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo.
Existen una serie de consideraciones que debemos tomar en cuenta en documentos electrónicos y que son necesarias para poder resolver en forma eficiente un proceso de aprobación de los mismos:
- Existen documentos que por su naturaleza requieren de múltiples firmas (ej. Contratos, Acuerdos de Confidencialidad, Oficios y Ordenes de Compra)
- En algunos documentos, es necesario contemplar la firma de los mismos como un proceso que requiere un orden, dado que en muchos casos, un firmante no firma el documento si no ve que la firma del revisor del documento está formando parte del mismo. O bien, por cuestiones de jerarquía y control internos, un Director no firma el documento si no ha sido firmado por un Gerente de área
- Algunos documentos requieren que todos los participantes firmen antes de considerarse válidos, en otros, es suficiente con la firma de un solo participante aún cuando el documento esté dirigido a un grupo (ej. Contratos de Adhesión), y en otros casos, se exige un mínimo de firmas de un grupo para considerarse válido
- Algunos documentos deben firmarse antes de una fecha y hora determinadas o pierden su validez como explicamos anteriormente (ej. Subastas, Ordenes de Compra, Contratos)
- En algunos casos, los firmantes están dispersos en diferentes geografías y con diversos usos horarios por lo que hay que ubicar los tiempos de firmado en un tiempo común para todos
- En un documento en papel, una vez que los firmantes han firmado, las firmas autógrafas se aprecian a un mismo nivel. Esta característica es muy importante conservarla en un documento electrónico, es decir, las firmas electrónicas deben estar a un mismo nivel, no deben estar firma sobre firma ya que esto obligaría a Autenticar el documento por capas empezando de la última hasta llegar a la primera lo cual además de ser impráctico, presenta la problemática de que cada firmante habría firmado algo distinto
Es necesario involucrar a diferentes entidades que aportan las evidencias necesarias en la firma de un acuerdo electrónico:- Autoridades Certificadoras o Prestadores de Servicios de Certificación: Entidades encargadas de emitir y administrar los certificados digitales que se expiden a los participantes de un acuerdo electrónico.
- Servidores de Estampillas de Tiempo (Oficialías de Partes): Entidades encargadas de emitir estampillas de tiempo que amparan que una firma fue recibida en una fecha y hora determinados
- Firmantes: Son los participantes en el acuerdo electrónico
Es prácticamente obligado utilizar estándares internacionales para poder interactuar con diferentes Autoridades Certificadoras y Oficialías de Partes y para usar una sintaxis estándar de los documentos electrónicos. Dentro de los estándares más utilizados se encuentran:
- X.509 para Certificados Digitales: Los Certificados son utilizados como elemento de autenticación y se les solicita a los participantes para poder acceder el aplicativo
- OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado. Las respuestas de las AC’s son firmadas electrónicamente y contienen: el No. de Serie del Certificado Digital sobre el cual se pregunta el estatus, la digestión de la llave pública de
- TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora. Estas estampillas son firmadas por
- PKCS (Public Key Cryptography Standards) #7: Estándar que define
Es necesario almacenar por cada documento electrónico los siguientes elementos:
1) El documento firmado (1..n firmas) bajo el estándar PKCS #7
2) Por cada firma, la respuesta OCSP de
En caso de una controversia, se pueden entregar estos tres elementos como evidencia para poder contestar a las preguntas planteadas en un inicio (¿Qué se firmo?, ¿Quiénes lo firmaron? Y ¿Cuándo lo firmaron?).
El uso de la firma electrónica avanzada en documentos electrónicos además de aspectos de seguridad, presenta una serie de beneficios dentro de los que destacan:
- Eliminación de gastos en papel
- Eliminación de gastos en toner o cartuchos para impresoras
- Eliminación de gastos de mensajería para traslado de documentos
- Eliminación de riesgos en el traslado de documentos confidenciales
- Pérdida
- Robo
- Apertura
- Alteraciones
- Maltratos
- Eliminación de espacio físico para almacenamiento de los documentos
- Disminución dramática en los tiempos de gestión de firmas de documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)
- Disminución dramática en tiempos de búsqueda de documentos
- Disminución del riesgo en documentos ya almacenados
No hay comentarios:
Publicar un comentario