Las ventajas de firmar digitalmente como ahorros en tiempo, dinero y otros recursos, la agilización de procesos, además de las presunciones y garantías legales que la firma autógrafa no tiene, han fomentado y expandido su uso para firmar contratos y otros documentos en las organizaciones.
Cuando una compañía decide integrar la firma electrónica en sus procesos tiene dos opciones: trabajar con un proveedor externo como Mifiel u optar por un desarrollo propio in-house. Escoger la segunda opción generalmente obedece a temas de privacidad de la información de los documentos, o responde a consideraciones de costos y posibles ahorros.
Aunque varias organizaciones están en posición de desarrollar un sistema de firma electrónica que se adecue a los requerimientos legales y técnicos, no es una decisión que deba tomarse a la ligera, ya que si se desarrolla o implementa mal puede traer riesgos a su operación.
Más allá de los peligros generales a los que todo proyecto tecnológico está expuesto relativos a seguridad y privacidad, los que nos ocupan son los referentes a demostrar la autoría de las firmas y la integridad de los contratos firmados.
Una implementación inadecuada podría generar problemas considerables a tu organización. ¿Imaginas que una corporación llegue a juicio con documentos firmados digitalmente que respalden una operación de millones o decenas de millones de pesos, y que por una mala implementación no estén debidamente preparados? Sería muy desafortunado, así de importante es lograr un desarrollo adecuado.
Entonces, si quieres implementar tu propio sistema de firma digital en tu organización, ¿que deberías considerar? A continuación conocerás los requisitos que debes cubrir dependiendo si trabajarás con firma electrónica simple o con firma electrónica avanzada.
¿Qué ventajas confiere la ley a la firma electrónica avanzada? Te platicamos en el webinar Entendiendo la Firma Electrónica Avanzada.
Aspectos a cubrir al implementar una solución interna de firma electrónica simple
Si decidiste trabajar con firma electrónica simple, las consideraciones deben ir más allá de funcionalidades y estándares de seguridad. Primero, para garantizar que el documento no se alteró después de firmarse y que se mantendrá así en el tiempo existen diversas opciones, pero la más adecuada es la constancia de conservación ya que por ley otorga la garantía de integridad.
Esta constancia debe cumplir con la NOM151, así que solo puede emitirla un Prestador de Servicios de Certificación (PSC) acreditado por la Secretaría de Economía para tal fin. Pero contar con ella no es una solución automática, tu implementación tecnológica debe cuidar la estructura de la información a la cual se le tramitará la constancia, asegurando a nivel técnico que estés obteniendo la constancia para la información que requieres. De lo contrario, la constancia podría cubrir información que no la requiere, o cubrir únicamente de manera parcial la información que requiere cobertura total.
El siguiente paso es dotar de presunción de atribución a las firmas. Para ello requieres dos elementos:
- Que cada firmante otorgue su consentimiento para firmar electrónicamente y considerar a dicha firma como un equivalente a su firma autógrafa, como indica el Código de Comercio.
- La generación e intercambio de claves secretas durante la firma, un proceso criptográfico.
Ahora bien, para asegurar la garantía de no repudio cuando se trabaja con firma simple, no existe en la legislación mexicana algo que permita contar con ella—como sí existe con la firma electrónica avanzada.
No obstante, la alternativa es contar con diversos elementos que permitan probar inequívocamente la autoría de las firmas, ligando al usuario que firmó con su persona jurídica al momento de ejecutar la firma (firmar en sí el contrato o documento).
Entre más elementos tengas para ligar la firma a la persona, estarás mejor preparado en caso de juicio, algo que el equipo litigante de tu empresa agradecerá. Estos pueden ser:
- Mensajes SMS con códigos de un solo uso.
- Códigos de aplicaciones OTP (Google Authenticator, Authy, etc.).
- Foto del firmante y mapeo 3D de su cara.
- Foto de la identificación oficial del firmante.
- Dirección IP.
- Geolocalización.
- Grabación de un mensaje de voz del firmante manifestando su voluntad.
- Grabación de video de la persona al momento de firmar.
- Realizar una videollamada con el usuario y grabarlo manifestando su voluntad.
- Dispositivo token/netkey.
- Huellas dactilares.
- Entre otros.
¿Cuántos elementos son recomendables? Entre más pruebas tengas, mejor plantado estarás en un juicio, sin embargo cada prueba extra que recaudes tiene el potencial de degradar la experiencia de uso para tus firmantes.
Consideraciones al implementar un servicio interno de firma electrónica avanzada
En cambio, si tu decisión es desarrollar e implementar una solución que trabaje con firma electrónica avanzada para poder tener garantía de no repudio en las firmas, la clave para evitar riesgos es cumplir con lo estipulado en el Artículo 97 del Código de Comercio, el cual indica los requisitos indispensables para una plataforma de firma avanzada.
El primero es trabajar exclusivamente con certificados de firma electrónica avanzada emitidos por Agencias Certificadoras (AC) autorizadas por el Banco de México para tal fin —entre las que se encuentra el Servicio de Administración Tributaria (SAT)—, o aquellos que emiten los PSC acreditados por la Secretaría de Economía para dicho propósito.
Al momento de firmar, tu servicio debe conectarse con el PSC o la AC correspondiente para corroborar la validez, vigencia y estatus de revocación del certificado de tu firmante. Si todo está bien, la firma procede, de lo contrario, debes rechazarla.
El segundo requisito es no subir en ningún momento la clave privada (*.key) ni la contraseña de la misma a tu servidor. Este es un punto crítico. Enviarlos a tu servidor y borrarlos de inmediato —sin importar las medidas de seguridad utilizadas— no es suficiente para cumplirlo. La ejecución de firma debe hacerse únicamente en el dispositivo del usuario. Entonces, ¿hay algo que pueda o deba subirse tus servidores? Solamente el certificado público (*.cer) y el resultado de firma (hash cifrado).
Por último, el tercer requisito es inherente a la tecnología de la firma electrónica avanzada, por lo que es algo que queda cubierto casi en automático al cumplir los requisitos anteriores.
Ahora bien, para conferirle al documento y sus firmas garantía de integridad en el tiempo, es indispensable que tenga una constancia de conservación que cumpla con la NOM-151. Al igual que en la constancia para firma electrónica simple, en firma electrónica avanzada debe cuidarse la estructura de la información para la cual será tramitada.
Implementar una solución de firma electrónica para tu organización no es trivial
En conclusión, desarrollar una solución propia de firma digital no es una tarea sencilla dadas las implicaciones en caso de implementar inadecuadamente o con errores. No debe verse como una decisión trivial.
Además de cuidar aspectos generales de seguridad, privacidad y funcionalidades, debes garantizar la forma de probar la integridad del documento firmado y la autoría de cada firma. Esto te permitirá tener mejores elementos en caso de juicio y evitarás poner en riesgo operaciones importantes de tu organización.
Respecto al tipo de firma electrónica al que quieras dar soporte, de ello dependerá qué presunciones legales puedas tener y qué elementos requerirás para asegurar integridad y atribución, y por ende las condiciones que deberás cumplir. Asimismo, siempre deberás estar atento a los cambios normativos o en servicios de validación para implementarlos a tiempo y no comprometer tus operaciones.
Si teniendo esta información ya tomaste la decisión de continuar y aventurarte a desarrollar tu propia plataforma de firma electrónica, los requisitos antes mencionados son los mínimos que deberías cubrir y nunca descuidar en tu implementación.
Por el contrario, si decides no desarrollar una implementación propia para así canalizar esos recursos a mejorar o expandir tu negocio y contratar un proveedor externo de firma electrónica, debes elegirlo cuidadosamente.
Mifiel ofrece un servicio confiable y de fácil integración que siempre está apegado a la regulación más reciente. Puedes comunicarte con nosotros por medio de chat oprimiendo el siguiente botón y conocer más sobre nuestra plataforma de firma electrónica que soporta ambos tipos de firma: avanzada y simple.
