Riesgos de una mala implementación de firma digital

Desarrollar e implementar tu propia solución de firma digital para uso de tu organización y hacerlo mal, en lugar de contratar un servicio especializado de firma electrónica, puede derivar en imposibilidad de atribuir las firmas y de garantizar la integridad de los contratos.

Las ventajas de firmar digitalmente como ahorros en tiempo, dinero y otros recursos, la agilización de procesos, además de las presunciones legales de atribución y de integridad que se tienen cuando se usa firma electrónica avanzada, han fomentado y expandido su uso para firmar contratos y otros documentos en las organizaciones.

Cuando una compañía decide integrar la firma electrónica avanzada en sus procesos tiene dos opciones: trabajar con un proveedor externo como Mifiel u optar por un desarrollo propio in-house. Escoger la segunda opción generalmente obedece a temas de privacidad de la información de los documentos, o responde a consideraciones de costos y posibles ahorros.

Aunque varias organizaciones están en posición de desarrollar un sistema de firma electrónica avanzada que se adecúe a los requerimientos legales y técnicos, no es una decisión que deba tomarse a la ligera, ya que si se desarrolla o implementa mal puede traer riesgos a su operación.

Más allá de los peligros generales a los que todo proyecto tecnológico está expuesto relativos a seguridad y privacidad, los que nos ocupan son los referentes a demostrar la autoría de las firmas y la integridad de los contratos firmados.

Una implementación inadecuada podría generar problemas considerables a tu organización. ¿Imaginas que una corporación llegue a juicio con documentos firmados digitalmente que respalden una operación de millones o decenas de millones de pesos, y que por una mala implementación no estén debidamente preparados? Sería muy desafortunado, así de importante es lograr un desarrollo adecuado.

Entonces, si quieres implementar tu propio sistema de firma digital en tu organización, ¿que deberías considerar? A continuación conocerás los requisitos que debes cubrir dependiendo si trabajarás con firma electrónica simple o con firma electrónica avanzada.

Aspectos a cubrir al implementar una solución interna de firma electrónica simple

Si decidiste trabajar con firma electrónica simple, las consideraciones deben ir más allá de funcionalidades y estándares de seguridad. Primero, para garantizar que el documento no se alteró después de firmarse existen diversas opciones, pero la más adecuada es la constancia de conservación ya que por ley otorga la presunción de integridad.

Esta constancia debe cumplir con la NOM151, así que solo puede emitirla un Prestador de Servicios de Certificación (PSC) acreditado por la Secretaría de Economía para tal fin. Pero contar con ella no es una solución automática, tu implementación tecnológica debe cuidar la estructura de la información a la cual se le tramitará la constancia, asegurando a nivel técnico que estés obteniendo la constancia para la información que requieres. De lo contrario, la constancia podría cubrir información que no la requiere, o cubrir únicamente de manera parcial la información que requiere cobertura total.

Ahora bien, para asegurar la atribución cuando se trabaja con firma simple, no existe en la legislación mexicana algo que permita contar con dicha presunción—como sí existe con la firma electrónica avanzada.

No obstante, la alternativa es contar con diversos elementos que permitan probar la autoría de las firmas, ligando al usuario que firmó con su persona jurídica tanto al momento de registrarse en tu plataforma, como al momento de ejecutar la firma (firmar en sí el contrato o documento).

Entre más elementos tengas para atribuir la firma a la persona, estarás mejor preparado en caso de juicio, algo que el equipo litigante de tu empresa agradecerá. Estos pueden ser:

  • Mensajes SMS con códigos de un solo uso.
  • Aplicaciones OTP (Google Authenticator, Authy, etc.).
  • Dirección IP.
  • Geolocalización.
  • Grabación de un mensaje de voz del firmante manifestando su voluntad.
  • Grabación de video de la persona al momento de firmar.
  • Realizar una videollamada con el usuario y grabarlo manifestando su voluntad.
  • Dispositivo token/netkey.
  • Huellas dactilares.
  • Entre otros.

¿Cuántos elementos son recomendables? Entre más pruebas tengas, mejor plantado estarás en un juicio, sin embargo cada prueba extra que recaudes tiene el potencial de degradar la experiencia de uso para tus firmantes.

Consideraciones al implementar un servicio interno de firma electrónica avanzada

En cambio, si tu decisión es desarrollar e implementar una solución que al igual que Mifiel trabaje con firma electrónica avanzada para poder tener ambas presunciones legales, la clave para evitar riesgos es cumplir con lo estipulado en el Artículo 97 del Código de Comercio, el cual indica los requisitos indispensables para una plataforma de firma avanzada.

El primero es trabajar exclusivamente con certificados de firma electrónica avanzada emitidos por Agencias Certificadoras (AC) autorizadas por el Banco de México para tal fin —entre las que se encuentra el Servicio de Administración Tributaria (SAT)—, o aquellos que emiten los PSC acreditados por la Secretaría de Economía para dicho propósito.

Al momento de firmar, tu servicio debe conectarse con el PSC o la AC correspondiente para corroborar la validez, vigencia y estatus de revocación del certificado de tu firmante. Si todo está bien, la firma procede, de lo contrario, debes rechazarla.

El segundo requisito es no subir en ningún momento la clave privada (*.key) ni la contraseña de la misma a tu servidor. Este es un punto crítico. Enviarlos a tu servidor y borrarlos de inmediato —sin importar las medidas de seguridad utilizadas— no es suficiente para cumplirlo. La ejecución de firma debe hacerse únicamente en el dispositivo del usuario. Entonces, ¿hay algo que pueda o deba subirse tus servidores? Solamente el certificado público (*.cer) y el resultado de firma (hash cifrado).

Por último, el tercer requisito es que todos tus contratos firmados tengan una constancia de conservación que cumpla con la NOM-151. Al igual que en la constancia para firma electrónica simple, en firma electrónica avanzada debe cuidarse la estructura de la información para la cual será tramitada.

Implementar una solución de firma electrónica para tu organización no es trivial

En conclusión, desarrollar una solución propia de firma digital no es una tarea sencilla dadas las implicaciones en caso de implementar inadecuadamente o con errores. No debe verse como una decisión trivial.

Además de cuidar aspectos generales de seguridad, privacidad y funcionalidades, debes garantizar la forma de probar la integridad del documento firmado y la autoría de cada firma. Esto te permitirá tener mejores elementos en caso de juicio y evitarás poner en riesgo operaciones importantes de tu organización.

Respecto al tipo de firma electrónica al que quieras dar soporte, de ello dependerá qué presunciones legales puedas tener y qué elementos requerirás para asegurar integridad y atribución, y por ende las condiciones que deberás cumplir. Asimismo, siempre deberás estar atento a los cambios normativos o en servicios de validación para implementarlos a tiempo y no comprometer tus operaciones.

Si teniendo esta información ya tomaste la decisión de continuar y aventurarte a desarrollar tu propia plataforma de firma electrónica, los requisitos antes mencionados son los mínimos que deberías cubrir y nunca descuidar en tu implementación.

Por el contrario, si decides no desarrollar una implementación propia para así canalizar esos recursos a mejorar o expandir tu negocio y contratar un proveedor externo de firma electrónica, debes elegirlo cuidadosamente.

Mifiel ofrece un servicio confiable y de fácil integración que siempre está apegado a la regulación más reciente. Puedes comunicarte con nosotros por medio de chat, correo o teléfono y conocer más sobre nuestra plataforma de firma electrónica avanzada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Quizá también te interese