Seguretat de la signatura electrònica: Checklist a tenir en compte

L’ús de signatura electrònica és un pas que estan donant moltes empreses per entrar de ple en la transformació digital, però sempre preocupa la seguretat de la signatura electrònica. En aquest post t’expliquem quines precaucions has de tenir perquè no hi hagi bretxes de seguretat que suposin pèrdues de dades o ús fraudulent d’informació a l’hora de signar electrònicament.

Consideracions sobre la seguretat de la signatura electrònica

Hi ha diversos aspectes que determinen els aspectes sobre la seguretat de la signatura electrònica. Els veiem a continuació:

  • Autenticació del signant. L’autenticació es pot definir, seguint el Reglament eIDAS com el procés electrònic que possibilita la identificació electrònica d’una persona física o jurídica, o de l’origen i integritat de dades en format electrònic. Per tant, perquè la signatura electrònica sigui segura és fonamental verificar la identitat de la persona signant. La verificació de la identitat de la persona que signa es realitza de diverses formes:
    • Mitjançant biometria. Consisteix en la confrontació de trets físics del signant que són únics com les empremtes dactilars, l’iris o la veu. En aquest sentit, es podria utilitzar també una app al mòbil que permeti identificar la persona que signa mitjançant reconeixement facial o empremta. Hauràs vist, per exemple, en alguna ocasió que molts mòbils es desbloquegen amb l’empremta dactilar del propietari o cotxes que identifiquen la veu del seu conductor per seguir ordres.
    • Mitjançant codis d’un sol ús. Els codis d’un sol ús (One Time Password – OTP) s’envien al mòbil o al correu electrònic de la persona que signa, de manera que queda identificat.
    • Ús de preguntes i respostes. Una altra forma d’identificar el signant consisteix en l’ús de preguntes i respostes que només coneix aquesta persona, per exemple, dades personals com el nom del seu pare o una data assenyalada.
    • Càrrega de documents d’identitat. Finalment, la identitat de la persona que signa es pot verificar mitjançant la càrrega d’un document d’identitat (DNI, passaport o carnet de conduir) i la comparació de la foto amb la imatge en vídeo en temps real del signant.

Els mètodes anteriors es poden combinar, de manera que la seguretat de la signatura electrònica augmenti.

  • Traçabilitat i segellat de temps. Perquè una signatura electrònica sigui segura és fonamental que hi hagi una forma de verificar tot el procés de signatura i les dades que s’hagin recollit durant aquest procés. En el cas de la solució de signatura electrònica de Lleida.net s’elabora un document d’evidències digitals que recull totes les dades del procés de signatura: correus electrònics utilitzats, IP implicades, document signat, annexos, etc. Amb totes aquestes dades s’elabora un document d’evidències que es pot descarregar per l’usuari. A més, el document porta un segellat de temps que garanteix que no s’ha modificat posteriorment a la signatura.
  • Tipus de signatura. El Reglament eIDAS regula tres tipus de signatura electrònica que es diferencien pel nivell de seguretat que té: signatura electrònica simple, avançada i qualificada. En funció del nivell de seguretat que necessiti el document a signar, hauràs de triar una o altra.
  • Nivell de seguretat del proveïdor. El proveïdor de serveis de signatura electrònica ha d’aportar seguretat pel que fa a la custòdia de documents en el núvol i de la inexistència de bretxes de seguretat. En aquest sentit, el Reglament eIDAS estableix que un servei de confiança és un servei electrònic que es presta a canvi d’una remuneració i que consisteix, entre altres aspectes, en la creació, verificació i validació de signatures electròniques.

Per tal que un proveïdor de signatura electrònica sigui segur, cal que prengui precaucions com les següents:

  • Que hi hagi un sistema que permeti detectar atacs contra les dades emmagatzemades.
  • Que hi hagi una protecció enfront de malware.
  • Que els sistemes de seguretat de la signatura electrònica treballin sense interrupció.
  • Que es realitzi un sistema de xifrat de dades.
  • Que s’utilitzin sistemes d’autenticació de l’usuari múltiples.

¿Es pot falsificar una signatura electrònica?

Si s’apliquen els sistemes de seguretat que hem vist i són de qualitat, és gairebé impossible falsificar una signatura electrònica, ja que la persona que vulgui falsificar una signatura d’una altra persona electrònicament ha de tenir accés a moltes dades de la persona real que signa com el seu telèfon, el seu correu o informació rellevant de la seva vida privada, així com del seu aspecte físic.

D’altra banda, en el cas en què s’aporti el document signat electrònicament com a prova en un judici, pot ocórrer que l’altra part ho impugni i no reconegui la seva autenticitat. En aquest supòsit, s’haurà de sol·licitar una prova pericial cal·ligràfica per verificar que la signatura electrònica reuneix tots els requisits per considerar-se segura i que no ha estat manipulada des del moment de la signatura.

En definitiva, buscar un proveïdor de signatura electrònica segura requereix un esforç, ja que no n’hi ha prou amb comparar preus, sinó que cal verificar el nivell de seguretat que aporta el proveïdor i tenir clar com es protegiran les dades de cada signatura.

Feu un comentari