TIPOS DE FIRMA ELECTRONICA

Ante la avalancha que supone la transformación digital de la sociedad, vamos a intentar aportar un poco de claridad ante la variedad de firmas electrónicas.

La firma digital es una transformación matemática de un documento realizado mediante una operación de cifrado asimétrico con clave privada de una persona, reconocida como firmante.

Por otro lado, la firma electrónica es un concepto legal, que da cobertura al uso de cualquier tecnología que permita obtener las mismas funciones, con técnicas electrónicas y telemáticas, que la firma de documentos en soporte papel.

PRINCIPIOS DE LA FIRMA ELECTRONICA

La firma electrónica se rige por unos principios básicos que son:

  1. Autenticación de una persona: proceso de identificación previo que permite verificar que el solicitante coincide con el firmante
  2. Autenticación de datos: proceso de verificación del origen de los datos
  3. Declaración de conocimiento: proceso por el que el solicitante declara conocimiento de la firma electrónica.
  4. Declaración de voluntad: proceso por el que el firmante valida la solicitud de la firma electrónica

CLASIFICACIÓN

La Ley 59/2003 establece la clasificación básica para las firmas digitales:

  • Firma electrónica ordinaria: permite autenticar la entidad o persona que hace uso
  • Firma electrónica avanzada: permite detectar cambios y el firmante mantiene el control exclusivo.
  • Firma electrónica reconocida: permite proteger la integridad de documentos, autenticar el autor y se le pueden imputar al autor.

NIVELES

Según establece el Esquema Nacional de Seguridad (ENS) en el Real Decreto 3/2010, de 8 de enero, por el que se regula en el ámbito de la Administración Electrónica, define el objeto y el establecimiento de los principios y requisitos de una política de seguridad protección de la información.

Por otra parte, el RD en su anexo II punto 5.7.4 es muy específico sobre los tipos de firma que deben aplicarse en función del nivel de la información que debe protegerse.

 

Nivel BAJO

Se puede emplear cualquier medio de firma electrónica de los previstos en la legislación vigente.

 

Nivel MEDIO

Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:

Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

Se emplearán, preferentemente, certificados reconocidos.

Se emplearán dispositivos seguros de firma.

Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.

Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.

El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información.

La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información.

 

Nivel ALTO

Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:

Se usarán certificados reconocidos.

Se usarán dispositivos seguros de creación de firma.

Se emplearán, preferentemente, productos certificados.

La norma CCN-STIC-807 del Centro Criptológico Nacional establece cuáles son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de la información.