¿Todos los sistemas de firma biométrica son iguales?

No todo vale en la firma biométrica

Nuestro servicio de firma biométrica combina lo mejor de dos mundos: la seguridad de los servicios de certificación digital y la biometría con la sencillez de la firma manuscrita.

Desde el punto de vista legal, frente a otras soluciones, es muy importante saber que ViDSigner opera bajo la figura jurídica de Prestador de Servicios de Firma que aporta al cliente Seguridad jurídica, Neutralidad y Responsabilidad, y al mismo tiempo de muy Fácil integración y multicanalidad y no disruptivo

Para dotar a los documentos de todas las evidencias legales necesarias, el proceso de captura de firma  emplea elementos de gran valor como obtención de elementos biométricos de la firma codificados según estándar ISO, certificados digitales de un solo uso y sellos de tiempo por cada firma, cifrado de los datos biométricos con claves custodiadas en sede notarial, … todo ello se graba en formato longevo en un pdf visualmente comprensible.

El documento resultante es autocontendio, independiente de la plataforma, y puede ser distribuido muy fácilmente, facilitando al interesado disponer de su documento con todas las firmas pertinentes incluidas en formato legible y validado, como cuestión de transparencia y confianza.

La fortaleza de una firma biométrica como prueba en un juicio depende de diversos factores. A continuación los elementos que hacen que una firma digitalizada realizada con ViDSigner sea una prueba robusta.

Dispositivos

No todos los dispositivos ofrecen las mismas garantías

Los dispositivos empleados deben cumplir con unas premisas obligatorias de captura de elementos biométricos necesarios para la formación de evidencias (velocidad de traza, presión, …). No todos los dispositivos proporcionan información de presión, siendo este dato fundamental para hacer una valoración caligráfica fiable.

Es importante además que el documento pueda ser visualizado íntegramente y en unas condiciones óptimas en el dispositivo antes de ser firmado.

En Validated ID hemos hecho una apuesta firme por el empleo únicamente de tablets con stylus con capacidad de recoger presión (tipo Galaxy NoteMS Surface o iPad Pro). En ViDSigner no firmamos en dispositivos sin estas características básicas, ni firmamos con el dedo, es una limitación en beneficio de la calidad y la seguridad jurídica de la firma biométrica.

Consulta la lista de dispositivos admitidos

Ver

La biometría

El uso de estándares y la seguridad de los datos biométricos son elementos imprescindibles

La biometría es el cuerpo central del sistema, como hemos comentado anteriormente se trata de registrar determinada información biométrica (velocidad, inclinación, presión, …) que permita a un perito calígrafo experto determinar la autoría de la firma digitalizada.

Evidentemente estos datos biométricos han de ser de calidad, remitiéndonos aquí nuevamente al hardware empleado, pero hay un aspecto importante a tener en cuenta: el uso de estándares ISO tanto para la recogida de los datos biométricos necesarios como para su codificación. ViDSigner recoge los datos recomendados y los codifica según la ISO/IEC 19794-7 y la ISO/IEC 29109-7:2011, lo que garantiza su valoración pericial futura, con independencia de la evolución tecnológica. El uso de formatos propietarios dificulta mucho esta labor de análisis y no garantiza su continuidad.

ViDSigner dispone, además de una herramienta de análisis y comparación de firmas digitalizadas para facilitar la labor pericial.

 

Criptografía

Cifrado robusto de datos biométricos y firmas longevas PAdES

Una vez capturados y formateados hay que manejar de forma confidencial los datos biométricos obtenidos y vincularlos con el documento a firmar. Estas dos garantías (vinculación única con el documento y confidencialidad) son básicas para poder demostrar de forma fiable que los datos biométricos no han podido ser manipulados ni reutilizados, por lo que el cifrado de estos datos es clave.

ViDSigner cifra los datos biométricos y los incrusta en el documento, empleando para ello una clave pública cuya contraparte (clave privada) se encuentra convenientemente custodiada en sede notarial, lo que garantiza, por un lado, que no se puede poner ni siquiera en duda a Validated ID como prestador del servicio respecto a la manipulación de los datos, y por otro que, en caso de desaparición de Validated ID, el interesado va a poder seguir recuperando la información en caso de litigio.

Por otro lado y para garantizar la integridad del documento se emplean certificados digitales para la firma electrónica del documento con las siguientes características únicas:

¿sabías qué …

… el depósito de las claves de descifrado de datos biométricos en diferentes notarios garantiza que esta información sensible únicamente podrá ser descifrada ante requerimiento judicial y que estará accesible en el tiempo al formar parte del protocolo notarial?

Certificados de un solo uso

De forma genérica se emplean certificados de un solo uso en lugar de un único certificado centralizado en el sistema. Esto significa que para cada firmante, para cada firma, se emite un único certificado digital a nombre del firmante, reduciendo así exponencialmente los problemas de seguridad derivados de la ruptura de una clave de firma y además permite identificar al firmante de forma más fiel.

Sello de tiempo

ViDSigner solicita un sello de tiempo para cada firma digitalizada, garantizando de este modo el momento en el que esta fue realizada.

Documentos mixtos

ViDSigner permite crear documentos mixtos, en los que algunas firmas se realizan de forma manuscrita con firma digitalizada y otras con firma electrónica tradicional (con el DNIe, por ejemplo).

Confianza

Los certificados digitales son emitidos por un Prestador de Servicios de Certificación líder en el mercado español como es Firmaprofesional, lo que garantiza no sólo la calidad del proceso sino además la confianza heredada por el software de validación de firmas (Acrobat Reader).

Firma longeva (LTV)

Las firmas de ViDSigner se codifican según el formato estándar de firma longeva (LTV) de Acrobat, lo que garantiza su validación a lo largo del tiempo.

Fácil validación

Las firmas digitalizadas pueden ser validadas desde cualquier Acroba Reader.

Evidencias de contexto

Algunos elementos de contexto como la identificación del dispositivo o el momento exacto de la firma complementan la evidencia

La preparación de la prueba siguiendo las pautas anteriores ya supone por sí misma una prueba bastante robusta, dada la cantidad y calidad de evidencias recogidas y adecuadamente tratadas, pero además, ViDSigner recoge el momento exacto en el que se realizó la firma digitalizada y el dispositivo desde donde se realizó, pudiendo añadirse adicionalmente y de forma complementaria otras evidencias como la información de geolocalización, evidencias biométricas adicionales (oculares, dactilares, …) o sistemas de captura y validación de documentos físico oficiales (DNI, pasaporte, …).

Estas evidencias adicionales son las que denominamos evidencias de contexto y contribuyen a afianzar la prueba obtenida

El servicio

La tecnología por sí misma y de forma aislada no garantiza la integridad y autenticidad del documento firmado, es necesario procesar y asegurar las evidencias capturadas.

ViDSigner no es un producto que se instala en casa del cliente y nos desentendemos del proceso. ViDSigner es un servicio, lo cual, además de permitir una simplificación en el proceso de integración y una escalabilidad absoluta nos permite garantizar como prestadores de servicios de confianza que el proceso se ha ejecutado perfectamente y que el documento firmado es efectivamente el que el firmante ha visualizado.

Esta garantía de lo que se ve es lo que se firma o What You Sign Is What You Sign (WYSIWYS) es tan importante como descuidada por la mayoría de los sistemas de firma digitalizada y puede echar al traste todo el (buen) trabajo en la recogida de firmas sólo porque no es posible garantizar que la firma que se procesó es la que el firmante creyó ver o peor aún, nunca vio. Un WYSIWYS adecuado se produce por la combinación de hardware, software y servicio.

La utilización de un prestador de servicios de firma permite, además, garantizar la independencia en el proceso al ser gestionada por una parte no interesada.

Adicionalmente, ViDSigner utiliza para el cifrado de la información claves generadas y custodiadas notarialmente. El notario dispone de todos los elementos necesarios para descifrar las evidencias asociadas al documento en el caso de que se produzca un requerimiento judicial en el marco de un litigio.

Resumiendo ...

Todas las soluciones de firma biométrica tienen validez jurídica pero no todas ofrecen las mismas garantías jurídicas

No es lo mismo firmar con un dedo que con un lápiz que recoja datos biométricos, garantizar la integridad y confidencialidad de los datos biométricos que no hacerlo y un largo etcétera. Cuanto mejor sea la calidad de la prueba y haya más evidencias de que no se ha podido romper la cadena de custodia más garantías jurídicas obtenemos.

ViDSigner no es simple software para tabletas de firma es una solución completa y centralizada de firma biométrica, que actúa como garante de que el proceso de recogida de firmas se realiza correctamente.

ViDSigner es un servicio ideal para la firma de documentos relevantes desde el punto de vista jurídico que incorpora una gran cantidad de elementos diferenciadores:

Compromiso

Prestación únicamente en modo servicio con altos niveles de compromiso.

Wysiwys

Garantía de WYSIWYS (lo que ves es lo que firmas)

PAdES

Formatos de firma longeva (PAdES)

Compatible

Sistema compatible e híbrido con firma electrónica “tradicional” basada por ejemplo en el DNIe

Confianza

Participación de ViD como tercero de confianza.

Certificados de un sólo uso

Emisión de certificados de un sólo uso en cada firma emitidos por un prestador de reconocido prestigio (Firmaprofesional) para cada firma biométrica

ISO

Utilización de estándares ISO tanto para la composición de la información biométrica como de las firmas

Confidencialidad

Participación de notario en el cifrado de información por temas de confidencialidad.

Sello de tiempo

Utilización de sellos de tiempo en cada firma.

Integración

Integración con elementos adicionales de formación de evidencias (ej. sistemas de validación de dni y documentos oficiales)