Los servicios de confianza digital son un conjunto de soluciones que proporcionan seguridad e intercambio de información y documentos en formato electrónico. Entre ellas. firmas electrónicas reconocidas, precintos electrónicos cualificados y marcas de tiempo cualificadas. De conformidad con la ley, estas herramientas garantizan que los documentos integridad y autenticidadlo que significa que el contenido del documento no ha sido alterado y que se ha verificado la identidad de los firmantes. Gracias al Reglamento eIDAS Una firma electrónica tiene la fuerza jurídica equivalente a una firma manuscrita, lo que permite al uso de documentos electrónicos en pie de igualdad con los documentos en papel en todos los países de la UE.
Ejemplos servicios fiduciarios son la emisión de certificados cualificados de firma, los servicios de creación y verificación de firmas electrónicas, los servicios de sellado de tiempo o los servicios cualificados de firma electrónica. entrega electrónica. El creciente uso de estos servicios en las empresas y la administración se debe a las ventajas de ahorro de tiempo y dinero que suponen los documentos digitales. Documento electrónico con firma reconocida o firma electrónica puede sustituir al documento en papel en muchos procedimientos, siempre que su fiabilidad se mantenga en el tiempo. Por tanto, el reto clave pasa a ser el mantenimiento a largo plazo de la validez de dichas firmassobre todo en el contexto del archivo electrónico de documentos.
Una firma electrónica cualificada se basa en un certificado cualificado emitido por un proveedor de servicios de confianza certificado para un periodo de tiempo determinado - normalmente 1 año, 2 años o 3 años. Durante este periodo, el certificado es válido y se considera que cualquier documento firmado durante este periodo lleva el firma válida. Los sistemas de verificación pueden confirmar fácilmente la validez de una firma sólo durante la validez del certificado. Una vez que el certificado caduca, la situación se complica. el documento queda legalmente firmadoporque la firma era válida en el momento en que se estampó, pero probar este hecho años después puede ser difícilsi no se toman precauciones adicionales.
En la práctica, esto significa que si firmamos electrónicamente un contrato y luego el certificado de firma caducaráluego, años más tarde, las herramientas de verificación pueden indicar que la firma es "no válida" (por ejemplo, debido a un certificado no válido o a la falta de listas de revocación actualizadas). Una situación así le ocurrió al Sr. Jan, que firmó un contrato electrónico con una firma válida y guardó el documento en un archivo, pero olvidó renovar su certificado. Cuando, un año más tarde, hubo que litigar con el contratista, resultó difícil demostrar ante los tribunales que el contrato se había firmado en un momento en que el certificado de Jan era válido. En otras palabras, la falta de preparación del documento para su almacenamiento a largo plazo socavó su poder probatorio.
Este ejemplo muestra el principal reto: ¿cómo garantizar la validez a largo plazo de una firma electrónica? La solución es utilizar mecanismos de seguridad adicionales para los documentos firmados electrónicamente. El más importante de ellos es sello de tiempo cualificadoque confirma claramente la fecha y hora de la firma. Si el Sr. Jan hubiera estampado la hora en el contrato, el problema de establecer la fecha de la firma no se habría planteado en absoluto.
Sello de tiempo cualificado es un servicio que confirma la existencia del documento en un momento determinado adjuntando una firma de tiempo procedente de una fuente de tiempo de confianza. El proveedor de la marca de tiempo utiliza una fuente de tiempo independiente y sincronizada, lo que garantiza la objetividad de esta fecha. La colocación de una marca de tiempo en un archivo firmado permite al la fecha exacta de firma de un documento electrónicoincluso si el certificado de firma o sello cualificado pierde su validez posteriormente.
La marca de tiempo "congela" el estado del documento y la firma en el momento en que se aplicó. De este modo, cuando haya que verificar una firma muchos años después, podremos demostrar que la firma existía y era válida en el momento especificado. Esto es crucial para fuerza legal documentos electrónicos almacenados a largo plazo. En la práctica, una buena regla general es añadir un sello de tiempo directamente durante la firma del documento - entonces confirmamos que el documento se firmó dentro del periodo de validez del certificado. Si tiene previsto almacenar documentos electrónicos durante muchos años (p. ej. 5 años o más), incluso se hace necesario el uso de una marca de tiempo y otras actividades de mantenimiento.
Cabe destacar que sello de tiempo cualificado es ella misma servicio fiduciario - es emitida por un proveedor cualificado y, por tanto, goza de una presunción de corrección. Constituye la base del proceso de mantenimiento de la firma, que describimos a continuación.
Mantenimiento de la firma electrónica no es más que uso ampliado de marcas de tiempo en el ciclo de vida de las firmasdirigido a mantener la validez y el valor probatorio de la firma durante un largo periodo de tiempo. Por definición, es sellado de tiempo más avanzadoque confirma que el certificado reconocido era válido en el momento de la firma del documento electrónico. En otras palabras, el mantenimiento proporciona la prueba de que una firma se ha estampado dentro del periodo de validez de un certificado, aunque hayan pasado muchos años desde entonces. Este servicio es especialmente útil para archivar un gran número de ficheros almacenados durante mucho tiempo - Por ejemplo, en archivos corporativos u oficiales, donde los documentos deben conservar su validez durante 5, 10 o incluso 50 años.
Durante el mantenimiento de la firma electrónica adición cíclica y automática de marcas de tiempo a documentos ya firmados, a intervalos estrictamente definidos (por ejemplo, cada año). Cada marca de tiempo posterior vuelve a certificar el estado actual de la firma y el certificado, ampliando así el periodo durante el cual el documento puede verificarse de forma segura. Esto facilita enormemente el mantenimiento de archivos electrónicos de documentos cuyo la validez no puede impugnarse incluso después de años. En la práctica, el mantenimiento implica no sólo añadir etiquetas, sino también verificación de la situación de los certificados (comprobación de la invalidación, por ejemplo, mediante CRL o servicios OCSP), y almacenamiento seguro de documentos en repositorios de archivo. La combinación de estas medidas garantiza que la firma electrónica conserve su fiabilidad criptográfica y jurídica durante todo el periodo de archivo.
Es importante destacar que el mantenimiento profesional suele implicar el uso de las normas criptográficas más actualizadas. Cada marca de tiempo posterior se basa en algoritmos y claves actualmente seguros, que protege la firma de un futuro descifrado (violación de la seguridad) o de una violación de la integridad de los datos. Si incluso el algoritmo de firma original se debilitara con el tiempo (por ejemplo, surgieran métodos para descifrarlo), las subsiguientes marcas de tiempo utilizando algoritmos más recientes asegurarán el documento. Como resultado, los documentos firmados electrónicamente pueden seguir siendo válidos durante periodos muy largos, aunque los mecanismos criptográficos originales ya no sean seguros.
Resumenel mantenimiento de firmas cualificadas es una buena práctica de archivo, especialmente para documentos de gran importancia probatoria o jurídica para una empresa u oficina. Como señalan los expertos, el mantenimiento regular de las firmas - la Por ejemplo, añadiendo marcas de tiempo y utilizando otros mecanismos de seguridad. - es la clave para evitar problemas legales y garantizar la autenticidad de los documentos en el muchos años.
Estos "otros mecanismos" pueden incluir:
La validez a largo plazo de las firmas electrónicas es tan importante que se ha incluido en las normas técnicas internacionales. Las normas europeas (ETSI) definen formatos específicos para las firmas electrónicas diseñados para validación y archivo a largo plazo. Entre los más importantes se encuentran los perfiles XAdES-A y PAdES-LTV:
Cabe señalar que los perfiles mencionados (XAdES-A, PAdES-LTV) son oficjalnie dopuszczone przez regulacje eIDAS y apoyados por software de proveedores de servicios de confianza. Además de éstas, existen soluciones análogas para otros formatos, por ejemplo CAdES-A (perfil de firma archivado en formato CMS/PKCS#7) o contenedores ASiC vincular documentos con firmas. Todos comparten un objetivo común: mantener la firma electrónica verificable a lo largo del tiempo y los cambios tecnológicos. El uso del formato adecuado (XAdES, PAdES) depende del tipo de documento - por ejemplo, para PDF se preferirá PAdES, y para XML u otros datos, XAdES o CAdES. No obstante, cada una de estas normas, en su versión archivada, es una herramienta de mantenimiento de firmas a nivel técnico.
Validez a largo plazo de los documentos electrónicos es de gran importancia allí donde estos documentos sirven de pruebas jurídicas o contables. Las empresas y las instituciones públicas están obligadas a conservar determinados documentos (contratos, facturas, expedientes de personal, decisiones administrativas, etc.) durante muchos años. Si estos documentos están en formato electrónico, hay que asegurarse de en 5, 10 o 20 años todavía será posible verificar su firma y considerarlos como auténtico e integral. El mantenimiento cualificado de firmas es precisamente el mecanismo que lo hace posible.
La falta de un mantenimiento adecuado podría provocar lo siguiente tras un largo periodo de tiempo la firma electrónica dejará de ser verificable - Por ejemplo, el software mostrará un error o una advertencia de que la firma es insegura. Un documento así perdería prácticamente su valor probatorioaunque fuera plenamente válida en el momento de la firma. Desde una perspectiva jurídica y empresarial, se trata de un riesgo inaceptable. El mantenimiento regular de las firmas es la clave para evitar estos problemas. Garantiza que, incluso muchos años después de la firma, un documento electrónico conserva el mismo valor jurídicoque tenía poco después de firmar.
Por tanto, el mantenimiento de las firmas es importante para garantizar la continuidad jurídica de los documentos digitalizados. Garantiza que un archivo digital de una empresa o una oficina es tan fiable como un archivo tradicional en papel. También facilita el cumplimiento de los requisitos normativos y de auditoría: en caso de auditoría, podemos demostrar que los documentos electrónicos están debidamente protegidos y son verificables. En tiempos de transformación digital, cuando cada vez más procesos se trasladan al mundo online, servicios de confianza digital (incluidas las firmas cualificadas, los sellos y los sellos de tiempo) se están convirtiendo en la base de la confianza en los documentos. Sin embargo, sólo su mantenimiento y archivo adecuados garantiza que esta confianza no se pierda con el tiempo.
Resumiendo, validez a largo plazo de los documentos electrónicos no es sólo una cuestión de comodidad, sino sobre todo de seguridad jurídica. El uso del mantenimiento de firmas cualificadas garantiza que contratos electrónicos, decisiones y otros registros seguirán siendo pruebas irrefutables de la en el futuro. La inversión en mecanismos de archivo adecuados (marcas de tiempo, sistemas de preservación de firmas) se traduce en paz y seguridadque la digitalización de documentos no pone en peligro su validez sino que, al contrario, la refuerza con modernas tecnologías criptográficas.
El proceso para garantizar la validez a largo plazo de los documentos electrónicos puede describirse en varios pasos. A continuación se presenta un ejemplo típico proceso de archivo con mantenimiento de firmas cualificado:
Los pasos anteriores garantizan que el documento electrónico archivado no perderá su validez o fiabilidad. Muchas actividades (añadir etiquetas, comprobar certificados) están automatizadas y son invisibles para el usuario final: a menudo las lleva a cabo el sistemas de archivo específicos que ofrecen los proveedores de servicios de confianza. Por ejemplo, un proveedor puede ofrecer un servicio de mantenimiento de firmas "basado en la nube", en el que el usuario envía sus documentos a un archivo y el propio sistema se encarga de protegerlos periódicamente con sellos de tiempo.
Cabe señalar que, con arreglo a este procedimiento, incluso después de muchos años a partir de la firma del documento, podemos proporcionar un conjunto completo de pruebas de su autenticidad: la firma cualificada original, junto con una secuencia de sellos de tiempo consecutivos y certificados que demuestren su validez ininterrumpida. Este documento tendrá la misma validez jurídica que el original. De este modo, las organizaciones pueden digitalizar la documentación sin miedosabiendo que manteniendo una firma cualificada sus archivos electrónicos permanecerán seguro y de confianza durante muchos años.
Los servicios de confianza digital desempeñan un papel clave para garantizar que la circulación de documentos digitales sea fiable y duradero. Sin embargo, la propia firma electrónica reconocida es sólo el principio. la fuerza jurídica ha resistido el paso del tiempoes necesario implantar un proceso de mantenimiento de firmas. El mantenimiento de firmas cualificado, basado en marcas de tiempo i normas para la validación a largo plazo (XAdES-A, PAdES-LTV), permite archivar documentos electrónicos de forma segura sin temor a que caduquen. De este modo, las empresas y las autoridades pueden aprovechar todas las ventajas de la digitalización de documentos, combinando la comodidad de la firma electrónica con la seguridad de los documentos. la certeza de su durabilidad. En una era en la que el número de documentos electrónicos es cada vez mayor, esta atención al validez a largo plazo no es sólo una recomendación de buenas prácticas, sino realmente una necesidad para la continuidad y la seguridad de la información en un mundo digital.
