¿Qué necesitamos para generar una firma electrónica?

Con el avance de la e-administración y de la sociedad de la información en el mundo de la empresa, la digitalización de las comunicaciones es ya un hecho. En ambos casos esta digitalización conlleva una mejora en la eficiencia, pero además, una de las ventajas primordiales en esta modernización, sin duda, ha sido evitar el fraude y falsificación de documentos,  y es aquí donde entran en juego los certificados.

Generación de certificados

Los certificados son un conjunto de datos, que permiten firmar digitalmente una operación, unos datos, o cualquier cosa que exista en el mundo digital. Esta firma consiste básicamente en usar una formula matemática cuyo resultado (la firma electrónica) podrá ser verificado por cualquier persona que tenga acceso a la firma y a los datos firmados.

Sin embargo, cualquier ordenador es capaz de generar tantos certificados como crea oportuno, por lo que se necesita de una tercera entidad que de fe que tu eres el poseedor del certificado que estas usando. Esa tercera parte son las autoridades certificadoras, o CA que hacen las veces de notario en el mundo digital.

Siguiendo las analogías con los notarios, en el mundo analógico, las CA son quienes dan fe de los poderes que tiene una persona para realizar determinadas operaciones, en representación de la empresa. Para ello, lo que hacen Las CA es extender certificados a esa persona concreta.

Los certificados de persona jurídica, además del nombre de la empresa, llevarán el nombre de la persona física a quien se le concede. No hay más controles sobre que documentos en concreto puede firmar una persona u otra con su certificado de la empresa.

Problemas de seguridad

Aunque, quizás sería más interesante comparar los certificados con llaves, ya que si pierdes una llave, cualquiera que la encuentre puede usarla, salvo que cambies la cerradura. Si un certificado queda comprometido, hay que avisar a la CA para que lo revoque, ya que si no, cualquiera con acceso a este puede hacerse pasar por la persona a la que se expidió el certificado. Por eso es muy importante usar las contraseñas.

En caso de que el ordenador con el certificado haya sido infectado, hay que comprobar si el virus era un “Key logger”, deberemos dar por sentado que el certificado esta comprometido y revocarlo pidiendo uno nuevo.

Ahora, llegamos a la pescadilla que se muerde la cola, ¿como sabemos que la CA no ha sido creado por cualquiera (y está intentando estafarnos) para esta firma en concreto? No lo sabemos a priori, por ello, aquellos que aceptan firmas electrónicas crean listas con aquellas CA que aceptan. Por ejemplo para comprobar que un programa no es un virus, nuestro sistema operativo, lleva una de estas listas incorporada, de forma que le permite reconocer quien es el fabricante de un software (concretamente en los drivers).

¿Qué certificado usar?

Los certificados tienen varias utilidades «técnicas» diferenciadas, de forma que, entre otras cosas, existen certificados que sirven para firmar aplicaciones, y certificados que sirven para «Asegurar la identidad de un equipo remoto», siendo estos últimos los más comunes, y los que tenemos que usar para firmar las facturas, los impuestos, etc…

Si ya tenemos un certificado instalado en el sistema (en Windows se encuentran instalados por fuerza en el navegador), para poder verlo, tendríamos que ir a Herramientas > Opciones de Internet > Contenido > certificados. Al hacer doble clic sobre el certificado que queremos, nos pondrá en la parte superior las utilidades «técnicas» para las que se permite el uso del certificado en concreto. En caso de que aparezca la cadena «Asegura la identidad de un equipo remoto», significa que ese es un certificado válido… siempre que lo haya emitido una CA aceptada.

Para trabajar con las administraciones públicas, a día de hoy, el ministerio de industria mantiene una lista con los prestadores de servicios reconocidos para estos menesteres. Si el certificado lo vamos a usar para trabajar con la administración española, el uso de uno de estos certificados es lo más conveniente.

Uno de los que más fácil de obtener es el la Fábrica Nacional de Moneda y Timbre, aunque tenemos que ir físicamente a recogerlo una vez obtenido si no lo dejamos caducar su renovación es muy sencilla y sin coste.

 

¿Quieres más?

Blog

7 Tendencias ERP para 2022

Las plataformas ERP han madurado. Y han ampliado su alcance para dar soporte a la mayoría de las funciones empresariales. Desde los procesos de back-end

Blog

Tipos de BI para las pymes

En la actualidad hay dos tipos de BI para las pymes: BI externo y BI nativo. Ahora bien, sea cual sea la opción que elijas,

Política de Protección de Datos del tratamiento

a) Identidad del responsable del tratamiento:
Responsable: Desarrollo de Aplicaciones Técnicas Informáticas, S.A.U.
Teléfono: 917 159 268
Dirección: C/ Joaquín Turina nº 2, 1ª Planta, 28224 Pozuelo de Alarcón, Madrid
Contacto: Prot. de datos lopd@datisa.es

b) Finalidad del tratamiento:
Nuestra web dispone de formularios de contacto en distintas áreas de la misma. La finalidad del tratamiento de los datos es gestionar las comunicaciones que se pudieran establecer con los usuarios del website que nos remitan mensajes a través de los mismos.
En caso de que lo haya solicitado expresamente, utilizaremos sus datos para remitirle información sobre productos y servicios del ámbito de ERP para PYMES.
c) Decisiones automatizadas:
no se realiza segmentación de perfiles ni se toman decisiones automatizadas.
d) ¿Por cuánto tiempo conservaremos sus datos?
Los datos serán tratados durante el tiempo necesario para la gestión de su solicitud o comentario, y en caso de que haya solicitado la remisión de información comercial, hasta que no revoque su consentimiento.
e) Base jurídica del tratamiento:
la base jurídica del tratamiento de sus datos es el consentimiento inequívoco que manifiesta al aceptar la política de privacidad que va asociada a cada formulario de tratamiento de datos.
f) Obligación de facilitar los datos y consecuencias de no facilitarlos:
la cumplimentación del formulario es completamente voluntaria. En todo caso, si desea comunicarse con nosotros a través de este medio, deberá facilitarnos los datos marcados como “obligatorios”, ya que de lo contario no podremos contactar con usted, a fin de gestionar su solicitud o comentario.
g) Procedencia de los datos:
el propio interesado.
h) Destinatarios:
a. No se realizarán cesiones de datos.
b. Desarrollo de Aplicaciones Técnicas Informáticas, S.A.U. cuenta con la colaboración de proveedores de servicios de tecnologías de la información, que tratan los datos en nombre y por cuenta de nuestra entidad. En estos supuestos, previa realización de un estricto control de selección del proveedor con base en las garantías de cumplimiento de la normativa en materia de protección de datos, suscribiremos el pertinente contrato de tratamiento de datos con estas entidades.
i) Transferencias internacionales de datos:
no se realizarán transferencias internacionales de datos.
j) Ejercicio de derechos:
tiene derecho a obtener confirmación sobre si estamos tratando datos personales que les conciernan, o no. Como interesado, tiene derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos. En determinadas circunstancias, podrá solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones. En determinadas circunstancias y por motivos relacionados con su situación particular, podrá oponerse al tratamiento de sus datos. Dejaremos de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.