28 Oct Cumplimiento de normativas eIDAS, SEPBLAC y otras leyes en software de firma de documentos remota: proveedor de confianza no cualificado
Introducción
Para que un software de firma de documentos remota pueda operar como proveedor de confianza no cualificado en la Unión Europea, es fundamental cumplir con regulaciones estrictas como la normativa eIDAS, SEPBLAC, y otras leyes específicas en torno a la seguridad, privacidad y conservación de datos. En este artículo, desglosaremos cada una de las fases y procesos necesarios para lograr el cumplimiento de estas normativas en un sistema de firma de documentos, especialmente para profesionales colegiados que requieran seguridad en sus procesos de firma digital.
Fase 1. Onboarding: verificación profesional y prevención de suplantación de identidad
La primera etapa consiste en la incorporación (onboarding) del usuario de forma desatendida en el portal. Para ello, el software debe incluir procesos automatizados que cumplan con los requisitos de seguridad y validación de identidad impuestos por la normativa eIDAS y SEPBLAC. Aquí algunos puntos clave:
Requisitos de identificación: El usuario debe cumplir con ciertos requisitos profesionales que se puedan verificar de manera segura. Esto puede incluir, entre otros, la necesidad de un carné de colegiado y la validación de su colegiación activa en el colegio correspondiente. La regulación eIDAS requiere que se cumpla con medidas que prevengan la suplantación de identidad, mientras que SEPBLAC establece controles para evitar el fraude en transacciones digitales.
Validación desatendida y automática: Este proceso de onboarding debe ser robusto y automatizado, de manera que no requiera intervención humana. Una vez que el usuario proporciona su carné de colegiado, el sistema debe verificar automáticamente la validez del documento y cotejar su pertenencia a un colegio profesional, además de asegurar que no haya intentos de suplantación de identidad.
Protección de datos: Cumplir con el Reglamento General de Protección de Datos (GDPR) en esta fase es crucial para asegurar la privacidad de los usuarios, garantizando que la información utilizada para su validación se emplee únicamente para este fin y no se almacene innecesariamente.
Fase 2. Provisión de credenciales y autenticación para acceso seguro
Tras completar el onboarding, el siguiente paso es la provisión de credenciales y autenticación que garanticen un acceso seguro. Para cumplir con la normativa eIDAS en términos de seguridad, el software debe ofrecer un acceso al menos de “nivel sustancial”, proporcionando una autenticación reforzada:
Provisión de credenciales: La creación y provisión de credenciales debe realizarse de forma segura, preferiblemente generando las credenciales de manera centralizada y siguiendo protocolos de cifrado.
Autenticación de nivel sustancial: Según eIDAS, se debe contar con un sistema de autenticación que pueda verificar la identidad del usuario de manera robusta, generalmente con un enfoque de autenticación multifactor. Esto puede incluir el uso de una contraseña junto con un código temporal (OTP) o un segundo factor de autenticación basado en un dispositivo de confianza, cumpliendo así con el “nivel sustancial” de autenticación requerido.
Revisión de seguridad SEPBLAC: En caso de que el software sea utilizado en sectores regulados por SEPBLAC, como el sector financiero, también debe seguir los controles y reportes exigidos para prevenir el blanqueo de capitales, implementando técnicas de identificación y trazabilidad de usuarios.
Fase 3. Conservación en el tiempo de las acciones de firma
Una vez que el usuario ha empezado a firmar documentos, es necesario que el sistema almacene de manera segura cada transacción de firma durante el tiempo requerido por la normativa aplicable:
Registro de actividades: Cada firma realizada debe quedar registrada con detalles como la fecha, la identidad del firmante, y los documentos firmados. Estos registros deben almacenarse de acuerdo con eIDAS, que requiere que las firmas digitales estén ligadas a los datos de identidad del firmante de forma que no puedan ser modificados posteriormente sin invalidar la firma.
Almacenamiento seguro y protección contra manipulaciones: La normativa eIDAS exige que el almacenamiento de los datos de firma se realice con sistemas que eviten cualquier alteración o eliminación no autorizada. Es recomendable implementar tecnologías como el cifrado avanzado y la firma digital de las transacciones de firma para asegurar la inmutabilidad de estos registros.
Conservación de pruebas para auditoría SEPBLAC: Si el sistema está regulado por SEPBLAC, el software debe permitir el acceso a registros de auditoría que acrediten la trazabilidad de cada firma en caso de que sea necesario demostrar su validez en auditorías externas o procesos judiciales.
Fase 4. Eliminación de datos tras el periodo de obligación
Finalmente, los datos del usuario y las transacciones realizadas deben ser eliminados tras el periodo de conservación obligatoria:
Política de retención y eliminación de datos: De acuerdo con el GDPR y las normativas nacionales, se debe establecer una política clara de retención de datos que asegure la eliminación de estos una vez pasado el periodo necesario. Esto es fundamental para proteger la privacidad de los usuarios y cumplir con las obligaciones de minimización de datos impuestas por el GDPR.
Procedimientos de eliminación segura: La normativa eIDAS, junto con el GDPR, requiere que los datos se eliminen de manera segura al final del periodo de retención, incluyendo métodos de eliminación que prevengan cualquier recuperación no autorizada.
Transparencia y notificación a usuarios: En cumplimiento con el GDPR, se debe notificar a los usuarios sobre la eliminación de sus datos y proporcionarles, si fuera posible, la opción de obtener una copia de sus datos antes de la eliminación definitiva.
Conclusión
Operar como proveedor de confianza no cualificado en la Unión Europea requiere una atención meticulosa al cumplimiento de normativas como eIDAS, SEPBLAC y GDPR. Desde el onboarding hasta la eliminación de datos, es necesario asegurar que cada fase del ciclo de vida del usuario y sus transacciones de firma cumple con las regulaciones y estándares de seguridad exigidos. Con un sistema que integre estos requisitos de forma automatizada y segura, los proveedores de firma digital pueden garantizar una experiencia de usuario confiable y acorde a las normativas en vigor.