Gestión, auditoría y delegación de firma usando certificado en la nube

En el mundo digital para realizar trámites a nivel empresarial o personal es imprescindible contar con un certificado electrónico para poder garantizar la seguridad de tu identidad digital.

El problema viene cuando para hacer una simple gestión no recuerdas donde estaba tu certificado, cuál era la contraseña o incluso si sueles utilizar más de uno (el de empresa y el personal) cuesta hasta identificarlos.

Otra situación habitual en una empresa es tener que ceder los certificados y su contraseña a otras personas para poder ir con tranquilidad de vacaciones y confiar en que hagan buen uso de ellos.

Lo ideal ante toda esta problemática es buscar una plataforma de centralización de certificados que te permita gestionar desde un único punto los certificados personales y los corporativos facilitando así su utilización, pudiendo otorgar para cada uno de ellos los permisos oportunos y teniéndolos controlados mediante auditoría.

Para situarnos un poco vamos a intentar aclarar algunos conceptos:

¿Qué es un certificado centralizado?

Un certificado centralizado o certificado en la nube es aquel que está alojado en un servidor de acceso seguro (HSM). Un HSM es un dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas.

El usuario accede a él cuando quiere firmar un documento digitalmente, previa autenticación de su identidad de manera robusta.

La identificación robusta requiere al menos dos procedimientos de identificación que pueden ser:

  • Algo que “sabe el usuario” (password)
  • Algo que “tiene el usuario” (tarjeta de claves, token sms, token otp)
  • Algo que “hace o es el usuario” (firma, locución, huella, iris y otros factores biométricos).

Así el certificado nunca está en manos del propietario del mismo, sino que este accede a él cuando lo requiere. Autenticándose sin necesidad de instalar ningún certificado ni software en el dispositivo desde el que se efectúa el trámite.

Al usar un certificado centralizado, ¿se trata de firma electrónica avanzada o cualificada?

La respuesta podemos encontrarla en el reglamento (UE) nº910/2014 del Parlamento Europeo y del Consejo (eIDAS), normativa que actualmente regula la firma electrónica en los países miembros de la Unión Europea y en la que se recoge la clasificación de las firmas electrónicas.

Las características de ambas firmas son las siguientes:

  1. Está vinculada al firmante de manera única. El certificado está vinculado a la persona firmante y solo a ella.
  2. Permite identificar al firmante. El certificado contiene los datos necesarios de autenticación para este fin.
  3. La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo.
  4. Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada.

El único punto que diferencia ambos tipos de firma es dónde ha sido generado el certificado. Si el certificado usado está contenido dentro de una tarjeta criptográfica sin posibilidad de descarga, como el DNIe o se ha generado directamente en un servidor seguro (HSM), por ejemplo el certificado ha sido directamente generado en Viafirma Fortress por uno de los Prestadores de Servicios Cualificados de Certificación, legalmente reconocidos.

firma digital

¿Qué ventajas tiene usar un certificado en la nube?

  • El usuario puede tener 1 o varios certificados centralizados en una única plataforma y establecer niveles de seguridad para su uso.
  • Se pueden utilizar estos certificados desde cualquier dispositivo. Los certificados no estarán físicamente en cada puesto de trabajo.
  • Para hacer uso del certificado puedo definir mecanismos de identificación fuerte.
  • Puedo delegar mi certificado en otras personas, decidiendo además dónde y cuándo. Es decir, indicando en qué URLs, con qué aplicaciones y restringiendo además sus uso a una determinada fecha y en un rango horario determinado.
  • Puedo usar los certificados que otros usuarios hayan delegado en mí sin conocer la clave privada.
  • Todas las operaciones llevadas a cabo son auditadas de forma detallada. Puedo saber exactamente dónde y cuándo se hizo uso de mi certificado.

Algunos ejemplos de uso:

  • Empresa con 50 certificados, uno por delegación a nivel nacional. Los usa para trámites con la administración. Pero cuenta con 2 empleados que llevan a cabo las labores administrativas en cada oficina y suelen coordinarse en vacaciones.

¿Qué podría hacerse gracias a una herramienta de centralización de certificados?

Un usuario administrador de la empresa podría ser el propietario de los 50 certificados y definir para cada uno de ellos las políticas de seguridad. Por acercarnos con el ejemplo estaría restringido a una URL (https://www.agenciatributaria.es/) y solo podría usarse de Lunes a Viernes en horario de oficina (De 08:00 a 15:00).

Para cada una de las oficinas se delega este certificado a los empleados encargados de los trámites que serían 2 en este caso.

Gracias a esta configuración obtendremos control total sobre el uso de los certificados de empresa, mejorando la seguridad y facilitando a los empleados el manejo de los mismos.

  • Un autónomo tiene contratado una gestoría la gestión de trámites como la declaración de la renta y otros. El caso real es que las gestorías tienen en su poder el certificado y conocen la clave privada del mismo y podrían llevar a cabo cualquier trámite con él. En este caso la seguridad es nula.

Con una herramienta de centralización de certificados el autónomo podría almacenar su certificado en un servidor seguro y delegarlos a la gestoría para su uso solo en las URL donde se llevan a cabo los trámites y NUNCA les cedería su clave privada. Sino que el usuario de la gestoría definiría sus propias claves de autenticación.

Otro dato importante es que podría consultar en todo momento mediante la auditoría de la herramienta qué trámites y cuándo se han llevado a cabo.

  • Otro caso de uso habitual suele darse con los CEOs de las empresas ya que suelen contar con gran carga de trabajo y suelen necesitar firmar cuando están fuera de la oficina o delegar en su secretaría la preparación de documentos que tienen que salir firmados. Mismo caso anterior, delegaría el certificado controlando en todo momento dónde, cuándo y nunca cediendo sus claves.

Estas funcionalidades explicadas anteriormente además pueden verse enriquecidas con la combinación de otras soluciones como un portafirmas electrónico como Viafirma Inbox que además nos permitirá gestionar la firma de documentos dentro de la empresa: contratos, nóminas, acuerdos, consentimientos, entregas de material y un largo etc.

Como ves todo son ventajas ¿A qué esperas para solicitar información?