Buscar
  • CertiNet

¿Qué considerar al seleccionar una Solución de Firma Electrónica?

¿Tiene la Solución de Firma la opción de despliegue On-premise?

En algunos casos el uso de servicios de firma en la nube (multi-tenanted) no aplica a organizaciones que requieren ejercer un control estrecho sobre los criterios de disponibilidad y políticas de seguridad de los datos y documentos. En estos casos es importante que la misma solución pueda ser desplegada en los propios sistemas de la organización. Aún y cuando al inicio no haya sido requerido, debe ser posible su migración en el futuro.


¿Tiene la solución una arquitectura abierta donde cualquiera pueda verificar las firmas digitales sin tener que recurrir al proveedor del servicio?

El sistema debe cumplir con los estándares para firma de documentos ISO incluyendo los estándares para PDFs (ISO 32000-2) y PDF/A (ISO 19005-2) que son verificables a través de Adobe Reader. Asimismo debe cumplir con el estándar para Microsoft Word (ISO/IEC 29500) verificable con Word 2013/2016.

El estándar PDF/A fue diseñado para preservar los documentos y garantizar su reproducción y verificación de firma durante muchos años.


¿Las llaves para la firma digital son únicas para cada persona de manera que es posible crear firmas electrónicas avanzadas?

Esto es fundamental para el no repudio, independientemente de si el proceso de firma ocurre desde el lado servidor o local, en el lado del cliente o incluso en un dispositivo móvil.

¿La solución de firma soporta los estándares AATL y CDS de Adobe (para llaves que se guardan localmente o en el servidor) para “certificar y bloquear” los documentos frente a un cambio no autorizado?

Este tipo de certificados proporcionan una manera muy efectiva de asegurar que los documentos son confiables cuando las firmas son verificadas a través del Adobe Reader, proporcionando confianza inmediata y masiva. Otros certificados requieren una actualización de tiempo para permitir que Reader confíe en el certificado del firmante.


¿La solución de firma presenta el documento en una vista “plana” de manera que el usuario pueda acceder exactamente a la vista de lo que está firmando?

Esto evita la posibilidad de firmar electrónicamente documentos inteligentes potencialmente fraudulentos que no revelan todos los datos durante el proceso de firma. El formato PDF/A es un buen formato a elegir porque garantiza que no haya contenido dinámico.


¿La solución de firma provee a los usuarios dueños de los documentos con mecanismos para la prevención de pérdida de datos (Data Loss Prevention)?

Aunque el entorno sea seguro, los dueños de los documentos deben poder asegurar que existe una autenticación efectiva de los usuarios finales antes de que el documento sea visto e incluso que puedan controlar su acceso, permitir o denegar la capacidad de ser bajado/impreso, o poder contar con una password para ese documento específico de manera de hacer más robusta la autenticación.


¿La solución de firma provee la trazabilidad completa de la historia del documento y el estado en que se encuentra?

Esto permite al propietario determinar cuándo se abrió, revisó y firmó el documento. También deberían estar disponibles versiones intermedias del documento, en caso de ser necesario.


¿Tiene la solución de firma múltiples opciones de autenticación?

Para muchas organizaciones la capacidad que la solución de firma soporte la gestión de credenciales a través de Active Directory es crítico. Para servicios a través de la nube debe poder soportar servicios federados AD. Para otros casos de uso, es necesario que la solución soporte doble factor de autenticación (2FA) y autenticación OAuth para Salesforce, Office 365, Google, LinkedIn, etc.


¿Soporta el sistema el uso de plantillas?

Las plantillas definen quien será revisor, quien firmante, en qué orden se debe firmar, donde deben colocarse las firmas en el documento, los derechos de acceso de cada usuario, las notificaciones vía email, etc. Estas características son esenciales en una solución de firma, de manera que al usuario se le facilite el proceso y no tenga cada vez que definir manualmente las reglas antes de que un documento sea enviado.


¿La solución de firma soporta el llenado de plantillas, el uso de iniciales, obligatorias?

En algunos casos es esencial que se permita el llenado de campos a ser completados, o que se incluya la firma con iniciales, en aquellos párrafos relevantes o páginas relevantes. De la misma manera que permitir comentarios en el documento, o en el sistema, previo a firmar son características muy útiles.


¿Es posible establecer grupos de usuarios? (Ej. Administración, Ventas, Contabilidad)

A menudo un rol es compartido por varias personas y en algunos casos varias personas pueden seleccionar un documento que debe ser revisado y aprobado. La opción de definir un grupo permite que los documentos sean vistos por un rol, al que acceden los que están de turno y los que están fuera de turno.


¿Es posible delegar la firma a un usuario designado para ello en ciertos períodos de ausencia?

Es inevitable que ocurra que las personas estén ausentes cuando un importante documento debe ser firmado, el workflow de firmas de la solución debe poder manejar esta situación.


¿Es posible que el dueño de un documento pueda cambiar a un firmante que no se encuentra disponible para firmar?

Cuando alguien está ausente o repentinamente no está disponible, y por tanto no puede delegar su firma, debe ser posible que el dueño del documento edite la lista de los firmantes para poder asignar su firma a alguien más.

¿Es posible declinar la solicitud de firmar un documento y de agregar un comentario?

En el mundo real debe ser posible oponerse a firmar, es útil en estos casos contar con la opción de tener una razón para declinar y luego que las reglas del workflow definan que debe ocurrir en los siguientes pasos del proceso de aprobación, si este continúa o se detiene.


¿Cuenta el sistema con ayuda a los usuarios para navegar el documento a la siguiente acción requerida, sea esta el llenado, iniciales o la firma de manera de prevenir al usuario de firmar en un lugar equivocado?

Es esencial contar con esta opción para prevenir los errores de las personas que aunque pueden ser simples ocasiones problemas al flujo de firmas o fallar en completar una acción de carácter mandatorio.


Cuando el sistema utiliza certificados que se mantienen de manera local, ¿permite el sistema al administrador configurar filtros para los certificados, de manera que los usuarios a) no se confundan con la elección y b) no seleccionen un certificado incorrecto?

Usuarios que no son técnicos, y habitualmente ocupados, no van a entender los distintos tipos de certificados con los que operan, y puede que no sea fácil seleccionar el correcto para ellos. La solución debe considerar la automatización del proceso de selección de los certificados que son los aceptables.


Como administrador, ¿es posible crear cuentas de usuarios por adelantado, utilizando una pantalla o una API, e identificar qué tipos de usuarios pueden registrarse?

Debe ser posible controlar quién puede usar la solución de firma. Debe ser posible definir que el acceso de los usuarios está limitado a usuarios en Active Directory, o definir que los usuarios externos deben ser aprobados previamente por mecanismos como KYC o AML o permitir o impedir el auto-registro.


¿Trabaja el sistema con PKIs existentes, y más aún, puede operar con múltiples PKIs y actuar como un puente de interoperabilidad entre las partes?

Muchos países tienen PKIs a nivel nacional que emiten certificados de confianza a individuos o ejecutivos de empresas. Muchas organizaciones de gran tamaño e industrias reguladas tienen sus propias PKIs. Debe ser posible que estas credenciales existentes se utilicen dentro de la misma solución de firma.

¿Las firmas electrónicas avanzadas utilizan las mejores prácticas en cuanto a tamaño de llaves y algoritmos?

Los algoritmos de firma están continuamente siendo mejorados por razones de seguridad, de manera que es esencial que las técnicas criptográficas más recientes sean soportadas (por ej. SHA-256, RSA 2048 y ECDSA 384)


¿Pueden los documentos integrarse y agregársele archivos adjuntos?

Debe ser posible integrar una página estándar con la información para firmar con otro documento que no tenga definido el mecanismo de recopilación de firmas, en donde sea posible agregar comentarios. Agregar archivos adjuntos en cualquier formato para ser convertidos a PDF, también es una característica que debe ser contemplada, de tal manera de poder firmar la totalidad del documento usando estándares de firma PDF.


¿La Solución de Firma soporta Web Services RESTful?

En muchos casos de uso, la aplicación de negocios del cliente necesita insertar los documentos para firma, en la Solución de Firma, de manera de iniciar un proceso para obtener la aprobación mediante firmas digitales de una o más personas. La API RESTful debe poder permitir la gestión completa del workflow, el seguimiento del estado y la administración de las cuentas de los usuarios.


¿Soporta dispositivos móviles?

Debe incluir soporte para dispositivos móviles como iPad, iPhone y Android, así como contar con una aplicación nativa para ellos de manera de proveer una óptima experiencia de usuario.


¿Es la solución de firma económicamente atractiva?

Debe existir un claro retorno sobre la inversión, debe ser mucho más barata que el proceso tradicional de aprobaciones y firmas basado en papel.


¿Puede la solución incorporar la marca del cliente? ¿Soporta la solución múltiples lenguajes?La solución de firma debe poder soportar múltiples marcas (logos y estilos de color). Múltiples lenguajes deben ser una opción estándar mientras que otros lenguajes menos comunes y dialectos pueden ser provistos a pedido.

Las soluciones de firma que provee CertiNet cumplen con estas condiciones y más…

Contáctenos.

CertiNet S.A.

+ información relacionada en www.certinet.cl

soporte@certinet.cl

ventas@certinet.cl


77 visualizaciones0 comentarios