|
General
Q. ¿Qué son las firmas electrónicas?
Las firmas electrónicas parten del concepto de firma tradicional sobre papel y lo convierten en una “huella digital electrónica”. Esta “huella digital” es única para un documento firmado por una persona en concreto. La firma electrónica se asegura de que el firmante sea de hecho el autor del mensaje. Cualquier cambio realizado al documento después de firmado invalida la firma, protegiendo de este modo contra la falsificación. Las autoridades externas de soporte a las firmas electrónicas garantizan la autenticidad del firmante, la responsabilidad, la integridad de datos y el no-repudio de documentos y transacciones.
 Subir
Q. ¿Qué es CoSign?
CoSign es la solución de firma electrónica de ARX no falsisicable, fácil de usar y de rápido despliegue, que proporciona una manera innovadora de firmar electrónicamente documentos, archivos, formularios y transacciones. Con CoSign, las organizaciones pueden firmar fácilmente en numerosas aplicaciones tales como Microsoft® Word, Adobe Acrobat, imágenes tiff y en soluciones líderes de Enterprise Content Management (ECM). La tecnología PKI de CoSign garantiza la autenticidad del firmante, la integridad de datos, y el no repudio de documentos y transacciones. Las tecnologías patentadas de ARX, han cambiado totalmente el comportamiento en entornos PKI, con la llegada de CoSign - una solución de firma electrónica basada en PKI que es no sólo fácil de usar y administrar, sino también rentable.
Subir
Q. ¿CoSign es una solución hardware o software?
CoSign se compone de un dispositivo hardware resistente ante actos vandálicos que permite la generación y almacenamiento centralizado de claves así como la ejecución de operaciones de firma, además de una serie de elementos de software para la integración con aplicaciones (tales como Microsoft Office) y sistemas de gestión de usuarios (tales como Active Directory).
Subir
Q. ¿Cuál es la diferencia entre firma digital y electrónica?
Las diferencias entre firma digital y electrónica están claras, aunque estos términos se utilizan frecuentemente como sinónimos: las firmas digitales (designadas a veces como firmas electrónicas avanzadas o seguras) son el resultado de una operación criptográfica. La tecnología utilizada por las firmas digitales es un estándar de la industria conocido como Infraestructura de Clave Pública (PKI), que garantiza la integridad de los datos y el no repudio de transacciones. La firma digital no puede ser copiada, violada o alterada. Por otra parte, la firma electrónica es la representación de una persona bajo la forma de imagen de su firma manuscrita, símbolo, grabación de voz, etc. Se une típicamente a un documento o a una transacción electrónica, y puede ser copiada o alterada siendo fácil su falsificación.
CoSign introduce una solución que combina estas dos tecnologías, ofreciendo la combinación de las firmas digitales no falsificables junto con la identificación visual del firmante, usando una representación gráfica visual de su firma.
Subir
Q. ¿Cómo se compara CoSign con otros productos de firma digital y electrónica?
Los siguientes son algunas de las características que diferencian a CoSign:
| » |
Simple de utilizar y desplegar. |
| » |
Firma electrónica confiable – la firma asegura la integridad del documento y garantiza la identidad del firmante. |
| » |
Solución centralizada – las claves privadas se generan y almacenan en un dispositivo seguro central a prueba de actos vandálicos, eliminando la necesidad tradicional de tokens de hardware (ej., tarjetas inteligentes, dispositivos USB, etc.). |
| » |
CoSign soporta numerosas aplicaciones: Microsoft Word, Microsoft Excel®, Adobe Acrobat, TIFF, y muchas más. |
| » |
Todos los componentes se alojan en un dispositivo – se incorpora la funcionalidad de CA (Certification Authority) para la emisión y renovación de certificados, administración de usuarios, y otras funcionalidades. |
| » |
Soporte para administración de usuarios – se puede utilizar CoSign accediendo a los directorios más utilizados de gestión de usuarios tales como Microsoft Active Directory y Novel / NDS o utilizar la herramienta de gestión de usuarios incorporada. |
| » |
Firma gráfica (“Húmeda”) – los usuarios pueden agregar su firma gráfica capturada por una tableta gráfica, proporcionando la representación visual a la que los usuarios están acostumbrados, así como un método seguro de sellar documentos. |
| » |
Método estandardizado de firma – la firma electrónica de CoSign utiliza el estándar de la industria “Infraestructura de Clave Pública” (PKI) para firmar y validar. Usar este estándar permite que los receptores validen las firmas sin necesitar ningún módulo adicional de software. |
Subir
Q. ¿Cómo un usuario firma un documento con CoSign?
Tomamos como ejemplo, Microsoft Word:
| » |
El usuario crea y almacena un documento o mensaje; a continuación agrega un campo de firma colocando el cursor en la posición deseada y acciona el botón de firma situado en la parte superior de la ventana. |
| » |
Firma haciendo clic con el ratón encima del campo de firma y seleccionando la opción “Firmar” (según la configuración del sistema, se puede solicitar al usuario introducir una contraseña); y |
| » |
Una firma gráfica y digital se incorpora al documento. |
Nota: CoSign permite que múltiples usuarios firmen un solo documento, por ejemplo, en procesos de workflow.
Subir
Q. ¿Qué son los “Worldwide Verifiable Certificates” de CoSign?
Una solución basada en estándares de firma digital, CoSign permite que los receptores de documentos generados verifiquen fácilmente las firmas en aplicaciones ya existentes tales como Adobe Reader®, Microsoft Word® y otras, sin tener que instalar software adicional.
Subir
Q. ¿Cómo un usuario valida la firma electrónica de CoSign?
Simplemente mediante un clic de ratón sobre la firma y seleccionando la opción “Validación”.
Validar la firma permite al receptor autenticar la identidad del firmante y ver la razón, la fecha y la hora de la firma. La validación garantiza que el documento firmado no se trató de alterar y/o modificar, asegurándose de que el firmante era un empleado válido, por ejemplo, a la hora de firmar el documento. CoSign permite que los receptores validen las firmas sin requerir la instalación de software adicional. Por ejemplo, las soluciones de firma electrónica requieren siempre software propietario para validar firmas.
Nota: El proceso de validar una firma varía ligeramente según la aplicación y su versión.
Subir
Q. ¿La firma electrónica sella el contenido del documento?
¡Sí! Cualquier cambio realizado a los datos del documento, incluso alterando una sola letra, invalidará la firma electrónica (ver la arquitectura de CoSign). La “huella digital” del documento recibido no coincidirá con la “huella digital” del documento original y se producirá un error de validación. CoSign asegura máxima seguridad y conformidad a los procesos críticos de negocio.
Nota: La firma electrónica no evita que un documento sea cambiado y posteriormente firmado de nuevo.
Subir
Q. ¿Cómo un usuario asegura la identidad del firmante?
Las firmas electrónicas de CoSign autentican el contenido de los documentos asociando al firmante con el documento firmado. El firmante se identifica por un certificado emitido por CoSign (o por el de una entidad externa de confianza - CA). Esta identificación se basa en el hecho de que el usuario es empleado reconocido de la organización.
Al firmar, CoSign se asegura de que solamente el usuario legítimo tiene acceso a su clave de firma. La autenticación de usuario se puede realizar mediante contraseñas, claves de un único uso, datos biométricos o utilizando otras técnicas.
Subir
Q. ¿Qué sucede a la firma electrónica si se realizan cambios al documento firmado?
Cualquier cambio realizado a un documento firmado invalida automáticamente la firma electrónica. Después de cualquier cambio, cuando un receptor procura validar la firma electrónica recibe la notificación que la firma es inválida. En Microsoft Word por ejemplo, aparece en la firma una cruz roja. Los usuarios pueden ver la información adicional sobre la firma y las credenciales del firmante.
Subir
Q. ¿Qué aplicaciones y formularios soporta CoSign?
| » | Microsoft Word 2000/XP/2003 | | » | Crystal Reports |
| » | Microsoft Excel XP/2003 | | » | Corel WordPerfect |
| » | Microsoft InfoPath | | » | TIFF Images |
| » | Adobe Reader 5/6/7 * | | » | Lotus Notes |
| » | Acrobat Standard 5/6/7 | | » | FileNet eForms |
| » | Acrobat Professional 5/6/7 | | » | Web applications |
| » | Adobe LiveCycle (Forms Server) | | » | Verity Liquid Office |
| » | AutoCAD | | » | OpenOffice Writer |
| » | Microsoft Outlook | | » | StarOffice Writer |
| » | Microsoft Outlook Express | | » | OpenOffice Calc |
| » | Microsoft PowerPoint | | » | StarOffice Calc |
| » | Microsoft BizTalk | | | |
* La firma con Adobe Reader se permite usando “Adobe Document Server for Reader Extensions”.
Subir
Q. ¿Cuál es la diferencia entre firma de usuario y firma del sistema?
Con la firma de usuario, similar a una firma (húmeda) física en el papel, cada usuario tiene una firma única. Esto se logra mediante el uso de una clave privada para generar la firma. Con la firma de usuario, dos usuarios diferentes que firmen el mismo documento producirán diferente firma porque para la generación de la firma se utiliza la clave privada del usuario correspondiente.
Con la firma del sistema, todos los usuarios están utilizando la misma clave para los documentos que firman. En este caso, dos usuarios, firmando el mismo documento producen la misma firma.
Subir
Escenario de negocios
Q. ¿Cuáles son las ventajas principales para las compañías que implantan las firmas electrónicas de CoSign?
Documentos sellados - Proporcionan la evidencia de la autenticidad del usuario y garantizan integridad de datos y el no repudio de transacciones. CoSign permite a los usuarios en la organización proteger y monitorizar fácilmente sus documentos y transacciones.
Automatización de procesos de negocio – Eliminación de ineficacias y costos de impresión, manipulación, franqueo, digitalización y archivo de documentos en papel. CoSign permite que las organizaciones ejecuten transacciones electrónicamente, reduzcan los procesos basados en papel, y ahorren costes. La organización puede aumentar la productividad de sus empleados y mejorar la satisfacción de sus clientes.
Facilidad de uso y rápido retorno de la inversión (ROI) - CoSign es un dispositivo de firma electrónica “todo en uno” basado en PKI, de fácil instalación y uso que asegura un ROI inmediato. CoSign se integra fácilmente con los sistemas de gestión de usuarios, eliminando cualquier coste adicional de hardware.
Conformidad legal - CoSign protege al negocio ante los tribunales de justicia ya que no se cuestionará su conformidad legal. Las firmas electrónicas de CoSign incorporan la conformidad legal permitiendo que las organizaciones cumplan con las regulaciones mundiales por ejemplo: “21 CFR Part 11, HIPPA”, “E-Sign (Electronic Signature in Global and national Commerce Act)”, Directiva de firma electrónica y del IVA de la Unión Europea.
Subir
Q. ¿Cuánto dinero puede ahorrar CoSign a mi organización?
Calcule sus ahorros con nuestra calculadora de ROI, presionando aquí
Subir
Tennología
Q. ¿Qué es una PKI?
La “Infraestructura de Clave Pública” (PKI), también conocida como criptografía asimétrica, suministra un par de claves a cada usuario, una clave privada y una clave pública usadas en cada firma. La clave privada, como el nombre indica, se mantiene privada y almacenada con seguridad, en el dispositivo de hardware seguro CoSign. La clave privada se utiliza para firmar, agregando de este modo una “huella digital” al documento, mientras que la clave pública se pone a disposición de otras personas que la utilizan para validar la firma electrónica del remitente. Una PKI abarca diversos componentes que incluyen: la Autoridad Certificadora (CA); software de utilización por el usuario final; herramientas para gestionar, renovar, y revocar certificados. CoSign tiene todos los componentes en una caja.
Subir
Q. ¿Cómo se compara CoSign con las soluciones tradicionales de PKI?
Las soluciones tradicionales basadas en PKI son de las más costosas y difíciles de desplegar. La gran cantidad de componentes en un entorno PKI, Autoridad Certificadora (CA), dispositivo de almacenaje de claves (hardware o software), aplicaciones de administración y de firma (aplicaciones de workflow, ERP, correo, y otras), hacen que la integración sea un proceso largo, complejo y prohibitivo.
La visión de ARX es hacer que la PKI sea asequible y fácil de utilizar para todas las compañías, grandes y pequeñas. ARX, con sus tecnologías patentadas, ha cambiado el entorno de PKI, diseñando CoSign, una solución de firma electrónica de fácil uso y rentable.
CoSign es rápido de desplegar y ofrece todos los componentes de una solución de firma electrónica en una caja. CoSign soluciona los complejos problemas de despliegue y reduce dramáticamente el TCO (coste total de propiedad) de las soluciones de firma electrónica. CoSign permite a los nuevos usuarios empezar a trabajar automáticamente en el sistema PKI (es decir, crea las claves, emite certificados y los renueva) asegurándose de que el sistema es simple y fácil de utilizar. Las organizaciones tienen la opción para gestionar los usuarios mediante las herramientas propias de CoSign o a través MS Active Directory o Novel NDS.
Subir
Q. ¿Qué sistemas de gestión de usuario soporta CoSign?
CoSign suministra una integración transparente con la red corporativa y los sistemas de gestión de usuarios. La tecnología se integra completamente con los directorios más utilizados tales como Microsoft Active Directory y Novell/NDS. Se puede integrar fácilmente con otros sistemas propietarios de gestión de usuarios.
Subir
Q. ¿Cómo se integra CoSign con soluciones existentes tales como Gestión documental (DM) y sistemas Enterprise Content Management (ECM) etc?
CoSign ofrece de forma estándar la solución de firma para los paquetes más usuales como Microsoft Word y Adobe Acrobat. CoSign incorpora una sencilla API de firma (SAPI) que asegura la integración rápida y adecuada con aplicaciones desarrolladas internamente o de terceros.
Subir
Conformidad
Q. ¿CoSign es conforme a las regulaciones de firma electrónica?
Para muchas organizaciones, es crítico poder proteger sus datos en cualquier momento mediante la utilización de métodos basados en PKI que cumplan las regulaciones más exigentes. CoSign cumple las regulaciones más rigurosas reconocidas en todo el mundo, permitiendo que las organizaciones se apoyen en esta capacidad incorporada para cumplir dichas regulaciones.
CoSign cumple numerosas regulaciones mundiales:
| » |
FDA's 21 CFR Part 11; |
| » |
Health Insurance Portability and Accountability (HIPAA); |
| » |
E-sign (Electronic Signature in Global and national Commerce Act); |
| » |
EU VAT Directive; |
| » |
EU Directive for Electronic Signatures; |
| » |
Uniform Electronic Commerce Act (UECA); |
| » |
ISO; |
| » |
Financial Services Modernization Act of 1999 (Gramm-Leach-Bliley); |
| » |
Sarbanes Oxley; and |
| » |
FAA's CFR Title 14. This includes support for:
| » |
Air carriers under 14 CFR parts 121, 129, or 135; |
| » |
Operators under 14 CFR parts 91, 125, 133, or 137; |
| » |
Persons performing airmen certification under 14 CFR parts 61, 63, 65, 141, and 142; |
| » |
Individuals performing maintenance or preventive maintenance under 14 CFR part 43; |
| » |
Repair stations under 14 CFR part 145; and |
| » |
Aviation maintenance technical schools under 14 CFR part 147 |
|
Presione aquí para leer las opiniones legales, describiendo cómo CoSign se cumple las Directivas de la Unión Europea (EU).
Subir
Q. ¿CoSign cumple los requisitos de la definición de “firma electrónica avanzada”?
Mientras que la Directiva de la UE trata de permanecer neutra desde el punto de vista tecnológico, en la práctica se refiere a firmas basadas en tecnología PKI. Este aspecto se indica en el “Report on the operation of Directive 1999/93/EC on a Community framework for electronic signatures”.
Esto significa que una solución basada en PKI cumplirá estos requerimientos. Lo que ha hecho la UE es redefinir las funcionalidades proporcionadas por una PKI en los cuatro requisitos siguientes:
| 1 |
Estar vinculada al firmante de manera única. |
| 2 |
Permitir la identificación del firmante. |
| 3 |
Haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control. |
| 4 |
Estar vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable. |
Así es cómo CoSign contesta a esos 4 requisitos:
| 1 |
Estar vinculada al firmante de manera única - CoSign se basa en la tecnología estándar de PKI que significa que cada usuario tiene una clave privada única para los documentos que firma. |
| 2 |
Permitir la identificación del firmante - Cada firma electrónica basada en CoSign está ligada a un certificado digital (estándar X.590) que incluye información para identificar al firmante tal como nombre de compañía, nombre del firmante y correo electrónico permitiendo de esta forma la identificación única del firmante. |
| 3 |
Haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control – CoSign requiere la autentificación del usuario antes de que pueda tener acceso y utilizar su clave privada para firmar un documento. La autentificación del usuario se puede hacer de acuerdo a los requisitos de autentificación de la organización, desde la utilización de nombre del usuario y contraseña, contraseñas de un solo uso (OTP) o tarjetas inteligentes. |
| 4 |
Estar vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable - este es uno de los requisitos más importantes que aseguran que el documento no puede ser forzado/alterado una vez firmado. Al validar una firma de CoSign por ejemplo en Word, una “marca de visé” indicará que no se realizó ningún cambios a los datos firmados mientras que una “cruz” indicará que se realizaron cambios después de la firma. Para determinar si el documento ha sufrido cambios, se calcula una “huella digital” única (el hash del documento) y se almacena dentro del objeto de la firma. Cuando se está validando la firma, la “huella digital” del documento se calcula otra vez y se compara contra la “huella digital” almacenada en el hash del documento. Si son iguales, significa que el documento no se ha cambiado desde que fue firmado y si hay un cambio, significa que se realizaron cambios al documento después de ser firmado. |
Subir
Q. ¿Es CoSign un dispositivo seguro de creación de firma (Secure Signature Creation Device-SSCD)?
La directiva europea (EC Directive 99/93 on Electronic Signatures) define los requisitos de los dispositivos seguros de creación de firma electrónica (SSCD):
1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
| » |
Los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto; |
| » |
Existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad; |
| » |
Los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros. |
2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.
CoSign ha sido autocalificado por ARX como SSCD. Además, CoSign está en este momento realizando con un acreditado organismo de homologación el proceso de evaluación de Common Criteria (EAL 4+) de acuerdo a CWA 14169 (Protection Profile for SSCD).
Presione aquí para leer una opinión legal sobre CoSign.
Subir
Arquitectura
Q. ¿Cómo trabaja CoSign?
La tecnología de CoSign se basa en un estándar de la industria conocido como “infraestructura de clave pública” (PKI). Con PKI, cada usuario tiene una pareja de claves, una clave privada y una clave pública usadas en cada firma. La clave privada, como el nombre indica, se mantiene privada y almacenada con seguridad, en el dispositivo de hardware seguro CoSign. La clave privada se utiliza para firmar, agregando de este modo una “huella digital” al documento, mientras que la clave pública se pone a disposición de otras personas que la utilizan para validar la firma electrónica del remitente. Las firmas electrónicas emplean una función criptográfica conocida como “hashing” para crear y validar una firma electrónica. El “hashing” es un algoritmo, que crea una representación electrónica, o “huella digital” que es un resumen del mensaje, y sirve para identificar los datos. Las firmas electrónicas implican dos procesos, uno realizado por el firmante y el otro por el receptor.
Para entender tecnología de la firma electrónica, consideremos el siguiente ejemplo en el cual Bob quiere enviar con seguridad un documento a Alicia:
Bob envía un documento firmado electrónicamente a Alicia. Alicia valida la autenticidad del documento.
Bob firma electrónicamente con CoSign
1. Bob crea un mensaje que firmará y enviará.
2. En el software de cliente de CoSign en la máquina de Bob, se calcula el valor del “hash” (“huella digital” del mensaje). El valor del hash o “huella digital” del mensaje es una representación criptográfica corta del mensaje original.
3. El valor del hash se firma electrónicamente dentro del dispositivo CoSign usando la clave privada de Bob. La firma electrónica es el resultado de una operación de firma RSA sobre el valor del hash.
4. La firma electrónica resultante y el certificado de Bob se añaden al mensaje firmado.
5. El documento firmado electrónicamente se envía a Alicia.
Alicia recibe el mensaje firmado
6. Alicia utiliza la clave pública de Bob para validar la firma y puede ver los detalles del certificado para validar la identidad de Bob. La clave pública de Bob se extrae de su certificado y se utiliza para descifrar la firma, recuperando el hash calculado en origen.
7. Se calcula el hash del mensaje recibido y se compara con el valor del hash del paso anterior (#6).
Si los dos valores del hash son idénticos, Alicia sabrá que:
a. Bob firmó el mensaje; y
b. El mensaje no se ha alterado.
Nota: Si el mensaje se alteró, el hash calculado no coincidirá con el valor del hash del paso #6 anterior y fallará la verificación de la firma. La firma electrónica creada por CoSign se asegura de que incluso la alteración más pequeña hecha a un documento anula automáticamente la firma. CoSign crea una firma electrónica que no se puede duplicar, alterar o forzar, asegurando el no repudio de documentos y transacciones.
Puesto que solamente Bob sabe su clave privada, y esta clave no se puede generar a partir de su clave pública, se asegura la integridad de los datos y el no repudio. Este proceso implica la responsabilidad del firmante.
Es importante tener presente, que todo el proceso descrito arriba se realiza “entre bastidores” y que las operaciones de firma y validación reales son tan simples como presionar el botón del ratón.
Subir
Q. No he encontrado una respuesta a mi pregunta. ¿Con quién puedo ponerme en contacto?
Por favor, contáctenos para cualquier pregunta que tenga en relación con la firma electrónica.
Subir
|
