I jornada pribatua la firma biométrica (validatedid)
-
Upload
pribatua -
Category
Technology
-
view
39 -
download
0
Transcript of I jornada pribatua la firma biométrica (validatedid)
D. Fernando Pino
Cofundador de Validated ID
Firma biométrica Tecnología al servicio
de la seguridad jurídica
Irailak 26 – 2013 – 26 de septiembre / Centro de conocimiento Bake Eder - Getxo
I Jornada
“La firma biométrica”
Asociación Vasca de Privacidad
y Seguridad de la información
Pribatutasun eta informazio
Segurtasuneko Euskal Elkartea
¿Qué es la firma biométrica?
Firma biométrica, firma digitalizada, firma electrónica manuscrita
son diferentes denominaciones dadas a aquella firma que se
sirve como medio de identificación del firmante de
determinados rasgos de identificación física únicos (en este
caso la firma manuscrita)
Por tanto …
La firma debe ser dinámica
2
Igual que pasa con el papel, capturando los
datos biométricos suficientes, un perito calígrafo
puede atribuir una firma a una persona.
• Coordenada espacial x(t)
• Coordenada espacial y(t)
• Presión p(t)
• Azimuth az(t)
• Inclinación in(t)
Elemento fundamental para la seguridad jurídica del sistema
Firma basada en Biometría
3
¿Es una firma electrónica? ¿De qué tipo?
Ley 59/203 de Firma Electrónica
Artículo 3 Firma electrónica, y documentos firmados electrónicamente
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados
junto a otros o asociados con ellos, que pueden ser utilizados como medio de
identificación del firmante.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al
firmante y detectar cualquier cambio ulterior de los datos firmados, que está
vinculada al firmante de manera única y a los datos a que se refiere y que ha sido
creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en
un certificado reconocido y generada mediante un dispositivo seguro de creación
de firma.
4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma
electrónica el mismo valor que la firma manuscrita en relación con los consignados en
papel.
SIMPLE
AVANZADA
RECONOCIDA
4
Según la ley de firma electrónica
No se negarán efectos jurídicos a una
firma electrónica que no reúna los
requisitos de firma electrónica reconocida
en relación a los datos a los que esté
asociada por el mero hecho de
presentarse en forma electrónica.
Ley 59/2003 de firma electrónica
Artículo 3. Apartado 9
5
¿Importa?
Si se impugnare la autenticidad de la firma electrónica reconocida con la que se
hayan firmado los datos incorporados al documento electrónico se procederá a
comprobar que se trata de una firma electrónica avanzada basada en un certificado
reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para
este tipo de certificados, así como que la firma se ha generado mediante un
dispositivo seguro de creación de firma electrónica.
La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado
el documento electrónico firmado con firma electrónica reconocida. Si dichas
comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la
firma electrónica reconocida con la que se haya firmado dicho documento electrónico
siendo las costas, gastos y derechos que origine la comprobación exclusivamente a
cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación
hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.
Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan
firmado los datos incorporados al documento electrónico, se estará a lo
establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.
6
¿Importa?
La firma electrónica reconocida ofrece un medio de prueba «a
priori» (con matices), es decir, si se cumplen ciertos requisitos
técnicos la firma se considera válida
El resto de las firmas, incluyendo la manuscrita sobre papel, la
avanzada y la simple ofrecen pruebas «a posteriori», es decir,
en el marco de un litigio si ésta se pone en duda se deberá
demostrar su validez o invalidez en caso de controversia
aportando evidencias suficientes: informe de un perito
calígrafo, información de contexto, …
La firma electrónica manuscrita no deja de ser una firma
manuscrita y los medios de prueba están más cerca de la firma
tradicional que de los electrónicos.
7
Validez de la firma
Se requiere, la presentación de una
prueba robusta que no permita
albergar la más mínima duda
respecto a su autoría y autenticidad.
Aspectos como el momento en el que
se realizó la firma, el lugar de
realización, la tecnología empleada, el
contenido del documento firmado o la
participación de terceros
independientes reforzarán en gran
medida las evidencias electrónicas
obtenidas.
La finalidad última es la posibilidad de demostrar en un proceso litigioso la validez de
las firmas presentadas, lo que supone a su vez que estas lleven asociados unos datos
biométricos, que estos sean susceptibles de una valoración caligráfica digital, que
estén asociados de forma única al documento, que se garantice la integridad del
documento, la identidad de su autor, …
8
Riesgos
Contrato A Contrato B
Duplicación de firmas
Alteración de firmas
Protección de datos
personales
…
Integridad – Autenticidad - Confidencialidad
10
Entonces … ¿la biometría es suficiente?
SI (no se negarán
efectos jurídicos)
Pero NO (es una prueba
muy poco robusta)
12
Elementos de confianza
Los dispositivos El software El servicio
Los dispositivos empleados deben
cumplir con unas premisas obligatorias
de captura de elementos biométricos
necesarios para la formación de
evidencias (velocidad de traza, presión,
…). No todos los dispositivos
proporcionan información de presión,
siendo este dato fundamental para hacer
una valoración caligráfica fiable.
El uso de tabletas de firma y dispositivos
de captura por sí mismos y de forma
aislada no son capaces de garantizar la
integridad y autenticidad del
documento firmado.
Se debe emplear una combinación de
varios elementos tecnológicos:
La biometría, (la información
recogida del dispositivo).
La criptografía, mediante el uso de
certificados digitales y diversos
algoritmos de cifrado.
• Evidencias de contexto, que
permiten complementar las
evidencias biométricas y
criptográficas.
Se debe garantizar que ninguno de
los intervinientes en la firma puede
realizar modificaciones ni sobre el
documento que se va a firmar ni sobre
los datos que se generan en el propio
proceso.
El servicio y toda la seguridad asociada
al mismo está garantizada por la figura
del tercero de confianza que presta el
servicio.
13
El tercero de confianza
Es importante contar con un
tercero independiente sin
interés en la operativa de firma
que garantice que todo el
proceso es correcto
El tercero debe velar porque no
se manipule la información y
que el firmante sepa lo que está
firmando (WYSIWYS)
La formación y control de las evidencias puede
restar credibilidad a los documentos firmados
14
El resultado
Firmas electrónicas manuscritas tecnológicamente equivalentes a
las avanzadas y compatibles con las reconocidas
15
Garantías
INVIOLABILIDAD DEL
SISTEMA
La firma se realiza en dispositivos dedicados o aislados
tecnológicamente de la aplicación que solicita la firma.
TERCERO DE
CONFIANZA
El tercero de confianza asegura que el documento que se muestra coincide
con el documento que se va a firmar (WYSIWYS - What You See Is What
You Sign).
EVIDENCIAS
ADICIONALES
Adicionalmente se pueden recoger otras evidencias como el dispositivo
con el que se realizó la firma, el momento exacto de generación, el lugar
(coordenadas GPS), huella dactilar, fotografía del firmante, validación de
documentos oficiales
INTEGRIDAD
ViDSigner realiza una firma electrónica avanzada sobre el documento
más sus metadatos mediante un certificado de un solo uso generado
con los datos del firmante expresamente para esa transacción, dotando así
de integridad al documento.
AUTENTICIDAD ViDSigner garantiza la autenticidad del documento mediante la inclusión
de las evidencias de firma tales como los datos biométricos de la firma.
CONFIDENCIALIDAD
Los datos biométricos están protegidos ya que se encuentran cifrados en
el documento y la clave que los protege se encuentra custodiada por un
notario
VINCULACIÓN ÚNICA
Los datos biométricos no pueden ser trasladados a otro documento
ya que se encuentran vinculados a través de su hash con el documento
original, por tanto el documento y el firmante quedan vinculados
biunívocamente
16