Part 2 Firmas Electrónicas

12 julio 2019 -

¿Qué son las Firmas Electrónicas?

Es un conjunto de datos electrónicos encriptados que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son: Identificar al firmante de manera inequívoca y asegurar la integridad de la información y datos contenidos en el documento firmado.

Las firmas electrónicas exigen que el usuario de éstas pueda identificarse electrónicamente de modo equivalente al de una firma manuscrita. Una firma electrónica debe tener la misma validez legal que una firma manuscrita.

La norma permite también el uso de identificadores biométricos y tokens.

Características de una firma electrónica y Buenas Prácticas relacionadas:

  • Todas las acciones de los usuarios pueden estar configuradas de manera que necesiten firma o bien firma y autorización.
  • Deben establecerse privilegios de uso de las firmas electrónicas según el nivel de autorización de cada usuario.
  • Garantía de identificación de cada usuario al retirar las cuentas sin borrarlas.
  • Normalmente se enlazan a registros electrónicos, donde el uso de la firma es para aprobar o rechazar la información contenida en estos registros, también se usan en otros documentos como los procedimientos con la misma finalidad.
  • Dependiendo de la normativa, la firma electrónica debe tener al menos dos elementos: un código de identificación y una contraseña. Las características de cada uno de los elementos (caracteres numéricos o alfanuméricos, el uso de símbolos, la longitud, la rotación de las contraseñas, los privilegios relacionados a éstas, etc.) son definidos por la empresa según sus necesidades, sin embargo, es necesario documentar éstas características y demostrar que existe un control de ellas.
  • Para efecto de cumplimiento FDA, la firma electrónica debe incluir además el motivo de la firma.

FDA

 

 

 

  • Como las firmas electrónicas y su uso pueden tener una implicación legal, es necesario documentar (en una política, en un procedimiento o en un manual), la fecha a partir de la cual éstas se implementan y comienza su validez como equivalentes a las firmas manuscritas, así como su alcance (a que documentos aplicarán).
  • Debe establecerse la forma en la que la organización se asegurará que las firmas electrónicas se mantengan como únicas para cada usuario e intransferibles. Esto se logra con un control de firmas electrónicas en el cual al menos uno de los elementos que la conformen solo sea conocido por el usuario. Por sus implicaciones, es altamente recomendable que el usuario habilitado para el uso de las firmas electrónicas documente la aceptación de la responsabilidad que estas implican comprometiéndose a la no divulgación de la contraseña, así como el reporte o robo del elemento de identificación.
  • Para asegurar que las firmas electrónicas no pueden ser alteradas, copiadas o transferidas para ser falsificadas en otro registro electrónico distinto al original, es necesario incluir en las pruebas de validación aquellas que verifiquen la encriptación de las mismas, la forma en la que se adjuntan a la información, así como su incorporación al documento de forma tal que no permita que se extraigan del mismo por medios ordinarios. Es necesario hacer pruebas con varios documentos para verificar que para cada documento se da una firma específica (cadena de caracteres o datos electrónicos adjuntados para la autentificación).
  • Las firmas electrónicas deben ser usadas con mesura, implementándose solo en aquellas actividades y procesos que por su criticidad e importancia así lo justifiquen.

 

¿Qué garantiza la Firma Electrónica?

  • Autenticidad: La información del documento y su firma electrónica se corresponden indudablemente con la persona que ha firmado.
  • Integridad: La información contenida en texto electrónico, no ha sido modificada luego de su firma.
  • No repudio: La persona que ha firmado electrónicamente no puede decir que no lo ha hecho.
  • Confidencialidad: La información contenida ha sido cifrada y por voluntad del emisor, solo permite que el receptor pueda descifrarla.

 

¿Qué no es una Firma Electrónica?

Las firmas manuscritas, digitalizadas o escaneadas ya que carecen de los elementos de seguridad propios de las firmas electrónicas y pueden ser fácilmente copiadas o falsificadas para asignarse a algún otro documento no autorizado. Por otro lado, tampoco es la mera combinación de usuario y contraseña, para que sea considerada como firma electrónica, esta debe ser utilizada para autorizar o reconocer alguna información, o paso en el proceso, de otra manera es solo una medida de ingreso a un sistema.

¿Cuáles son los riesgos relacionados con el uso de firmas electrónicas?

Entre riesgos que tiene el uso de la firma electrónica el más conocido es que sea hackeada. Estos riesgos provienen como siempre del usuario final que hace uso de la misma.

Las firmas digitales (diferentes a las firmas digitalizadas), son un tipo de firmas electrónicas que cuentan con un nivel mayor de seguridad. Para realizar la firma digital se debe hacer uso de un nombre de usuario y dos claves, la pública y la privada. La clave pública es la que puede ser mostrada y accedida por un tercero y la privada será la que en ningún caso podrá ser conocida o accedida por otra persona, ya que esta clave lleva integrada nuestra identidad y nuestra firma. La firma Digital, además anexa de forma encriptada al mensaje, los datos de autentificación de quien firma.

El tener al descubierto a la clave privada es un riesgo muy alto, ya que el resguardo de la misma es exclusivo y con esto se garantiza de la seguridad de las firmas electrónicas, por lo que cualquier persona que disponga de la misma podrá realizar firmas fraudulentas con el mismo valor legal que la firma manuscrita. El conocimiento de una tercera persona de la clave puede traer consigo la suplantación de identidad, se podrá hacer pasar por el usuario y firmar en cualquier sitio.

Como recomendación se debe tener una clara política de control y protección de claves, e implementar un sistema seguro para la gestión de las mismas, la organización deberá asegurarse (y generar evidencia de ello) que el usuario es consciente de las responsabilidades relacionadas con el uso de las firmas electrónicas. Ese sistema debería tener los elementos necesarios para almacenar y gestionar las claves y permitir el acceso únicamente a los usuarios autorizados, permitiendo conocer quién firmó, dónde lo hizo y cuándo lo realizó.

La norma permite también el uso de identificadores biométricos y tokens, para establecer medidas de control y no sean utilizadas por personas ajenas.

 

Tomado de la guía “VSC: Las Respuestas” editada por la oficina de QbD en Mexico, BPF part of QbD group.


¿Necesita ayuda con la GAMP 5? ¿Quiere validar un sistema informático o sistema computarizado?

Contáctenos con los detalles de su proyecto

¡Recuerda! En www.qbd.lat te podemos ayudar a validar tus procesos, limpieza, sistemas computarizados, hojas de cálculo, calificar los equipos, calificación de sistemas de apoyo crítico.  Contáctanos en: hola@qbd.lat
LatinoAmérica +57 3508886031   | CentroAmérica +52 5272 4532 | España +34 655 59 16 03

MANTÉNGASE INFORMADO

Manténgase al día sobre las noticias y sobre los nuevos servicios, productos e información de QbD. Suscríbete a nuestro boletín y no te pierdas nada.
  • Me gustaría suscribirme al boletín de QBD.lat y acepto recibir comunicaciones de correo electrónico personalizadas.
  • Me gustaría suscribirme al boletín de QBD.lat y acepto recibir comunicaciones de correo electrónico personalizadas.