Novedades en PortaSigma
Buenas noticias para los usuarios de PortaSigma. Hemos incorporado la posibilidad de cargar certificados en la cuenta, con la idea de ofrecer dos nuevos usos: sello automático, y firma móvil
Los certificados se suben a la cuenta en formato P12, o Pfx (los formatos de distribución más habituales). Estos certificados quedan almacenados en nuestro servidor, cifrados para garantizar una custodia segura. El uso del certificado se protege con un PIN adicional, igual que sucede cuando se utilizan tarjetas criptográficas.
Utilización como sello automático
Cuando una empresa quiere enviar una petición de firma de documento, pero a su vez requiere que el documento vaya firmado por la empresa, esta es la mejor opción, especialmente cuando la empresa debe repetir esta operación de forma recurrente.
El documento quedará firmado del mismo modo que si se le hubiera incorporado un sello de empresa.
Firma desde dispositivos móviles
Esta nueva funcionalidad permite firmar documentos desde dispositivos móviles. Gracias al hecho de que el certificado se encuentra almacenado en el servidor, el usuario podrá firmar sus documentos desde prácticamente cualquier modelo de terminal. Este servicio es especialmente práctico para usuarios que se pasan gran parte de su tiempo «en la calle» y deben atender a numerosas peticiones de firma.
Entra en PortaSigma, crea una cuenta de forma gratuita, y empieza a probarlo. La firma digital puede hacerte evitar el archivo masivo de papel, servir tus procesos más rápido a tus clientes, y diferenciarte de tu competencia.
www.portasigma.com
Román de Blas / rdeblas@isigma.es
5 comentarios.
Estrictamente hablando entiendo que eso no puede considerarse una «firma desde móvil», o desde luego no una «firma EN móvil», ya que realmente se trata entonces únicamente de una firma invocada desde el móvil pero realizada en el servidor al cual hay que enviar el P12…
¿Qué garantía tienen los usuarios de que ese certificado no es usado sin su consentimiento? Por mucho que se proteja con un PIN, los administradores tienen pleno acceso al certificado ya que se ha enviado un P12 y la password que lo protege…
Ante todo, muchas gracias por tus apreciaciones, Santiago.
Efectivamente, estrictamente hablando no es una firma EN móvil. Como sabes, lograr una firma electrónica EN el móvil, con alcance universal, sigue siendo a día de hoy una utopía. Si queremos acercar la firma-e a la mayor parte posible de la población, hay que buscar alternativas, como las que hemos desarrollado para PortaSigma.
Hay tres mecanismos complementarios que impiden que un administrador acceda a un P12 de usuario. En primer lugar, los P12’s, aunque ya se trata de una información cifrada, en el servidor de cifran de nuevo, para evitar que alguien pueda acceder al fichero y abrirlo por fuerza bruta. Con esto conseguimos que los P12s sean irreconocibles en servidor y además inaccesibles.
Por otro lado, el PIN que protege el P12 no se almacena en el servidor. Se solicita cada vez que se requiere firmar. Y finalmente, el canal es SSL, por lo que el PIN no viaja en claro.
Esperamos que te parezcan medidas suficientes para garantizar razonablemente la inviolabilidad de los P12’s. No obstante, si tienes alguna sugerencia de mejora, nos encantaría que la compartieras.
Recibe un saludo cordial,
[…] This post was mentioned on Twitter by chemalogo and chemalogo, isigma e-signature. isigma e-signature said: Nuevo en PortaSigma: sello digital de empresa, y firma electrónica desde el móvil: http://blog.isigma.es/2010/09/28/novedades-en-portasigma/ […]
Si al final la seguridad va a consistir en un Usuario / Password que va a viajar a través de internet … apaga y vámonos !! 🙁 🙁
¿Y si alguien captura el certificado a la hora en que lo envías para instalar al servidor? ¿Y si alguien captura el usuario/clave ?
Justo eso es lo que pretende evitar el uso de Certificados Digitales… si usamos Usuario/Password entonces ya no tenemos seguridad que el Firmante sea esa persona propietaria del Certificado.
Esa solución puede ser aplicable en algunas situaciones, pero desde luego yo no cedería mi certificado a nadie… el mismo certificado que uso para declaración de la renta, citas médicas y un largo etcétera (no tan largo como quisiera 😀 ).
En fin, espero que esto sirva de crítica constructiva y a evitar estos efectos «vende humos» que animan a usar las palabras «firma móvil» cuando realmente no lo es.
Un Saludo.
Estimado Naranjito, en isigma seguridad y universalidad van al alimón como criterios de diseño.
Gracias por las dudas y temores que planteas, pues nos ayudan a identificar posibles puntos de mejora en futuras versiones. No obstante, me gustaría analizarlos con cierto detalle, para que no haya malentendidos ni miedos injustificados.
Por partes. Que alguien capture el certificado (P12) en su proceso de carga es harto improbable, pues se realiza mediante conexión SSL. Si no confiamos en la seguridad de las conexiones SSL, deberíamos dejar de hacer home-banking ya mismo, además de muchas otras transacciones B2B, B2G y C2G de gran importancia.
Lo mismo ocurre con el usuario y contraseña de acceso, que circulan a través de conexión SSL.
Por otro lado, no estoy de acuerdo en que el fin de los Certificados Digitales sea substituir al usuario y contraseña, sobre todo los que llevan activado el uso de clave content-commitment. «Algunos» certificados sí están pensados para ello, pero no todos. Además, al final (espero), siempre tendremos que usar una contraseña (mientras las soluciones biométricas no tengan un despliegue y aceptación masivo) para «activar» los datos de creación de firma, o sea, para usar la clave privada.
Como dices bien, esta solución es aplicable en algunas situaciones y no hemos hecho más que escuchar las necesidades del mercado y diseñar una solución «prácticamente universal». De lo que no nos cabe la menor duda es de que con ella conseguimos firma electrónica avanzada en los términos establecidos en el artículo 3.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
Se trata de una característica de la solución que puede usarse o no, y entonces seguir firmando con nuestros DNIe u otros certificados en token o tarjeta criptográfica.
Para finalizar, comentarte que con esta solución se puede firmar desde casi cualquier móvil, con casi cualquier navegador y de forma independiente del operador de telecomunicaciones, cosa que no he visto en todos los años que se lleva intentando. Y son muchos. ¿Que, además se puede usar desde otras muchas plataformas? Sí, lo que no invalida la primera afirmación, por lo que la expresión «vende humo» me parece fuera de lugar.
Agradecerte de nuevo tus reflexiones y sólo añadir que en el grupo de discusión de evidencias electrónicas de linkedin, donde participamos, se debaten temas simulares por decenas de expertos.