Nuevo decálogo para la firma electrónica avanzada basada en biometría de la voz

EADTrust (European Agency of Digital Trust) desarrolla el marco formal de auditoría y evaluación de sistemas de firma electrónica avanzada en el contexto regulatorio marcado por el Reglamento Europeo UE 910/2014 (#eIdAS).

Como consecuencia de la toma en consideración de nuevos requisitos a incorporar en la metodología desarrollada, se ha redefinido el decálogo que recoge los principios básicos que deberán cumplir los sistemas evaluados a partir del año 2016.

Entre los aspectos sobre los que se realiza la auditoría, cabe destacar que los sistemas deberán cumplir los siguientes principios:

  1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento
  2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores.
  3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma manuscrita.
  4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
  5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.
  6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos.
  7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.
  8. Posibilidad de generar documentos híbridos, en papel y electrónicos.
  9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la forma de aportar la prueba y analizarla en un contexto litigioso.
  10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Como recordatorio, se indica a continuación el contenido del decálogo en el modelo de auditoría anterior:

  1. Captura de elementos biométricos dinámicos de la firma vocal y asociación criptográfica a un documento electrónico concreto.
  2. Gestión de evidencias electrónicas de la prestación del consentimiento.
  3. Imposibilidad de incrustar la firma vocal en documentos diferentes del que aceptó el usuario.
  4. Integridad demostrable de los documentos y de la información biométrica
  5. Confidencialidad de los datos biométricos y protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Simetría probatoria
  8. Soporte duradero
  9. Existencia de procedimiento de gestión de controversias que prevé la actuación de terceros de confianza y peritos informáticos y de otras especialidades
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Los principios recogidos con anterioridad siguen siendo aplicables en el nuevo decálogo, que los refleja de forma diferente.

Además las entidades de auditoría y evaluación de la conformidad han desarrollado un checklist más extenso que recoge de forma detallada los múltiples requerimientos a cumplir.

 

This entry was posted in Auditoría, Certificacion, EIDAS, Evaluación de conformidad, Firma electrónica avanzada, Homologación. Bookmark the permalink.