Evaluación de conformidad

You are currently browsing the archive for the Evaluación de conformidad category.

A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firma vocal con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de la expresión hablada del consentimiento permiten su cotejo por los peritos en fonética forense o por herramientas de comprobación biométrica (motores de biometría de voz) en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas. Las firmas que denominamos “firma vocal” no son firmas cualificadas, porque no se basan en el uso de certificados cualificados. Sin embargo, la tradición jurídica del consentimiento verbal se ve reforzada por la preservación del consentimiento junto con el contrato que puede acabar con la frase latina “verba volant, scripta manent” ya que queda constancia de lo hablado con las mismas características de disponibilidad futura a efectos probatorias que las obtenida con firmas manuscritas.

Además, como la firma manuscrita, la firma vocal tienen la propiedad de la inmediación (están hechas por intervención directa del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas realizadas con certificados, inclusive las cualificadas.

EADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de firma vocal impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de ellos suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras.

La solución Firvox de Biometric Vox permite la firma electrónica avanzada tal como la define el Reglamento Europeo UE 910/2014 (EIDAS), con la particularidad de incluir en ella la viva voz del firmante captada en el momento en que prestó el consentimiento, y con la posibilidad de aplicar las normas procesales que ya prevén la posibilidad de aportar informes periciales que diriman la controversia si alguna de las partes impugna una firma.

Al quedar la firma electrónica embebida en un documento PDF, el firmante recibe una información contractual tan completa como la que recibiría de firmar de su puño y letra un contrato en soporte papel, por lo que no tendrá ningún sentido en el futuro que las contrataciones telefónicas omitan aspectos tan importantes de la seguridad jurídica.

La solución ha sido la primera evaluada por los especialistas de EADTrust que han otorgado el sello de calidad de firma vocal a la plataforma tecnológica, tras comprobar el cumplimiento por parte de la solución de un larga relación de requisitos de seguridad técnica y jurídica según el modelo de mejores prácticas de contratación presencial y a distancia definido por la entidad para preservar con la mayor calidad probatoria la prestación del consentimiento verbalizada por el firmante.

La novedad ha sido recogida por diferentes medios de comunicación durante octubre de 2016 lo que ha dado lugar a diversos titulares:

 

EADTrust (European Agency of Digital Trust) desarrolla el marco formal de auditoría y evaluación de sistemas de firma electrónica avanzada en el contexto regulatorio marcado por el Reglamento Europeo UE 910/2014 (#eIdAS).

Como consecuencia de la toma en consideración de nuevos requisitos a incorporar en la metodología desarrollada, se ha redefinido el decálogo que recoge los principios básicos que deberán cumplir los sistemas evaluados a partir del año 2016.

Entre los aspectos sobre los que se realiza la auditoría, cabe destacar que los sistemas deberán cumplir los siguientes principios:

  1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento
  2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores.
  3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma manuscrita.
  4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
  5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.
  6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos.
  7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.
  8. Posibilidad de generar documentos híbridos, en papel y electrónicos.
  9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la forma de aportar la prueba y analizarla en un contexto litigioso.
  10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Como recordatorio, se indica a continuación el contenido del decálogo en el modelo de auditoría anterior:

  1. Captura de elementos biométricos dinámicos de la firma vocal y asociación criptográfica a un documento electrónico concreto.
  2. Gestión de evidencias electrónicas de la prestación del consentimiento.
  3. Imposibilidad de incrustar la firma vocal en documentos diferentes del que aceptó el usuario.
  4. Integridad demostrable de los documentos y de la información biométrica
  5. Confidencialidad de los datos biométricos y protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Simetría probatoria
  8. Soporte duradero
  9. Existencia de procedimiento de gestión de controversias que prevé la actuación de terceros de confianza y peritos informáticos y de otras especialidades
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Los principios recogidos con anterioridad siguen siendo aplicables en el nuevo decálogo, que los refleja de forma diferente.

Además las entidades de auditoría y evaluación de la conformidad han desarrollado un checklist más extenso que recoge de forma detallada los múltiples requerimientos a cumplir.