Dos de las premisas básicas de la seguridad informática tienen que ver con el control de acceso y la confidencialidad de la información, aspectos críticos que no son contemplados en los servicios de confianza por algunos proveedores. Y es que, precisamente hablando de confianza, se tiende a creer en el hecho de que la información suministrada a un sistema informático no le interesa a nadie, de allí a que muchas veces no se tomen las medidas de protección necesarias.
En el presente artículo se explica el principio de funcionamiento del servicio de Firma Interactiva de Uanataca, con el propósito de entender una de sus mayores ventajas: garantizar la seguridad de la identidad del firmante durante y después de finalizado el proceso de firma. Seguidamente, se describen las principales etapas del flujo de trabajo asociado al servicio integrado mediante nuestra API REST. La integración API facilita un cómodo uso de la Firma Interactiva en los sistemas de tu empresa. ¡Sigue leyendo!
Defensa digital: la importancia de una autenticación segura
A la hora de introducir los datos de una tarjeta bancaria para la realización de pagos por Internet, normalmente se nos dirige a pasarelas seguras asociadas a las entidades bancarias emisoras de dichas tarjetas, o a procesadores de pagos como Visa o MasterCard, con el propósito de evitar colocar dichos datos directamente en la aplicación que gestiona la venta del producto o servicio. De igual manera, los datos de acceso a un certificado digital en la nube requieren de la protección necesaria para impedir accesos futuros a través de la propia aplicación, evitando así el riesgo de fraudes.
Para explicar mejor lo anterior, analicemos el siguiente ejemplo: José tiene un certificado digital custodiado en la nube, con el propósito de ser utilizado para gestiones internas de la empresa para la cual trabaja. La empresa, por su parte, emplea una aplicación para la gestión de solicitudes de permisos vacacionales para sus empleados, y acciones como la firma electrónica de documentos requieren del uso del certificado digital asociado a cada firmante.
José ingresa a la aplicación para realizar la solicitud de sus vacaciones y después introduce las credenciales de acceso a su certificado para el consentimiento y la firma final. Estas credenciales podrían fácilmente quedar almacenadas en cookies, logs o archivos temporales de la aplicación corporativa. Nada garantiza a José que una persona malintencionada acceda después a su certificado y firme en su lugar su carta de renuncia.
Sin duda, generar mecanismos para lograr entornos seguros y defenderse de usos fraudulentos es clave para todas las empresas, especialmente porque el uso de plataformas online va en aumento y son hoy en día parte de la vida laboral de muchos profesionales.
La Interacción: credenciales seguras a través del Gateway de Uanataca
Un caso como el anterior podría evitarse fácilmente si existiese una forma de proteger las credenciales de acceso asociadas al certificado en la nube del firmante.
El servicio de Firma Interactiva de Uanataca está especialmente diseñado para ser integrado en procesos de negocio. El servicio facilita la firma electrónica de cualquier documento mediante certificado digital, garantizando al mismo tiempo el blindaje de la operación al proveer al firmante de una pasarela segura para el ingreso del código PIN, asociado a su certificado digital custodiado en la nube. Recordemos que este código es la vía de acceso a la clave privada de un certificado, con la cual se aplica la firma electrónica a cualquier documento.
La validación del código PIN está vinculada a la generación de un código alfanumérico representativo, que es realmente lo que la aplicación utilizará en su lugar. De esta manera se logra continuar el proceso de firma descartando cualquier posibilidad de uso posterior desautorizado del certificado.
¿Doble factor de autenticación? Firma Interactiva con código OTP
Existen escenarios en los que se requiere un doble factor de autenticación para poder aplicar una firma con las máximas garantías legales.
Uno de ellos corresponde a la aplicación de la firma cualificada establecida en el Reglamento Europeo 910/2014 (eIDAS). En este caso deja de ser necesario sustituir el código PIN de la forma anteriormente descrita, ya que este por sí solo no resulta suficiente para activa la aplicación de la firma. Deberá, además del código PIN, existir un segundo factor de autenticación.
Un código OTP es una contraseña dinámica de un solo uso. Previo a la solicitud formal de firma es necesaria la generación del código OTP y su inmediato envío por SMS al número telefónico del firmante. Dicho número está incluido en la lista de datos inherentes a su certificado digital. La gestión de este proceso es realizada por Uanataca.
Una vez recibido el mensaje de texto, el firmante introduce el código OTP en la aplicación junto al resto de credenciales, procediendo con ello a la firma del documento. La seguridad posterior a la firma está totalmente garantizada.
El Proceso de Firma Interactiva a través de nuestra API REST
La integración al servicio de Firma Interactiva mediante la API REST de Uanataca comprende la ejecución de un proceso que se puede resumir en las siguientes etapas:
Presentación del documento original a firmar
En esta etapa, el firmante deberá revisar detenidamente el documento y aprobar su firma.
Generación del mecanismo de autenticación seguro
Dependiendo de la modalidad elegida, en esta etapa se generará al firmante un enlace a la pasarela de ingreso del código PIN o un código OTP enviado por SMS. Ambas vías garantizan al firmante la seguridad del proceso de firma.
Petición de firma con todos los parámetros correspondientes
Entre los parámetros a considerar para la petición API relacionada con la aplicación de la firma electrónica, son obligatorias las credenciales de acceso al certificado en la nube. En el caso de la autenticación mediante pasarela segura, el código PIN estará sustituido por un código alfanumérico, y si se trata del envío del código OTP por mensaje de texto, dicho código acompañará al PIN original.
Finalización del proceso
Se comunica al firmante que el proceso ha terminado, presentando, por ejemplo, su documento firmado.
Únicamente las dos etapas intermedias requieren de la ejecución de peticiones a nuestras API REST. Así es, ¡con sólo dos peticiones API se hace posible la integración a nuestro servicio de Firma Interactiva!
En conclusión, la Firma Interactiva de Uanataca ofrece la posibilidad de añadir transparencia en la ejecución de un proceso de firma que de otra manera dejaría a la parte firmante en una situación de vulnerabilidad relacionada con la exposición de sus credenciales. La integración a nuestra API se adapta eficientemente, facilitando una u otra configuración dependiendo del tipo de autenticación requerida, que a su vez dependerá de los certificados que aplicarán la firma y la normativa bajo la cual estos deba ser usados.
En cualquier caso, la Firma Interactiva garantizará que una persona aplique su firma electrónica sobre un documento con la tranquilidad de saber que su certificado no podrá ser en ningún momento reutilizado por terceros.